Thursday, 21 de November de 2024 ISSN 1519-7670 - Ano 24 - nº 1315

O fim da era das senhas

Com os ataques contra dados como o da Sony, o maior ataque cibernético sofrido por uma empresa, ou o que sofreu a Apple há alguns meses, quando dezenas de fotos privadas de atrizes de Hollywood foram roubadas e difundidas por todos os cantos da rede, falar de Internet e segurança tornou-se quase um paradoxo, uma contradição em termos. A maioria dos especialistas acredita que o atual sistema de senhas da rede caducou, pois é incômodo para os usuários e, como fica cada vez mais claro, por sua falta de confiabilidade. O futuro está nos sistemas de dupla autenticação e nabiometria, campo no qual várias empresas espanholas estão na vanguarda. Enquanto isso, todos os especialistas em segurança dão o mesmo conselho: gerar senhas mais complexas para, na medida do possível, impedir o trabalho de ladrões de dados.

Como escreveu o especialista em informática doThe New York Times, Farhad Manjoo, “não envie um e-mail, não suba uma foto na nuvem, não envie uma mensagem de texto, pelo menos se tiver alguma esperança de manter sua vida privada”. O problema é que cada vez temos mais dados importantes na internet, sejam bancários, profissionais ou pessoais, e eles estão cada vez mais expostos. O sitewww.databreaches.net estima que ocorreram 30.000 roubos de dados em todo tipo de empresas nos últimos dez anos, com uma inquietante aceleração em 2013 e 2014. Javier García Villalba, professor do Departamento de Engenharia de Software e Inteligência artificial Universidade Complutense de Madri, diz: “Uma senha sozinha não oferece mais segurança suficiente. Os ataques informáticos comprometem por igual qualquer senha, seja boa, má ou média.”

“As senhas são consideradas inseguras praticamente desde seu nascimento”, diz Alejandro Ramos, professor de Mestrado em Segurança das tecnologias da Universidad Europea de Madri. “O problema é que se utilizaram em todos os sistemas de informação e nos acostumamos a seu uso. Mudar e aprender novos métodos de autenticação não é simples e esse é o motivo principal pelo qual hoje em dia elas continuam a ser utilizadas.” Um estudo da empresa norte-americana Fortinet, especializada em sistemas de segurança reforçada, garante que cada usuário opera pelo menos 25 sites com senhas, mas apenas 6,5 chaves diferentes em média, o que enfraquece ainda mais a proteção. “O objetivo é encontrar soluções tecnológicas para remover senhas que dificultam muito o movimento pela web”, explica o diretor do PayPal na Espanha (a principal empresa de pagamentos pela internet), Estanis Martín de Nicolás. Javier Barrachina, gerente de produto da empresa FacePhi, uma startup que desenvolveu um sistema de reconhecimento facial via celulares que acaba de ser comprada pela Associação de Bancos do Peru (ASBANC), que reúne 16 organizações, é taxativo. “O fim das senhas é inevitável. Antes tínhamos que aprender dezenas de números de telefone de memória, agora isso parece inconcebível. Também funciona a favor das pessoas.”

Então, se as senhas morreram, qual é o futuro? “Os especialistas determinam que existem três fatores de autenticação, que são definidas por algo que sabemos, algo que temos e algo que somos”, explica Daniel Firvida, coordenador de operações do Instituto Nacional de Segurança Cibernética (Incibe), empresa estatal vinculada ao Ministério da Indústria, Energia e Turismo, cuja missão é reforçar a segurança das informações na internet. Algo que sabemos seria a senha tradicional, algo que temos seriam os cartões de coordenadas ou aplicações para gerá-los que são usados atualmente por quase todos os bancos, que exigem uma dupla autenticação antes de qualquer operação importante, e algo que somos seria a biometria, a autenticação através da voz, impressão digital ou íris.

A biometria ainda apresenta muitos problemas para sua generalização

Do oitavo andar da Gran Vía, oferecendo uma vista deslumbrante de Madri, Emilio Martinez, CEO da empresa madrilenha Agnitio, oferece uma visão de um futuro que já faz parte do presente. Sua empresa, conhecida por um programa de reconhecimento de voz usado pela polícia em quase 40 países, criou um programa sofisticado para substituir senhas pelo reconhecimento de voz dentro da aliança internacional Fido, o mais ambicioso projeto para dar um salto à frente na segurança na internet. Impulsionada por PayPal e gigantes como Google, Microsoft, Samsung, Visa, MasterCard, Alibaba, BlackBerry e Bank of America entre seus membros, o objetivo desta aliança é oferecer novos métodos de segurança que se transformem em padrões para pagamento ou manipulação de dados. A Apple, por meio do ApplePay que está incorporado nos EUA a seus novos dispositivos como o iPhone 6, também permite novas formas de pagamento, com uma segurança muito mais sofisticada. Este telefone, como o mais recente modelo da Samsung, já está desbloqueado com um sistema biométrico e permite realizar pagamentos apenas com a impressão digital como identificação.

