Digitar uma senha para acessar um dos vários serviços que usamos se tornou uma parte tão cotidiana de nossas vidas que quase nunca paramos para pensar sobre isso. Muitas vezes, tentamos manter nossas senhas simples e fáceis de lembrar para que possamos passar rapidamente pelo processo de login e prosseguir com o que importa. Esse é um dos muitos erros que cometemos quando se trata de algo em que confiamos para garantir uma parte de nossa identidade digital.
Mas como hoje (07) é o Dia Mundial da Senha, é uma ótima oportunidade para pensar nos 5 erros mais comuns que os usuários cometem quando se trata de senhas.
1. Reutilizar senhas
Um dos erros mais frequentes é, sem dúvida, a reutilização de senhas. O problema geralmente começa com a criação da própria senha. Na maioria das vezes, as pessoas se preocupam em criar senhas fáceis de lembrar, o que geralmente significa que elas são curtas e simples, embora a maioria dos serviços agora tenha requisitos para inserir uma senha e exija um comprimento mínimo e a inclusão de alguns caracteres que adicionam um pouco mais de complexidade.
Depois de memorizarmos a senha e nos registrarmos em um novo serviço, e depois outro e outro, não queremos lembrar uma senha para cada um desses serviços. Por esse motivo, muitos usuários decidem reutilizar a senha que conseguiram salvar em sua memória. Segundo uma pesquisa realizada pelo Google, 52% reutilizam a mesma senha em várias contas, enquanto 13% surpreendentes usam a mesma senha em todas as contas. Substituir letras por números ou minúsculas por maiúsculas e vice-versa também é considerado uma reutilização da senha, embora alguns possam pensar que é uma pequena melhoria.
O problema mais sério com a reutilização de senhas é que os usuários são expostos ao que é conhecido como credential stuffing. O que é isso? É um ataque que procura controlar as contas dos usuários e, para isso, utiliza bots que tentam efetuar login usando credenciais de acesso que foram filtradas em vazamentos de dados antigos que outros sites sofreram - até que eles consigam encontrar a combinação correta de um novo site no qual foram usadas as mesmas credenciais de acesso já vazadas. Portanto, diversificar senhas é a melhor opção.
2. Criar senhas simples
Como já mencionamos, muitos dos problemas começam quando as senhas são criadas. Senhas simples são geralmente as mais usadas. Você deve ter assistido ao filme “O Foragido”, em que Leslie Nielsen tenta acessar a um computador adivinhando as credenciais de login, que acabaram sendo as palavras “Login” e “Senha”.
Se você acha que na vida real as pessoas são mais cuidadosas com a escolha de suas senhas, infelizmente isso não é verdade. Uma lista das piores senhas é publicada todos os anos, provando que, quando se trata de senhas, as pessoas tomam decisões altamente questionáveis, com "12345" e "password" entre as cinco principais senhas mais usadas.
Além de padrões simples e palavras óbvias, um erro frequente que você pode estar cometendo ao criar senhas é usar dados pessoais como parte das senhas, o que as torna em fáceis de adivinhar ou de encontrar. Seis em cada dez adultos nos Estados Unidos adicionaram um nome (deles, do cônjuge, dos filhos ou do animal de estimação) ou uma data de aniversário às senhas.
O ideal é usar uma frase como senha. O duplo fator de autenticação (2FA) também deve ser ativado quando possível, pois adiciona uma camada adicional de segurança contra vários tipos de ataques que tentam revelar credenciais de login.
3. Armazenar senhas em texto simples
Outro erro frequente é escrever nossas senhas. Isso pode ocorrer de duas formas: senhas escritas em papel ou em notas adesivas, ou salvas em planilhas ou documentos de texto em nosso computador ou telefone. No primeiro caso: a menos que o criminoso queira adicionar aos seus antecedentes a invasão de uma casa, não há como ter acesso a esses dados.
Isso não significa que você deve anotá-las em um papel ou simplesmente deixá-las à vista. De qualquer forma, as anotações devem ser apenas “pistas” para ajudar a lembrá-las e devem ser armazenadas em um local protegido de olhares curiosos. Se você armazenar as senhas em qualquer um dos seus dispositivos, será exposto a uma série de desafios. Se um atacante obtiver acesso ao seu dispositivo e vasculhá-lo, ele terá acesso, com pouco ou nenhum esforço, a uma grande quantidade de dados confidenciais, incluindo senhas armazenadas em texto simples.
