Quando o site de infidelidade Ashley Madison foi alvo de um ataque de hackers, há dois meses, mais de 11 milhões de senhas foram decodificadas. O caso ilustrou os perigos de se ter senhas pouco seguras. Nessa terça-feira, a agência de segurança e inteligência do governo britânico (Government Communications Headquarters, ou GCHQ) publicou novas diretrizes para melhorar a segurança online.
O documento desafia o senso comum sobre senhas e seguranças – e mostra que muitas das ideias que temos sobre como ter uma senha segura podem estar erradas. Então, como escolher e gravar a senha perfeita?
Senhas complexas
Muitos sites exigem senhas complexas, com uma mistura de letras maiúsculas e minúsculas, números e símbolos. O relatório do GCHQ sugere que senhas complicadas podem, na verdade, ser contraprodutivas, já que as pessoas as escrevem ou as utilizam em outros sites.
"Muito se fala sobre senhas longas e complexas serem mais seguras. Mas esse nem sempre é o caso", afirma o professor Steven Murdoch, do Departamento de Ciências da Computação da University College London.
"Sistemas seguros não deveriam apenas confiar em uma única senha, mas sim ter controles técnicos complementares para se detectar comportamentos anormais e proteger a conta do usuário."
Usar símbolos e pontuação também podem ser uma chateação para quem está no celular. "É difícil de se digitar senhas complexas em tela der toque, já que você tem de trocar os teclados", disse a professora Angela Sasse, diretora de pesquisa sobre segurança da informação, também na University College London.
Longa e segura?
Alguns especialistas recomendam que sejam usadas as chamadas "frases-senhas", ou senhas compostas por frases, como por exemplo 'Tenho50%dosdiscosdoCPM22'.
Para algumas pessoas, elas são mais fáceis de se gravar, além de serem mais seguras contra os ataques chamados de "força bruta", em que um computador tenta inúmeras combinações de senha até, por tentativa e erro, encontrar a certa.
"Uma senha longa é preferível, mas ela também traz outros problemas", disse Sasse. "Mais de 50% das senhas agora são digitadas em telas de toque, e frases-senhas são um problema para quem está usando esses dispositivos."
"Senhas raramente são decifradas por essas 'forças brutas'. Na maior parte do caso, elas são capturadas por phishing e malware, e com esses ataques não importa quão longa ou complexa seja sua senha."
Muitas companhias obrigam os funcionários a trocar a senha frequentemente – a cada 30 dias, por exemplo, para que senhas roubadas sejam usadas apenas temporariamente pelos hackers.
Mas o GCHQ sugere que isso incentive as pessoas a escolherem senhas em que apenas sigam acrescentando novas letras ou números, além de fazer com que elas usem a mesma combinação em outros sites.
O relatório afirma que essa prática traz um "fardo para o usuário e não traz benefício real, já que senhas roubadas normalmente são usadas por hackers imediatamente".
Gerenciadores de senhas
Algumas pessoas usam aplicativos ou sites dedicados a guardar senhas. Assim eles podem recuperá-las facilmente no caso de as esquecerem. Mas esses apps também funcionam com senha – então você precisa memorizar mais uma.
Um aplicativo está sendo desenvolvido nos Estados Unidos justamente para lidar com esse problema. Em vez de gravar seus códigos secretos, o Password Chef grava "receitas" que te ajudam a lembrar da senha.
Os criadores do app dizem que é uma maneira de as pessoas criarem senhas mais seguras que também são mais fáceis de serem lembradas. No entanto, gerenciadores de senhas também não são infalíveis.
"Esse app pode ajudar as pessoas a se lembrarem de senhas que usam pouco, mas pesquisas mostram que mesmo se elas se recordam de algo, como o nome da escola, elas não conseguem reproduzir a maneira exata da palavra usada na senha", afirma Sasse.
Então, o que fazer?
Muitos sites agora oferecem uma autenticação em duas fases. Além de colocar sua senha, você também tem de usar um código, normalmente enviado ao seu celular. Facebook, Google e Twitter já oferecem esse dispositivo.
"Isso aumenta de forma significativa a segurança. Então, aconselhamos fortemente o uso desse tipo de dispositivo. Muitos bancos também usam essa medida", afirma Murdoch.
O vazamento de dados do Ashley Madison mostram que nunca é garantido que um site seja totalmente seguro – mais um fator que prova que não há sentido em usar a mesma senha em vários sites.
O relatório do GCHQ mostra que os britânicos usam, em média, a mesma senha para quatro sites diferentes.
"Nunca reuse senhas importantes (como a do seu banco online) para outros sites", afirma Sasse. "Nem todos os sites protegem as senhas de maneira eficiente ou sua senha pode ser capturada por um malware. Use senhas individuais com gerenciadores de senha para conseguir guardá-las."