Você segue uma lógica para criar suas senhas? Trechos de músicas, estratégias alfanuméricas, datas que exorcizam ex-namorados e alfabetos complexos criados exclusivamente para não deixar que as senhas se transformem em passaporte para a privacidade são alguns exemplos. O designer Nicolas Cabral, de 26 anos, costuma escolher uma palavra ou frase de seu cotidiano – e, em cima disso, faz suas variações.
Durante muito tempo usou o código “peixefrito”. Para não unificar o sistema, matizava para “peixeassado” ou “peixecru” em outros serviços. “Confesso que não são das mais complexas, mas elas têm classificação entre médio e forte na avaliação de segurança dos sites”, argumenta.
Ele nunca teve nenhuma de suas contas violadas. Altera as senhas com frequência e indica o site Lifehacker (lifehacker.com). A página funciona como uma espécie de governanta: certifica o usuário de atualizar os códigos, faz recomendações e sugere trocá-los imediatamente, caso se pareçam com: 123456, aniversários e nomes próprios. As lógicas também entram na dança: kurt (login) e kobain (senha), por exemplo são vetadas.
Pouca gente consegue dividir um segredo sem se sacrificar. O engenheiro eletricista Rodrigo Pena, de 28, usava a mesma senha para todos os serviços com o argumento da memória fraca. Até o dia em que teve o e-mail v visitado pela ex-namorada. “Contei minha senha porque precisava de uma informação que estava lá”. Uma violação autorizada? “Pois é, mas ela entrou depois do término do namoro. Algumas mensagens apareceram lidas e ela não tomou nem o cuidado de marcar como não lida”, conta.
Hoje, ele segue uma lógica. “Altero alguma letra da senha padrão com o nome do site. Se faço uma conta no Gmail, por exemplo, a senha carrega a letra G. Ela é composta com números e letras maiúsculas e minúsculas.” A precaução é de quando trabalhou como suporte de sistemas. “Quase 45% das senhas eram ‘jesus’ ou nome de algum parente próximo da pessoa, como marido ou filhos.”
Uma das técnicas mais difundidas para quebrar senhas é conhecida como engenharia social. “Muitos hackers fazem esse trabalho. Pesquisam sobre você, investigam seus dados, e até perguntam diretamente, sem dar tantas pistas”, alerta o analista de sistemas Bruno Lemos. Neurótico com segurança, ele criou uma doutrina infalível, utilizada há 12 anos. “São letras e números embaralhados. Mas não qualquer sequência, senão acabo esquecendo”, diz. Uma das palavras que ele já utilizou foi ABTQENIO.
Alvo de ataques
No mês passado, a rede de perguntas e respostas Formspring recebeu um aviso de que 420 mil senhas foram roubadas do site e publicadas em um fórum na internet. Depois do vazamento, o serviço pediu que os seus 28 milhões de usuários redefinissem os códigos, por medida de segurança. No início de junho, as redes Last.fm (de música) e LinkedIn (de carreira profissional) também sofreram vazamentos.
Segundo a pesquisa da BRToken, empresa brasileira de soluções em segurança digital, nos Estados Unidos, o phishing (fraude eletrônica que tem o intuito de furtar dados pessoais) foi uma das grandes ameaças detectadas na América Latina. “Afetou 31 mil usuários do Twitter. A maior parte tinha senhas fracas”, conta Paulo Roberto dos Santos, gerente de canais da empresa. “Os usuários optam por códigos mais fáceis, pois os complexos são complicados de memorizar.”
Vários programas ensinam como roubar senhas. Ao digitar “ferramentas para quebrar senhas”, aparecem 226 mil resultados no Google. No YouTube, há até passo a passo sobre o assunto. “É importante ficar atento a isso, pois o roubo de senhas corporativas é porta aberta para informações da empresa e, no caso de clientes, prejuízo financeiro e de imagem, com queda da credibilidade”, explica Santos.
Óbvias “É urgente que o usuário saiba gerenciar suas senhas ou que tenha o hábito de usar uma para cada conta on-line”, alerta Fábio Assolini, analista de vírus da Kaspersky. Um dos erros mais comuns, segundo ele, é escrever algo óbvio, como 123456, o próprio nome ou a data de nascimento. “Todos querem palavras de fácil lembrança, mas isso deixa a conta suscetível a invasões. Tanto é que alguns sites não aceitam registros assim.”
Se você não tem o costume de lembrar muitas senhas ou tem contas em diversos sites, que tal utilizar um software para gerenciá-las? São programas que guardam todos os códigos e os memorizam automaticamente, com a opção de armazená-los em um pen drive, para utilizar em outros computadores. Todas as senhas são protegidas. “Mesmo que os dados desse software sejam capturados em um ataque, o hacker não saberá quais são as senhas, por conta das chaves criptográficas altas que o programa utiliza”, explica Assolini.
Há também a opção de utilizar o método de dupla autenticação. O Google e o Facebook são exemplos de empresas que oferecem esse tipo de verificação. Para acessar sua conta, além do nome de usuário e da senha, o usuário precisa entrar com um código temporário, fornecido por meio de um SMS. “Nesse caso, se algum hacker tentar atacar sua conta e conseguir adivinhar sua palavra-passe, ele não tem esse código. Recomendamos que os usuários ativem e usem esses serviços, que podem proteger suas contas”, indica Assolini, com uma ressalva: por depender da rede celular, a mensagem nem sempre chega na hora em que o internauta precisa.