Como alternativa, se o seu dispositivo for comprometido por um malware que copia seus dados e os envia para um servidor remoto, um cibercriminoso poderá acessar todas as suas contas antes que você perceba. Em alguns casos, o cibercriminoso pode até examinar seu dispositivo para ver se há dados exploráveis nele, incluindo o arquivo que contém as senhas. Portanto, fica claro que armazenar senhas de texto simples em qualquer dispositivo conectado é uma má ideia.
4. Compartilhar senhas
Embora compartilhar seja um ato de generosidade, as senhas são uma exceção. Embora alguns não pensem o mesmo, como 43% dos participantes de uma pesquisa nos Estados Unidos que admitiram ter compartilhado suas senhas com outra pessoa. Isso inclui senhas para serviços de streaming, contas de e-mail, contas de redes sociais e até mesmo acesso a contas para fazer compras on-line. Mais da metade dos entrevistados disse que já compartilhou suas senhas com outras pessoas. Embora o compartilhamento da senha para acessar uma conta do serviço de streaming seja algo mais comum, é menos perigoso que as outras opções mencionadas.
Depois de compartilhar sua senha com outra pessoa, a segurança da sua conta cai perigosamente, pois você perdeu o controle. Você não pode ter certeza de como a outra pessoa usará a senha e se a compartilhará com outras pessoas. Depende muito de como você compartilhou a senha: você a digitou na sua conta e a salvou? Ou você a enviou por e-mail ou por meio de um aplicativo de mensagens instantâneas em formato de texto simples? Se a última opção for o caso, você está à mercê de sua discrição e deve esperar que seus dispositivos estejam seguros, pois já destacamos as consequências de salvar uma senha em texto simples no erro anterior.
Outro aspecto importante e que deve ser lembrado é que, se você compartilhou sua senha em qualquer plataforma de comunicação digital, as pessoas com quem você compartilhou podem causar estragos em seus relacionamentos, sejam eles comerciais ou pessoais, já que agora podem fazer login com sua identidade. Se você compartilhou as credenciais de qualquer uma das plataformas de compras on-line que usa e se as formas de pagamento estiverem salvas, a pessoa com quem você compartilhou sua senha pode usar essas informações para concluir uma transação. Mesmo que essa pessoa seja sua esposa, não é recomendável manter todos os seus ovos em uma cesta.
5. Alterar senhas periodicamente (sem pensar muito)
Algumas empresas solicitam que os usuários alterem suas senhas a cada dois ou três meses "por razões de segurança". Mas, contrariando à crença popular, alterar sua senha regularmente, sem evidências de que ela foi vazada, não torna sua conta mais segura.
A professora de ciência da computação de Carnegie Mellon, Lorrie Cranor, destacou que há estudos que mostram que quando as pessoas são forçadas a alterar suas senhas com frequência, elas não pensam muito sobre isso. Além disso, pesquisadores da Universidade da Carolina do Norte (UNC) descobriram que os usuários facilmente criariam senhas que seguissem padrões previsíveis que chamaram de "transformações". O professor Cranor lista alguns exemplos dessas transformações: “por exemplo, inserir um número, substituir uma letra por um símbolo semelhante (por exemplo, alterar um S por $), adicionar ou remover um caractere especial (por exemplo, passar de três pontos de exclamação no final de uma senha para dois) ou alterar a ordem dos dígitos ou caracteres especiais (por exemplo, mover os números para o início em vez do final) ”. Ele acrescentou que ouviu casos em que os usuários incluíam o mês e, às vezes, o ano da alteração da senha como uma solução fácil para lembrar essas mudanças frequentes.
Isso facilita bastante o trabalho dos atacantes, pois, como os pesquisadores da UNC demonstraram, uma vez que os cibercriminosos sabem uma senha, podem adivinhar essas transformações com pouco esforço. Também é importante notar que, quando os cibercriminosos obtêm acesso ao seu dispositivo, eles podem instalar um keylogger que permitirá que eles acompanhem suas senhas toda vez elas sejam alteradas. Obviamente, se você tiver uma solução de segurança instalada no seu dispositivo, há uma chance muito maior de que o keylogger seja detectado e desativado.
Conclusão
Criar uma senha que funcione para você pode parecer uma tarefa assustadora, mas existem várias formas de facilitar esse processo. Como mencionamos anteriormente, devemos criar uma senha forte, contar com uma camada extra de segurança ao ativar o duplo fator de autenticação, quando disponível. Se para você é chato ter que lembrar de todas as senhas criadas, use um gerenciador de senhas. Dessa forma, você apenas precisará lembrar de uma senha, mas garanta que ela siga as dicas mencionadas neste post.
