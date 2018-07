Depois do post do Alfredo na semana passada, resolvi dar o meu pitaco também no assunto senhas e segurança. Creio que precisamos urgentemente criar uma alternativa melhor para autenticação e autorização que senhas como usamos hoje, mas enquanto isso…

Como mencionado naquele post, não é boa ideia usar uma mesma senha em mais de um lugar. Também não é muito boa ideia ter um post-it colado no computador com uma lista de senhas. No entanto, acredito que não sou o único que possui contas em literalmente dezenas de sítios na web. Por mais que você use truques como os do post anterior para criar senhas fáceis de lembrar, na prática fica um tanto impossível de guardar todas na memória. Então, como fazer?

Não existe segurança absoluta; o melhor que podemos almejar é encontrar o nível de segurança adequado para cada situação. Assim, se você não é um bilionário nem um espião em um país inimigo, provavelmente a melhor solução é usar um programa gerenciador de senhas. Esses programas armazenam todas as suas senhas em um único lugar mas só permitem o acesso à lista se o usuário fornecer uma senha master. Pode parecer arriscado, mas as senhas são criptografadas com essa senha master, então mesmo que alguém consiga, por exemplo, roubar seu computador ou celular, não vai ter acesso a elas – desde que você use uma boa senha master!

O firefox (e outros navegadores também) possui um gerenciador de senhas desse tipo embutido no programa; você já deve ter observado que ele pode guardar suas senhas. Na configuração padrão, elas são guardadas de forma pouco segura, mas é possível ativar uma senha-mestra e deixar o computador lembrar das outras senhas para você. De quebra, com o firefox sync, essas senhas (sempre criptografadas!) ficam armazenadas em um servidor da fundação mozilla e você pode acessá-las através do firefox em múltiplos dispositivos, como o PC e o celular. É bastante prático e, ao mesmo tempo, seguro. Uma outra opção é o KeePass, que tem alguns recursos adicionais (por exemplo, ele pode criar senhas automaticamente de acordo com as regras de cada sítio) e pode ser integrado ao firefox (através de uma extensão) e ao celular. Não existe um servidor específico para sincronização online, mas é possível sincronizar através de diversos sistemas, como google drive, amazon S3 etc.

Um gerenciador desse tipo resolve o problema da maioria das suas senhas, mas ainda é preciso saber a senha master de cor (sem ela, todas as outras serão irremediavelmente perdidas!) e ter certeza de que ela é uma boa senha. Para isso, as dicas da semana passada podem ajudar, mas vale a pena citar mais um método:

Documento diceware (ou dadoware, em português). O método consiste em rodar dados diversas vezes e, a partir dos resultados, selecionar um conjunto de palavras para formar a senha. Uma boa senha deve ter ao menos 6 palavras geradas dessa maneira e, portanto, é preciso lançar um dado 30 vezes para obtê-la, mas o resultado oferece excelente qualidade contra ataques. E, por ser um método que não depende de nenhum programa em especial e que é amplamente conhecido, você já pode consultar as instruções e usar a lista de palavras em português PDF

Antes de terminar, vale fazer uma observação adicional: alguns sítios oferecem uma “pergunta de segurança” para o caso de você esquecer uma senha (algo como “qual o nome do seu primeiro animal de estimação”). A menos que a segurança do sítio em questão não seja realmente importante, evite respondê-las honestamente: na prática, essas respostas são equivalentes a uma segunda senha e, portanto, podem ser quebradas também. Melhor colocar algo aleatório e também armazenar no gerenciador de senhas.

* Nelson Lago é gerente técnico do CCSL-IME/USP