As senhas estão mortalmente feridas, mas não mortas”, diz Emilio Martinez. “Já existem as normas tecnológicas e de padrões de pagamento que nos permitem ir substituindo, mas sua incorporação é lenta”, acrescenta. Martínez lembra como foi evoluindo a indústria de pagamento, desde os velhos tempos quando uma assinatura era suficiente para usar um cartão de crédito – lembrar agora os velhos aparelhos que deixavam uma reluzente cópia de papel carbono brilhante do cartão coloca os cabelos em pé – até a incorporação gradual dos chips nos cartões de crédito – que foram criados, em 1998, mas demoraram mais de dez anos para se generalizar. A chave é não só incorporar sistemas de segurança mais sofisticados usando os sensores que dispõem os telefones para capturar voz, imagem ou impressões digitais – os cálculos da indústria indicam que em 2017 haverá 990 milhões de celulares que incorporam estes sistemas –, mas no modo de armazenar a informação. Para os especialistas, um avanço essencial é implementar sistemas que façam com que as empresas não armazenem senhas, que só o cliente as tenha – é o que se chama de senhas fechadas e abertas. Assim, mesmo que sofra um ataque, o dano seria muito menor do que agora.

“As chaves fazem com que seja cada dia mais difícil navegar”, diz um especialista

O problema é que a biometria ainda apresenta muitos desafios: é mais fácil usá-la em um telefone que em uma página da web e deve ser incorporada amplamente pela indústria, de comércios até bancos ou empresas que lidam com informações sobre a web (basicamente todas). Como Javier García Villalba explica, “tudo bem para entrar em um edifício, mas não para se conectar com Melbourne.” “Por enquanto o mais seguro parece ser o uso do que se chama autenticação de dois fatores, onde, além de uma senha ou um algo que o cliente possua como uma calculadora, o celular. Isso faz com que o comprometimento de uma senha cause menos dano e, apesar de não ser um sistema totalmente confiável, oferece muito mais segurança”, acrescenta este professor da Complutense.

Como criar uma senha segura

Depois que o sistema na nuvem da Apple – dados armazenados na rede por usuários como fotos e agenda – sofreu um enorme ataque que provocou o vazamento de dezenas de imagens íntimas de famosos, a atriz Kirsten Dunst, uma das afetadas, escreveu em sua conta no Twitter: “Obrigada iCloud” seguido por emoticons de um pedaço de pizza e um cocô com olhos. Desde o enorme desastre, a Apple aumentou a segurança e, além disso, sempre avisa quando alguém entra no iCloud através de um navegador, se por acaso em vez do usuário seja um hacker. Este exemplo ilustra que não basta que os usuários tenham senhas eficazes – e diferentes, o que pode transformar o uso das senhas em um pesadelo –, já que esta precaução se torna inútil caso os hackers consigam entrar no lugar onde estão armazenadas.

Mas, embora no final possa resultar insuficiente, é preciso se proteger de alguma forma. Alejandro Ramos, do Programa de Mestrado de Segurança da Informação da Universidade Europeia de Madri, dá uma série de conselhos para reforçar as senhas: “As mais inseguras são aquelas que estão baseadas em palavras de dicionário ou seus derivados, por exemplo, a senha: ‘Dezembro2014’ ou qualquer derivado e transformação como por exemplo, ‘%D1zembr3-2014%’, será considerada igualmente insegura. A recomendação é usar uma senha de mais de 9 ou 10 caracteres que não possa ser interpretada, quer dizer, lida, nem uma derivação que substitua caracteres. Para que seja considerada forte, deve incluir maiúsculas, minúsculas, números e caracteres especiais, como por exemplo ‘Am#OD7IJ0soqO%’. Outra opção muito mais prática e que também é muito utilizada, é o uso de frases longas inventadas, como: ‘meu caminhão azul tem doze rodas’. Para este segundo exemplo, é importante que não sejam citações de livros, nem títulos de filmes.”

Daniel Firvida, coordenador de operações do Instituto Nacional de Cibersegurança (Incibe), afirma: “O maior defeito que podemos cometer é a reutilização; na maioria dos casos já está superado o problema de senhas muito fáceis ou muito curtas, mas continuamos colocando a mesma senha em todas as partes; para solucionar isso o ideal é utilizar alguma regra que nos permita combinar uma parte comum em todas nossas senhas que nos facilite lembrá-la, e que uma parte mude em cada lugar que a utilizamos. Dessa maneira, nossas senhas teriam a forma ‘senhassecreta+banco’ ou senhasecreta+facebook’. Se usamos isso, combinando letras maiúsculas, números e mudamos de tempos em tempos essa parte comum que utilizamos em nossas senhas, vamos ter conseguido uma importante melhora em sua utilização.”

Existem aplicativos para smartphones, como o Dashlane ou1password, que com sistemas de proteção e encriptação muitos sofisticados permitem ao usuário, com apenas uma senha-mestra, gerenciar um número infinito de senhas seguras. Problema? São serviços que quase sempre são pagos – a versão mais básica é gratuita, mas depois é preciso pagar uma quantia anual como ocorre no caso do Dashlane, que custa 26 dólares (70 reais) caso se queira aproveitar todos seus recursos – e a sensação para os novatos de que estão colocando todos os ovos na mesma cesta, todos os dados privados no mesmo lugar. O Instituto Nacional de Cibersegurança da Espanha oferece contas, totalmente gratuitas em seu site além de todos os tipos de conselhos.

******

Guillermo Altares, do El País