Senhas: o método "chave vinculada"

Introdução

Questão: afinal, porquê não posso utilizar a mesma senha para todos sites de compra? Eu utilizo uma senha forte...

Resposta: quando um provedor é devassado por criminosos eletrônicos, e senhas são roubadas, obviamente que outros dados cadastrais vão junto, inclusive o nome (log) do usuário. Então o que os criminosos fazem, além de operações no próprio site fraudado, é a inserção desses dados em outros sites. Assim, se o usuário X se cadastrou em 10 sites diferentes com a mesma senha, possivelmente os fraudadores conseguirão realizar operações com os dados de que dispõem.

Questão: mas se o problema é a repetição da senha, isso quer dizer que para 10 sites eu teria de ter 10 senhas diferentes? Como eu vou fazer isso? Como vou lembrar de cada uma? Anotando? Isso não é nada seguro.

Resposta: o objetivo deste artigo é disponibilizar ao usuário um método para elaboração de senhas que melhore o grau de segurança no acesso aos serviços da internet, ao mesmo tempo em que apresenta a resposta DEFINITIVA para essa questão.

Através de exercícios simples, detalhados, o usuário em pouco tempo, e por pouco tempo estou me referindo a uma ou duas horas, estará apto a criar senhas que atendam aos mais atuais requisitos de segurança.

E mais: não estará pronto para criar uma, duas, nem dez senhas. Estará pronto para criar milhares de senhas diferentes, sem o risco de esquecer nem mesmo uma delas.

Esta primeira página traz algumas informações com o objetivo de conscientizar sobre os desafios de se cadastrar de forma segura. Se o leitor já conhece o tema, pode passar para a página seguinte. Caso contrário, tenha paciência e continue lendo.

A Senha Segura

Quando nos cadastramos em um site, nos deparamos com um problema básico: a elaboração de uma senha segura e fácil de memorizar.

A recomendação, tanto do site quanto dos especialistas, é que o usuário crie uma senha com os seguintes requisitos:

1. utilizar números, letras maiúsculas, letras minúsculas e símbolos (maiúsculas e minúsculas também são conhecidas como caixa alta e caixa baixa)
2. ser extensa
3. personalizada - uma senha para cada site

Parece muito fácil de recomendar, difícil é conseguir cumprir. E essa dificuldade faz com que muitos usuários desistam de tentar uma solução e acabem por repetir sua senha em diversos cadastros, quebrando as regras básicas de segurança.

Isso não é culpa do usuário: é dos próprios sites e especialistas, que cobram mas não sugerem formas para que o usuário possa atender as recomendações com segurança.

O método que vou ensinar atende as recomendações e permite que o usuário possa criar efetivamente quantas senhas forem necessárias, sem que tenha de se preocupar com a repetição das mesmas nem memorizar diversas senhas diferentes.

A respeito da origem do método, imagino que outras pessoas já devem ter tido alguma ideia semelhante e a utilizem costumeiramente, mas não a disponibilizam. O meu método foi desenvolvido quando tentava criar uma senha mais difícil, que variasse em sites diferentes, e que eu não esquecesse. Criei uma forma básica, que foi evoluindo com o tempo e seguindo a demanda sempre crescente por segurança.

Quando um colega pediu para que eu lhe ensinasse um jeito de resolver o mesmo problema, e considerando que eu tive sucesso na empreitada, comecei a pensar em divulgar o método ao público em geral. Afinal, estamos todos no mesmo barco da segurança da informação.

O Risco

Questão: qual o risco de um criminoso resolver atazanar a vida de determinado usuário e insistir em descobrir suas senhas?

Resposta: depende do que o o usuário tenha que interesse ao criminoso.

Os fraudadores preferem distância do alvo. É a ideia do "risco generalizado!" É claro que o maior risco para usuários de sites de compras é o de realizarem compras com um cartão que tenha sido previamente pré-cadastrado. Isso reduz o trabalho do fraudador, que só precisa descobrir o código de segurança, geralmente restrito a meros 3 números. De posse de seus dados de acesso, login e senha, podem criar um endereço de entrega e a partir disso se habilitam a receber as mercadorias.

Em outro tipo de fraude, um usuário que entra com os dados do cartão na hora de finalizar a compra pode estar acessando um site falso. Ou sua comunicação pode estar sendo interceptada. Ou um malware, um cavalo de tróia pode estar registrando toda sua atividade em segundo plano, sem que ele saiba.

Já o usuário de banco quando vítima pode ter sua conta utilizada para pagar faturas. Podem aumentar seu limite de crédito e efetuarem saques.

Esses golpes tem uma característica em comum: para funcionar os criminosos tem de ser mais rápidos do que os donos das contas. Ao notar a fraude, o usuário consegue tomar providências até que bem rápido.

