JupiterHomes

A noite em que a minha palavra-passe «inteligente» caiu por terra

Pessoa a escrever numa agenda com a palavra "password123", com uma chávena, chave e telemóvel numa mesa de madeira.

Costuma acontecer tarde, quando já estamos meio a dormir.

Ficamos a olhar para uma caixa de início de sessão que insiste em não nos deixar entrar, e o cérebro vai buscar aquela palavra-passe que usamos há anos, com pequenas variações. Talvez acrescentemos um ponto de exclamação, troquemos um “a” por “@” ou juntemos “123” no fim, convencidos de que, desta vez, ficou impossível de decifrar. Sentimo-nos até engenhosos, como se tivéssemos inventado um código secreto que só nós conseguiríamos imaginar.

Na manhã seguinte, aparece uma notícia sobre uma violação gigantesca de dados e sente-se aquele aperto silencioso no estômago. A nossa palavra-passe «esperta» estava nessa lista? E a de toda a gente? Há uma verdade desconfortável a crescer por trás dos nossos acessos: aquilo que nos parece seguro muitas vezes não é. E a palavra-passe em que mais confiamos pode ser precisamente a que abre a porta mais depressa a um intruso.

O dia em que a minha palavra-passe «inteligente» morreu

O meu despertar começou com um amigo muito confiante e um computador portátil. Estávamos sentados num café em Londres, daqueles que cheiram a café queimado e croissants quentes, quando a conversa chegou às palavras-passe. Eu disse-lhe, com orgulho, que usava uma complicada: “S3nh@123”. Repare-se nos símbolos, nos números, naquele belo caos todo. Parecia-me, sinceramente, suficiente.

Ele sorriu com aquele ar ligeiramente irritante de quem sabe algo que nós ainda não sabemos. Abriu o computador, lançou uma ferramenta gratuita para quebrar palavras-passe e introduziu a minha obra-prima num verificador de teste. No ecrã, ao lado de “Tempo para quebrar”, apareceu: “Menos de um segundo.” Fiquei com a cara a arder. Ainda me lembro do ruído da máquina de café atrás de nós e do meu próprio coração a bater-me nos ouvidos.

Costumamos acreditar que enfiar alguns números e símbolos transforma “senha” num cofre-forte digital. Nessa noite, “S3nh@123” morreu para mim. Não porque deixou de funcionar, mas porque percebi que, na realidade, nunca tinha funcionado. E, se a minha era tão fraca, comecei a perguntar-me quantas outras pessoas andariam por aí com portas aparentemente trancadas, mas na prática escancaradas.

Porque «S3nh@123» é praticamente um tapete de boas-vindas

Aqui está a parte desconfortável: as manobras que nos parecem brilhantes são precisamente as que os atacantes esperam. Trocar “a” por “@” e “o” por “0” não é genialidade, é o básico. Estas substituições fazem parte de um estilo de escrita muito usado em ambientes informáticos, e também estão incorporadas nas ferramentas que os criminosos utilizam. Eles não ficam sentados a adivinhar no escuro; deixam as máquinas fazer o trabalho sujo.

Essas máquinas percorrem listas de palavras-passe já conhecidas por serem fracas, padrões comuns e palavras de dicionário a uma velocidade vertiginosa. “senha”, “s3nh@”, “senha123”, “s3nh@123” - tudo isto é testado quase de imediato. O mesmo vale para o nome do cão com “2024” à frente ou atrás, ou para o nome do filho seguido da data de nascimento. Se um ser humano consegue imaginar isso num momento de cansaço antes do trabalho, uma máquina consegue fazê-lo milhares de vezes mais depressa.

Complexo nem sempre significa forte

Há aqui um paradoxo que custa a engolir. Durante anos disseram-nos que devíamos usar símbolos, letras maiúsculas e números. Então, em vez de criarmos algo verdadeiramente seguro, enchemos os mesmos moldes gastos com um pouco mais de decoração. Sim, “S3nh@123” parece confuso e elaborado, mas por baixo da aparência sofisticada continua a assentar na palavra mais óbvia de todas: “senha”. E os atacantes sabem isso muito bem.

A força real está no comprimento e na imprevisibilidade, não numa complexidade fingida. Uma palavra-passe curta, com ar complicado, como “P@lm@123!”, desfaz-se num instante quando se baseia numa palavra conhecida. Já uma frase mais longa e quase banal, como “janela roxa autocarro chuva”, é muito mais difícil de adivinhar por uma máquina, mesmo sem ter um único símbolo. As máquinas não ligam ao quão esperto nos sentimos; ligam à matemática - e a matemática é implacável.

O que os números assustadores realmente significam

Se já viu aqueles gráficos que circulam nas redes a dizer que “esta palavra-passe é quebrada em 3 minutos” e “esta leva 3 milhões de anos”, a lógica por trás deles é simples: medem quantas combinações possíveis a palavra-passe pode ter. As palavras-passe curtas, com pouca variação de caracteres, oferecem poucas hipóteses, por isso cedem depressa. Quando se sobe para 15, 18 ou 20 caracteres com palavras imprevisíveis, o número de combinações dispara para valores que quase parecem inventados.

