Lembre-se: lugar de guardar senha é na cabeça Fonte: O Globo, 10/05/2004
Usar a mesma senha para vários tipos de atividades? Nem pensar. Deve-se evitar, também, palavras que constam dos dicionários. Inclua-se aí nomes próprios e palavras estrangeiras. É que o uso de programas-dicionário é dos três tipos de ataques mais comuns. Os outros são os ataques de força-bruta — o invasor testa ad eternum todo tipo de combinação, usando o método conhecido como “força-bruta” — e a adivinhação lógica (alguém que conhece você vai tentar quebrar sua senha usando coisas ligadas a você, como nome do cachorro, data de aniversário, de casamento, do aniversário dos filhos, sobrenome, etc). É claro que o invasor conta com a ajuda de softwares e quanto maior a capacidade de processamento do micro dele, mais rápida será a decifração do “código”.
— Usando máquinas mais modernas, a cada dez mil tentativas ele seria capaz de acertar uma vez — diz Francisco Camargo, diretor da empresa de segurança CLM Software.
Francisco dá uma dica para memorizar senhas: escolha um título de filme e troque as letras por caracteres especiais — como um “R” por um “#” (jogo da velha). Para melhorar ainda mais a segurança, use letras maiúsculas combinadas com minúsculas.
Não existem ambientes totalmentes seguros
Para Gerson Rodrigues, diretor comercial da 7COMm, empresa especializada em transferências eletrônicas de dados, a automatização das invasões em sistemas bancários é o maior perigo.
— Para acertar uma senha de banco com seis dígitos, um hacker precisaria de mais de um milhão de diferentes combinações. Mas no internet banking ele só pode tentar uma senha três vezes. Assim, ele prefere tentar uma combinação de seis dígitos em um milhão de contas. Em algum momento ele acerta, já que existem senhas tão simples quanto 000000 — diz Gerson.
Os bancos armam-se para proteger os dados dos clientes. Mas a corrida pode dar em nada. É que especialistas do “outro lado da força” também se reciclam.
— Agora, bancos como Bradesco e Itaú estão combinando números com letras. A questão é que não existem ambientes à prova de invasões ou tecnologias que ofereçam 100% de segurança. O que os bancos fazem é avaliar novas tecnologias que diminuam as invasões. E as pessoas também podem ajudar a diminuir esses riscos, escolhendo melhor as senhas — diz.
Para especialista, mundo das senhas já nasceu morto
André Diamand, diretor da Future Security, é enfático ao afirmar que as senhas estão condenadas à morte. Segundo ele, se hoje a dupla “usuário-senha-que-você-sabe” é a mais usada, a tendência é migrar para formas de autenticação que usem a biometria, ou seja, a senha passar a ser “o que o usuário é”. A questão é que a biometria ainda exige leitores específicos que, se poucas grandes empresas ou instituições financeiras usam, quiçá o coitado do usuário doméstico.
— As novas tecnologias não vingaram por motivos financeiros e também de inércia. Mas é possível diminuir os riscos — diz André.
Uma outra solução interessante apontada por André Diamand é o uso de Security IDs, “chaveirinhos” dotados de uma combinação de números que troca a cada hora. Neste caso, a senha digitada pelo usuário será a que aparece no display do chaveirinho naquele instante e que será autenticada pela outra ponta, bancos e empresas em geral.
— Com o Security ID o usuário só precisará usar uma senha simples que somente ele conhece. Assim, mesmo que alguém roube o “chaveirinho”, não conseguirá acessar nada — explica André.
E você, onde é que guarda as suas senhas?
O especialista em segurança da empresa 3Elos Rinaldo Ribeiro conta que, trabalhando num projeto, foi tentar descobrir qual seria a senha da gerente de rede. O primeiro teste foi usar o nome do marido dela. E não é que era? Se em casa de ferreiro o espeto é de pau, não é de estranhar senhas anotadas em borrachas, debaixo do teclado ou escritas em post-its e coladas no monitor.
— Já vi muitos casos estranhos e perigosos, desde post-its debaixo do mousepad até papéis com senhas guardados dentro de carteiras.
Tem mais: segundo Rinaldo, a preocupação com senhas é tão pequena que, em projetos da 3Elos, mais de 50% das senhas são descobertas/quebradas em menos de uma hora.
Afinal, os teclados virtuais são mais seguros?
Para aumentar o nível de segurança, os bancos passaram a adotar teclados virtuais, programas em Java nos quais, em vez de digitar a senha, o usuário clica com o mouse num teclado na tela. É que os invasores, espertamente, já estavam usando cavalos-de-tróia conhecidos como keyloggers, programas que gravam tudo o que se digita e envia para alguém através da rede.
Outro risco é a instalação remota, nos micros, de “image loggers”, cavalos-de-tróia capazes de “ler” a imagem no monitor e os movimentos do mouse, em vez do uso do teclado. Pensando nisso, os bancos criaram teclados virtuais nos quais as letras digitadas somem logo depois de digitadas ou se transformam em asteriscos.
Gerson Rodrigues lembra, no entanto, que a maioria dos teclados virtuais ainda não aceita senhas alfanuméricas. Assim como as transações bancárias feitas através do telefone, por motivos óbvios. Esse é um limitador importante.
Nenhuma tecnologia será suficiente se os usuários não se dão conta de que precisam proteger os micros com antivírus e firewall.
— De nada adianta ter senhas lindas se você, navegando na internet, em algum momento instalou, sem querer, um cavalo-de-tróia no micro. Por isso, é fundamental ter instalado um firewall com detecção de intrusos e de spywares — diz André Diamand. — Além disso, o usuário também deve evitar acessar bancos ou outras coisas importantes em cibercafés. Alguém pode ter feito uma bobagem antes dele e instalado um espião de teclado, por exemplo.
Além disso, no mundo “físico” procure usar caixas eletrônicos com mais cautela. E drible os “surfistas de ombro”, espertalhões que ficam à espreita perto de ATMs só esperando que alguém digite a senha inadvertidamente. E nunca, nunca amasse e jogue nas lixeiras de rua recibos de transações financeiras que contenham o número de sua conta. É que ele é a primeira de suas senhas.
© Copyright by Future Security