É por esse motivo que os criminosos não perdem tempo com desafios, até porquê os programas especializados em fraude conseguem dados aos milhares, e é impossível saber a qualidade do dado colhido até que seja inserido em um site.

Por conta disso, se uma senha capturada de um usuário não funciona, os fraudadores simplesmente passam para o próximo usuário. Correm contra o tempo.

Mesmo o cidadão que não realiza compras nem faz operações bancárias pela internet tem um bom motivo para se preocupar com suas senhas. É devido a uma situação relativamente nova, mais específica e cuja quebra é bem mais prejudicial ao cidadão: proteger suas informações armazenadas na nuvem.

Os serviços que boa parte dos usuários nem sabe que existem

Há alguns anos era motivo de comentários, discussões e até piadas: o editor de texto, a planilha eletrônica, tinham, e ainda tem, recursos fantásticos. E em tal quantidade que o usuário simplesmente esquecia, ou nunca conhecia, a maioria deles.

Essa situação, restrita a um software, estava mais para curiosidade do que para um problema.

Ocorre que hoje em dia acontece a mesma coisa nos serviços em nuvem. Em nuvem, para quem não sabe, é o armazenamento de informações em provedores fora de seu computador.

Quando o usuário se cadastra no Android e coloca lá seu e-mail, não tem só uma forma de visualizar suas correspondências virtuais. As informações de seus aplicativos são armazenas externamente. Assim, quando você troca de aparelho, sua agenda e sua lista telefônica reaparecem como mágica. O que a maioria das pessoas não sabe é que também estão sendo gravados os locais para onde você foi. Qual rua pegou. Qual casa parou. Com data, horário e tudo mais. As fotos que tirou pelo celular. Com indexadores. Onde você estava exatamente quando tirou aquela foto. Inclusive a que você deletou. E daí vai.

E sem saber como ativar ou desativar os recursos, poucos podem garantir que estão com as configurações adequadas às suas necessidades. Isso porquê essas informações tanto podem ser um problema quanto uma solução. Assim como um usuário pode ser monitorado por criminosos para um planejamento de sequestro, por exemplo, também pode ser monitorado pela polícia EM DECORRÊNCIA de um sequestro. Não é necessariamente um problema. É uma tecnologia apresentada como solução pelos provedores dos respectivos serviços. E realmente é, o problema é o abismo educacional entre parte dos usuários e o conhecimento necessário para utilizar todas as ferramentas disponibilizadas.

E não adianta o usuário dizer que "-Eu não preciso me preocupar pois não uso esses serviços!". Se alguém não usa os serviços, para os criminosos pode ser até melhor. De posse de suas informações básicas, as quais podem ser obtidas até mais facilmente do que com o uso da tecnologia, é possível criar um perfil falso. Como o cidadão "não usa os serviços", não há o risco do usuário ser alertado rapidamente de que existe algo errado.

O usuário de risco

Já em oposição a ideia de "risco generalizado", o risco que um hacker especializado representa para um usuário específico é maior do que o representado para um grupo de usuários de sites de compras, por exemplo.

Estamos falando de um fraudador que pretende perder um tempo maior tentando desvendar a senha de uma determinada pessoa. Um empresário, um gerente de banco, um cientista, um desenvolvedor. Nesse caso seu objetivo não é o de um ganho fácil e rápido. É um ganho maior, não necessariamente pecuniário, mesmo que com maior risco.

Também devemos considerar que boa parte dos usuários não contribui para a própria segurança.

Entregam celulares e notebooks para o conserto com a memória cheia de fotos pessoais, e não utilizam sequer telas de bloqueio. Quando utilizam senha, parece uma piada. Senhas como "senha", "123456", "qwerty", "password", nomes próprios, de marido, de filhos, datas de aniversário... Nem sabem o IMEI do aparelho quando é roubado, ou seja, facilitam para o ladrão mesmo.

É fato que o uso de uma senha, por mais forte que seja, não vai impedir que um programador acesse suas informações pessoais em seu notebook ou seu computador, desde que tenha acesso a seu equipamento.

Só que as possibilidades vão se afunilando. Para fazer isso é necessário não mais o cara que trabalha na loja, mas já um profissional, um hacker.

Da mesma forma, o usuário que se preocupa e sabe que pode atrair a atenção de hackers também deve estar em um nível mais elevado de conhecimento.

Para começar, se necessário guardar dados privados no computador, é preciso saber criar uma partição e remover todas permissões de acesso, ficando só a do proprietário. Utilizar um programa de criptografia para criar um disco virtual criptografado. Assim, se alguém "bypassar" sua tela de login, não conseguirá o acesso a seus dados privados. Mas isso é só uma parte de outro problema, não é objetivo deste site entrar nesta seara, senão perdemos o foco e nos alongamos demais. Mas vale a pena pesquisar o assunto na internet.

