Dia Mundial da Senha pode revelar que o mundo ideal é um mundo sem senhas
Uma senha pode ser compartilhada espontaneamente, pode ser perdida após ter sido anotada em um papelzinho, pode ser esquecida ou robada. Por isso, os especialistas estão cada vez mais convencidos das vantagens de acabar com essa forma de reconhecimento.
Não é de hoje que os especialistas em segurança da informação alertam e se esforçam para convencer as pessoas sobre a necessidade de cuidados especiais com suas senhas no mundo virtual. O ápice dessa preocupação pode ser considerado como a criação do Dia Mundial da Senha, uma iniciativa inspirada no livro Perfect Passwords, do pesquisador de segurança Mar Burnett, lançado em 2005. A partir de uma sugestão contida na obra, as primeiras quintas-feiras do mês de maio foram separadas para a comemoração desta data na forma dos mais diferentes eventos com objetivo de sensibilização para o assunto.
Mesmo assim, os mais diversos estudos mostram ano após ano que entre as principais credenciais vazadas no mundo virtual aparecem senhas com sequências óbvias e fáceis como 123456, 1111111. I23123, abc123abc123 e outras. Tudo isso usado não em somente um dispositivo, mas em todas as oportunidades nas quais a pessoa é levada a criar um código que deveria ser secreto.
Considerando essa dificuldade de mudança de comportamento das pessoas, cresce a cada dia o consenso sobre as vantagens do passwordless, ou da autenticação sem senha. O conceito leva em conta as três condições básicas de reconhecimento que são: O que a pessoa sabe, o que a pessoa tem, e o que a pessoa é.
Neste sentido, a senha corresponde ao que a pessoa sabe e isso tem se mostrado um ponto de vulnerabilidade já que apresenta várias situações de perda de controle. Uma senha pode, por exemplo, ser compartilhada espontaneamente, pode ser perdida após ter sido anotada em um papelzinho, pode ser esquecida etc. O que você sabe é fácil de capturar. Por isso, os especialistas estão cada vez mais convencidos das vantagens de acabar com essa forma de reconhecimento.
A vertical baseada no que a pessoa tem, por exemplo, apresenta a vantagem de ser materializada em um token que pode estar presente em um telefone celular e outras soluções de passwordless que funcionam bem com duplos fatores de identificação.
Já a vertente que enfatiza o que você é também oferece a robustez tecnológica das várias formas de biometria. Isso porque não existem formas de falsificar uma impressão digital, por exemplo, ou a íris. Estes traços genéticos são sempre únicos e intransferíveis.
Dessa forma, parece claro que existem estratégias de autenticação sem o uso de senha que tem se mostrado mais eficazes e seguras. A pessoa entra, por exemplo, num sistema e coloca o seu endereço de email para onde é enviado um código de acesso. Este código representa o que ela tem e vai permitir a identificação dela. Tudo isso sem nenhuma senha. Este parece ser o modelo que vai dominar o futuro da autentificação.
Mas enquanto esse futuro não chega, ainda é totalmente válido aproveitar o Dia Mundial da Senha para reforçar os cuidados que devemos tomar com o que sabemos.
Em primeiro lugar, na hora de escolher uma senha é preciso buscar ao máximo as combinações que a tornem o mais forte possível. Para uma senha ser considerada forte ela precisa ter, no mínimo, oito caracteres com letras, números e sinais especiais.
Esse número é baseado no poder computacional para que ocorra a quebra de uma senha, lembrando que os ataques mais comuns para roubo de senhas são os ataques da chamada força bruta. que ocorrem quando os golpistas tentam vários tipos de caracteres até acertar a senha. Neste sentido, os especialistas calculam que, para descobrir uma senha forte com oito caracteres, os fraudadores levariam mais de 57 dias testando combinações, o que seria um grande complicador para a investida.
Mas isso não invalida a adoção de uma configuração no equipamento que bloqueie o acesso caso ele detecte erros consecutivos de uso da senha.
Esses cuidados sempre linkados a fatores de dupla autenticação são fundamentais para garantir a inviolabilidade da senha.
Isto pode e deve ser feito. Pelo menos enquanto existirem senhas.
Sobre o autor: Thiago Guedes Pereira é CEO e Founder da DeServ, empresa especializada em segurança da informação e privacidade dos dados.