Sabemos que é difícil lembrar de todas as nossas senhas, então ficamos tentados a tomar alguns atalhos. O problema é que cada um desses atalhos tem também os seus perigos, e é bom ficar atento a eles.
Senhas únicas (ou não?)
Você costuma repetir suas senhas? Vários sites tem a mesma senha? O que acontece se um desses sites for invadido e tiver sua lista de usuários e senhas vazada? É claro que qualquer atacante que se preze vai ver se aqueles usuários e senhas não existem também em outros lugares…
É uma recomendação básica de segurança nunca reusar suas senhas. É claro que de vez em quando todos ficamos tentados – aquela loja em que só nos cadastramos para comprar um presente de casamento, o site que exige cadastro para ler uma notícia… Se o site não tem qualquer informação importante sobre nós, não deveria ser problema. E talvez até não seja, mas é um mau hábito. O site que você hoje achou que nunca mais ia usar, pode se tornar importante para você no futuro, mas você vai lembrar de trocar a senha?
Regras de formação?
Se não podemos repetir, que tal usar alguma regrinha “só nossa” ? Por exemplo, se precisei criar uma senha no site “exemplo.com”, que tal usar como senha “Exemplo1!!!” ? Fácil de lembrar, especialmente se a regra for a mesma para todos os sites. Assim, para “outro.com” usaria “Outro1!!!” e por aí vai. O problema é o mesmo de repetir a senha – se um desses sites for invadido, e conseguirem descobrir sua senha nele, vão notar a “Regrinha1!!!” e testar para ver onde mais eles conseguem entrar.
O problema aqui pode ser mais grave, porque muita gente vai achar que a sua regrinha secreta é fabulosa, e vai usá-la para proteger sites mais sérios, que podem ter dados pessoais ou acesso ao seu cartão de crédito.
Além de que, você não foi o primeiro a ter essa idéia, garanto. Se alguém estiver testando as senhas dos usuários do “exemplo.com”, VÃO tentar coisas como exemplo1, exemplo123, @exemplo e por aí vai…
Uma senha recupera(?) a outra?
Quando criamos um usuário/senha para um site qualquer é comum informarmos também um e-mail associado “para fins de recuperação de senha”. Muitas vezes esse e-mail também é o “nome do usuário” que você usa para acessar o site. Se e quando você esquecer a senha, basta clicar no link “esqueci a senha”, e um email é enviado para você com um link para escolher uma nova senha. Conveniente? Sim. Seguro? Depende…
Se o seu “e-mail de recuperação” for protegido por uma senha forte, e de preferência por um fator adicional de autenticação, você pode estar razoavelmente seguro. Mas se não, basta descobrirem o acesso a esta conta, e todos os sites cujas senhas ela serve para “recuperar” estão a um click de serem invadidos. Foi mais ou menos o que aconteceu a esse repórter da Wired.
Isso sem falar nos sites que quando você clica em “esqueci a senha” te enviam um email com a sua senha, o que é tão errado que não sei por onde começar…
Perguntas “de segurança”?
Alguns sites, imaginando que você vai esquecer a senha, oferecem (alguns exigem) uma série de perguntas “pessoais e difíceis” para você responder e poder provar que é você mesmo. São coisas do tipo “time de futebol”, “filme favorito”, e por aí vai. Talvez já tenham visto disso por aí.
O problema é que às vezes você esquece o que respondeu. Cinco anos atás, qual era o seu filme favorito? Ainda é o mesmo?
Mas o pior é que fizeram uma pesquisa, e muita gente consegue adivinhar as respostas de outras pessoas – especialmente coisas comuns, como time de futebol. Então uma pessoa mal intencionada tem mais chance de entrar na sua conta adivinhando as “respostas pessoais” do que adivinhando a senha. Evite. Se for obrigatório, uma opção é usar isso como se fosse uma senha secundária. Meu time? “H5*ng5)fF1@w” . Meio difícil de lembrar, no entanto.
Fator adicional
Várias empresas com presença forte na internet estão oferecendo a opção de acrescentar um “fator adicional” de autenticação. O mais comum hoje em dia é pedirem o seu número de telefone celular, e daí em diante passarem a te enviar um código, via SMS, para você digitar e confirmar o acesso.
Isso aumenta bastante a segurança, já que é bem difícil que alguém que está tentando invadir uma de suas contas tenha acesso ao seu celular. O inconveniente é que amarra sua conta ao celular – você tem que manter o número do celular atualizado em todos esses serviços, e se não estiver com o aparelho, não tem acesso ao site.
Recomendações
Tente usar uma senha diferente para todo e qualquer site em que abrir uma conta.
Use senhas fortes (veja esse post).
Se um site importante para você (seu email principal, por exemplo) oferece a possibilidade de um fator adicional, considere usá-lo. Aliás, só não use se tiver um motivo muito forte para isso.
Se você usa com frequência mais do que uma meia dúzia de senhas, vai ser difícil memorizar todas, especialmente se forem complexas e longas (fortes). Nesse caso, a melhor solução é um gerenciador de senhas. Existem vários por aí, alguns grátis, outros pagos, e que tem diversas outras funcionalidades. Todos usam uma senha “mestra” para proteger as demais…
Pode ser difícil confiar na segurança do gerenciador de senhas – afinal, se ela falhar, TODAS as suas senhas podem ser descobertas. Mas existem diversas avaliações pela internet, e depois de ler algumas, dá para formar um juízo.
Backup, backup, backup
Se você usar um gerenciador de senhas, TEM QUE FAZER BACKUP! Fazer cópias de segurança é outra daquelas práticas que é muito boa na teoria, mas que muita gente deixa para amanhã. Mas se você perder o arquivo protegido que contém todas as suas senhas, vai sofrer muito. Se não fizer backup de mais nada, faça desse arquivo. A boa notícia é que muitos dos produtos (pagos) que existem oferecem soluções “na nuvem” e prometem fazer o backup para você. Muito prático e cômodo, mas, por via das dúvidas, grave também num pendrive, cd ou dvd – ou todas as anteriores.
Não subestime a importância de um backup seguro “offline”. Aquele repórter que eu mencionei lá em cima teve um pouco menos de problemas porque conseguiu recuperar uma cópia do arquivo mestre do gerenciador de senhas – porque todos os arquivos que ele tinha na nuvem foram apagados pelos invasores…
Faça um comentário