Quando mudar periodicamente suas senhas pode te deixar mais vulnerável a hackers
'Alterar sua senha' é provavelmente o comando mais odiado nas plataformas de internet, mas quão eficaz é essa troca?
*Senha incorreta*.
*Criar nova senha*.
*A nova senha não pode ser igual à anterior*.
Quantas vezes você já experimentou a frustrante situação de não lembrar uma senha, acabar digitando só no final a que era correta, apenas para ter que alterá-la novamente?
Os constantes pedidos de alteração da senha de serviços digitais que utilizamos todos os dias - desde o e-mail, à conta no Zoom ou em redes sociais - podem ser uma verdadeira dor de cabeça. Como lembrar todas elas?.
Mas, além disso, essas exigências de trocas frequentes de senhas podem nos tornar mais vulneráveis a hackers, de acordo com vários especialistas em segurança cibernética.
Como é possível que uma nova senha comprometa a segurança de suas redes?
Alterações mínimas
O fato é que, quando alteramos nossas senhas, tendemos a fazer alterações mínimas que tornam muito mais fácil para os cibercriminosos adivinhá-las.
Por exemplo, mudamos "bsb1" para "bsb2". Ou incluímos no final da expressão o ano em que nascemos. Ou trocamos a última letra por outra; às vezes colocamos o número do mês em que estamos.
E se forem senhas muito complicadas, alguns usuários as escrevem em notas adesivas e as colam no computador.
"No final, acabamos recorrendo a derivados da mesma senha porque não conseguimos lembrar de outras novas e mais robustas para todos os serviços que utilizamos. Além disso, é comum reutilizar a mesma senha - ou outra muito semelhante - em vários serviços", diz à BBC Mundo, o serviço em espanhol da BBC, Juan Caubet, diretor da Unidade de Segurança de TI do centro de tecnologia Eurecat, na Espanha.
"Isso significa que, se houver uma violação de segurança ou uma senha for roubada em uma campanha de phishing [uma fraude baseada em roubo de identidade], os hackers podem adivinhar facilmente a senha que você usa em outras plataformas, adicionando ou alterando os dígitos da base que eles já têm."
O especialista em cibersegurança afirma que, para não facilitar tanto aos golpistas, o ideal seria que cada vez que nos pedissem uma mudança de senha, a trocássemos por uma totalmente nova, mas também robusta.
"O problema é que isso é complicado porque usamos muitas senhas."
ELEMENTOS CHAVE PARA UMA SENHA FORTE
- Que tenha pelo menos 8 caracteres
- Que combine letras, números e caracteres especiais
- Use maiúsculas e minúsculas
- Não inclua informações óbvias, como seu nome ou sua data de nascimento
- Não seja usada em outro serviço! se uma de suas contas for comprometida, todos estarão em risco
- Fonte: Juan Caubet, especialista em segurança cibernética (Eurecat)
"As pessoas vêm tentando descobrir como tornar as senhas mais seguras há muito tempo, mas a mudança de senha obrigatória é um conserto temporário e logo ficará obsoleto - uma única senha forte é melhor do que várias que são menos seguras", diz Caubet .
Ele não é o único que pensa assim.
Na verdade, os especialistas em segurança de TI há muito alertam contra as frequentes alterações de senha.
Alguns anos atrás, Bill Burr, autor de um guia influente para senhas de computador que foi distribuído pelo Instituto Nacional de Padrões e Tecnologia dos Estados Unidos - voltou atrás em alguns de seus próprios conselhos.
Entre eles, o de alterar a senha a cada 90 dias, adicionando letras maiúsculas, números e símbolos, de forma que, por exemplo, "protegido" se tornasse "pr0t3Gid0!".
No entanto, demonstrou-se que os computadores demoram mais para decifrar uma combinação aleatória de palavras do que adivinhar uma palavra com substituições fáceis de lembrar, como "senha!".
"Lamento muito do que recomendei. Acho que o conselho foi provavelmente muito incômodo para muitas pessoas", disse, em 2017, o especialista aposentado de 72 anos sobre o manual que publicou em 2003.
Muitas plataformas e instituições continuam a recomendar (e forçar) mudanças frequentes de senha, mas outras não recomendam mais essas diretrizes.
A Microsoft juntou-se ao segundo grupo em 2019, quando anunciou que estava eliminando as alterações periódicas de senha após décadas de recomendações. "É uma prática velha e obsoleta", argumentou então.