Condições para o uso do método "Chave Vinculada"

As condições para a utilização do método já é dada pela maioria dos cadastros existentes na internet, mas não por todos. É justamente a possibilidade da livre inserção de caracteres e o uso de um campo extenso, não limitando muito a quantidade de caracteres. Eu diria que 15 caracteres é o mínimo para a confecção de uma senha forte, mas o usuário ainda pode encontrar campos de senhas que, apesar de aceitarem qualquer tipo de caracteres, tenha a inserção limitada a 12, por exemplo. Limitar a 6 ou 8 caracteres ainda é recorrente na internet. Assim como campos que não aceitam caracteres especiais.

Vou dividir em 6 grupos básicos os sites onde é necessária a criação de senhas.

• Instituições bancárias tradicionais. Elas utilizam seus métodos próprios para garantir a segurança. Muitas vezes isso pode parecer inseguro. Mas essas instituições tem limitações provocadas por teclados de terminais bancários. É por isso que muitas vezes exigem senhas unicamente numéricas, de 4, 6 ou 8 números. Essa limitação acaba muitas vezes por repercutir no seu próprio banco virtual. A esse respeito não podemos fazer nada, dependemos delas e temos que contar com a segurança de suas soluções. Fazemos nossa parte: o uso de navegadores seguros e VPNs (Rede Particular Virtual - Virtual Private Network) de nada servem se o usuário não tiver um Anti-vírus atualizado, Anti-malware idem, e atualizações do sistema operacional em dia. Então, esses 3 últimos procedimentos são mais importantes que os dois primeiros.
• Instituições bancárias virtuais ou similares. Pagseguro, Mercadopago, e a maioria dos demais aceitam senhas fortes.
• Lojas virtuais. Existe aqui grande falta de uniformização. Algumas ainda não admitem uma senha forte. Exigem no máximo X caracteres, só alfanumérico ou coisa do tipo. Fuja desses sites. Se não querem investir no seu próprio sistema de compras, se não se preocupam com a segurança de seus dados, porquê você iria confiar neles? A maioria das lojas virtuais, no entanto, aceita senhas fortes.
• Serviços públicos e concessões. Geralmente pedem senhas fraquíssimas, e nem aceitam senhas seguras.
• Provedores e sites de serviços de internet. A maioria não só aceita como exige uma senha forte. Eu diria que, em função do Android e dos serviços em nuvem, a Google é a referência.
• Serviços simples. Cadastros em sites de notícias, fóruns, e outros não trazem muita consequência para o usuário, exceto é claro o problema do spam. Boa parte nem exige mais um cadastro específico, basta se conectar com outra conta existente, tipo Facebook ou Google.

Até aqui só focamos em senhas. Mas o usuário tem de lembrar que é necessário outro campo para acessar os serviços. Justamente o ID do usuário. O nome com que faz o login.

O Login

O login geralmente é um e-mail, mas pode ainda ser um nome de usuário (a parte antes do sinal @), ou o CPF, ou um nome criado pelo usuário entre os que estiverem disponíveis. Essa variação não ajuda muito, e não existe uma padronização. Ao contrário, a cada dificuldade em um login o usuário pode criar uma nova conta, o que confunde e faz com que ele acabe tendo mais de um cadastro no mesmo site.

Antes de mais nada, é importante você padronizar seu nome de usuário.

Se criar uma conta do tipo 123mnt123@gmail.com (é só um exemplo), você passa a ter uma ID que pode ser utilizada praticamente em qualquer serviço. Quanto mais esdrúxula menor a possibilidade de alguém já ter cadastrado anteriormente.

Você precisa de um endereço eletrônico para fazer a validação de seus cadastros, contratação de serviços em nuvem e para que possam entrar em contato com você.

É claro que você pode ter seu endereço de e-mail no provedor de sua preferência, e pode criar quantos endereços quiser, mas eu diria que atualmente você faz tudo com um só endereço. Eu, pessoalmente, prefiro ter um de serviços vinculados à Microsoft (para acessar serviços pelo windows) e um vinculado à Google (serviços de backup do Android e outros como Maps, Keep, Drive, etc...). Mas prefiro assim por uma estratégia de segurança pessoal, já que você pode acessar o Windows com qualquer e-mail. Se você pretende ter somente um endereço de e-mail, sugiro o do Google. Se você preferir outro, não aconselho provedores de pequeno porte, nem provedores locais, pois podem deixar de existir de uma hora a outra. E aqueles de serviços pagos podem se tornar inviáveis no futuro, por questões de cobrança.

A partir da próxima página, vamos efetivamente ao que interessa.