por Brian Chen, do ‘The New York Times’
Foi oficializado mais uma vez em janeiro: as pessoas bolam senhas terríveis.
Ano após ano, estudos mostram que muita gente ainda usa algumas senhas tão fracas que até uma criança de cinco anos poderia descobri-las. De acordo com um estudo divulgado em janeiro pela SplashData, desenvolvedora de software de gerenciamento de senha, os consumidores continuam fazendo escolhas arriscadas ao usar senhas simples.
Aquelas sem um pingo de criatividade, como “123456″ e “starwars”, por exemplo, estavam entre as mais usadas de 2015, disse a empresa.
Agora, uma confissão: não sou melhor que ninguém. Recentemente, o aplicativo de gerenciamento de senha Dashlane fez uma auditoria de segurança nas minhas – e o que descobriu não foi nada bom. Ele revelou que, de todas as 70 senhas, havia uma que eu reutilizava 46 vezes; 25 foram consideradas particularmente fracas, ou fáceis de adivinhar.
Envergonhado, montei um guia de boas práticas para a criação de senhas e testei algumas ferramentas que ajudam a gerenciá-las. E ele se resume a isso: para que as senhas sejam mais seguras e protejam sua vida digital, devem ser únicas e complexas. Como é quase impossível memorizar 70, porém, precisamos também de programas de gerenciamento para termos algum controle.
Jeremiah Grossman, fundador da WhiteHat Security, empresa de segurança on-line, diz que memoriza apenas algumas, incluindo uma para desbloquear seu computador e outra para destravar um drive USB criptografado que contém um arquivo com a lista de todas as suas senhas em dezenas de serviços. Não é possível memorizar nenhuma porque são aleatórias.
“Eu crio literalmente batendo no teclado como um macaco”, disse Grossman em entrevista, acrescentando: “O meu processo é um pouco mais paranoico do que o da maioria das pessoas”.
O resto de nós precisa de gerenciadores de senha, um tipo de aplicativo que guarda todas em um cofre e permite o acesso com uma senha mestra. Testei três serviços populares – LastPass, Dashlane e 1Password – durante vários dias. Todos são parecidos, mas o 1Password se destacou pelo design mais limpo (e por ser menos irritante).
Testando. Para testar os gerenciadores, comecei por uma espécie “higienização”: passei mais de duas horas entrando em todas as minhas 70 contas na internet e alterando cada senha, uma de cada vez. Seguindo os conselhos de especialistas em segurança, criei sequências longas e complexas, consistindo de frases sem sentido, falas de filmes ou uma frase que resume estranhos eventos da vida e acrescentei números e caracteres especiais. (Exemplos: Meu número favorito é Green4782# ou O gato comeu o algoDDao doce 224&).
Então fui para os gerenciadores de senha, que as armazenam e disponibilizam mediante uma senha mestra – que, naturalmente, deve ser uma fortaleza. Então, criei uma complicada para cada um dos três aplicativos e anotei em um pedaço de papel. Depois de alguns dias, já tinha tudo decorado e joguei o papel fora.
Recomendo o 1Password por várias razões: o app sempre detecta automaticamente quando me conecto aos sites ou crio novas senhas e pergunta se quero adicionar uma nova ao cofre.
Ao fazer login em um site, clico no ícone do 1Password em um navegador ou abro o aplicativo no telefone, digito minha senha mestra e seleciono o serviço que quero acessar para que ele use a senha. (O 1Password pode ser configurado para exigir a senha mestra após um determinado período de tempo, digamos cinco minutos, caso você não queira digitá-la todas as vezes; no iPhone ele pode ser configurado para desbloqueá-las com sua impressão digital.)
Entre os que testei, o Dashlane foi o mais frustrante porque me incomodava com muitas perguntas. Depois que o usei para me conectar ao TicketWeb para comprar ingressos de cinema, o aplicativo me perguntou se eu queria salvar uma cópia do recibo. Ao fazer isso, congelou o navegador e, por alguns momentos, acabei perdendo o acesso às entradas. Além disso, sempre que criava uma nova senha, o programa me enviava uma notificação perguntando se eu queria que ele gerasse as senhas automaticamente para mim – algo que já havia excluído de minhas preferências.
O Dashlane disse que envia muitas notificações em parte porque foi projetado para usuários que talvez não sejam experientes.
“Como o gerenciamento de senhas se tornou uma preocupação para a grande maioria dos consumidores, a simplicidade adquire um conceito completamente diferente. Tentamos desenvolver uma solução que inclua usuários menos sofisticados”, disse em uma entrevista Emmanuel Schalit, executivo-chefe da Dashlane.
O terceiro aplicativo, o LastPass, era menos irritante, mas, em várias ocasiões, não detectou que eu estava entrando em um site e queria adicionar uma senha. Isso me obrigava a criar manualmente uma nova para adicionar ao cofre.
Os três aplicativos oferecem a capacidade de compartilhar todas as senhas entre vários dispositivos, como smartphones, tablets e computadores. A sincronização por Wi-Fi é uma necessidade: não poder acessar um serviço no smartphone porque você deixou todas as senhas no laptop, por exemplo, é frustrante.
Diferenças. O que os distingue é a forma como compartilham suas senhas entre diferentes dispositivos e quanto cobram. O Dashlane é inicialmente gratuito e hospeda tudo em seu próprio servidor na nuvem para que você compartilhe senhas em vários dispositivos, mas custa US$40 por ano para usar o serviço da nuvem. O LastPass também é gratuito, mas oferece a capacidade de compartilhar senhas em vários dispositivos por US$12 por ano.
O 1Password se destacou porque oferece o maior custo-benefício: por um pagamento único de US$50, você obtém uma licença para usá-lo em um computador e seus principais recursos em iPhones ou dispositivos Android de graça – mas se quiser desbloquear recursos extras, como a capacidade de armazenar números de série para licenças de software, terá que pagar US$10.
Riscos. Há sempre o risco de que as próprias empresas de gerenciamento de senha sejam hackeadas. O LastPass relatou uma violação à sua rede em 2015, dizendo que os hackers tiveram acesso a endereços de e-mail e lembretes de senhas dos usuários.
Para evitar isso, você pode optar por ignorar os gerenciadores. Se essa for sua escolha, Grossman disse que há sempre uma maneira pouco tecnológica para controlar senhas: anotar tudo em um pedaço de papel e manter a lista em um lugar seguro. A melhor parte desse método? É de graça.