E é essa a estranha consolação: não se ganha por ser brilhante; ganha-se por ser um pouco aborrecido e bastante mais aleatório. Quando finalmente aceitei isto, percebi que o meu cérebro estava a travar a batalha errada. Não estava a tentar criar algo que um atacante não conseguisse adivinhar; estava apenas a tentar fazer algo de que me lembrasse. E esses dois objectivos estavam, em silêncio, a sabotar-se mutuamente.

O cansaço das palavras-passe que ninguém admite em voz alta

Todos já tivemos aquele momento em que escrevemos a mesma palavra-passe em quatro sites diferentes e rezamos para que funcione, pelo menos, num deles. Dizemos a nós próprios que um dia vamos organizar tudo “como deve ser” - palavras-passe únicas, actualizações regulares, talvez até uma folha de cálculo. Depois a vida acontece, a caixa de correio enche-se, e nada muda. Vamos ser honestos: quase ninguém faz isto todos os dias.

O resultado é uma pequena rotação de palavras-passe quase idênticas, recicladas entre banco, compras, redes sociais e e-mail. Parece manejável. Também significa que, no momento em que um site sofre uma intrusão, as chaves para as outras contas podem estar, potencialmente, na base de dados de outra pessoa. É assim que a invasão de um site de moda aparentemente inofensivo pode transformar-se, um mês depois, num problema de acesso à conta bancária.

O que alimenta verdadeiramente este caos não é preguiça; é desenho. A memória humana não foi feita para dezenas ou centenas de cadeias aleatórias de texto. O cérebro é extraordinário com histórias, rostos, emoções e lugares. É péssimo com “N5g!r2@KqL”. Estamos a lutar contra a evolução sempre que tentamos memorizar mais um monstro de oito caracteres “forte”. Não admira que tanta gente se agarre a “S3nh@123”.

A inteligência discreta das frases-passe

Há outra forma de pensar nas palavras-passe que, curiosamente, parece mais gentil: as frases-passe. Em vez de um amontoado apertado de caracteres, usa-se uma sequência de palavras sem relação entre si, como uma frase estranha que só nós diríamos. Isto imita a forma como a nossa memória funciona naturalmente. Não é código; é linguagem.

Pense em algo como “telemóvel laranja girassol bicicleta nuvem”. Parece disparatado, e é exactamente esse o objectivo. É longo, imprevisível e único. Para uma ferramenta de quebra, esse tipo de frase é um pesadelo, porque não é apenas uma palavra de dicionário, mas sim uma cadeia de palavras que normalmente nunca aparecem juntas. Ganha-se comprimento e aleatoriedade sem obrigar o cérebro a armazenar disparates sem fim.

Como criar uma frase-passe que funcione mesmo

Um método simples é o truque das “quatro ou cinco palavras aleatórias”. Não escolha o clube de futebol favorito, o nome do parceiro ou a terra onde nasceu. Vá buscar palavras completamente desligadas umas das outras a partir do que vê à sua volta ou de um livro: “espelho”, “comboio”, “abóbora”, “rio”, “bilhete”. Junte-as: “espelhocombioabóborariobilhete” ou, se o site permitir, com espaços: “espelho comboio abóbora rio bilhete”.

Pode acrescentar uma letra maiúscula ou um número, se a plataforma o exigir, mas a força verdadeira vem do comprimento e da aleatoriedade das palavras. Evite sequências óbvias como “um dois três quatro” ou citações muito conhecidas de músicas e filmes. O ideal é uma combinação tão estranha que até lhe provoque um sorriso, porque sabe que ninguém mais a inventaria daquele jeito.

Há quem prefira construir uma pequena história privada: “AAvóDançaÀTerçaNoTelhado” ou “RaposaSilenciosaRoubaPizzaAzul”. É estranho, é vívido e fixa-se bem na cabeça. E, de repente, a sua “palavra-passe” transforma-se numa imagem mental difícil de esquecer e difícil de quebrar.

Como encaixar frases-passe na vida real

Há um senão em tudo isto: provavelmente já tem dezenas de contas. A ideia de as alterar todas de um dia para o outro parece tão realista como mudar de casa à hora de almoço. Por isso, não o faça. Comece devagar. Escolha as mais importantes: correio electrónico, banco, redes sociais principais, talvez o armazenamento na nuvem. Essas são as joias da coroa.

Transforme primeiro esses acessos essenciais em frases-passe. Assim, mesmo que uma conta antiga de compras seja comprometida na próxima semana, os danos ficam limitados. O seu e-mail é muitas vezes a chave-mestra para redefinir tudo o resto, por isso merece atenção especial. É a versão digital da porta da frente.

Onde entram os gestores de palavras-passe

Se a ideia de memorizar mais do que três frases-passe ainda lhe deixa os ombros tensos, é aqui que um gestor de palavras-passe ganha, discretamente, o seu lugar. É um cofre que guarda todas as suas palavras-passe longas e feias para que não tenha de se lembrar delas. Abre esse cofre com uma única frase-passe mestra, algo robusto como “TapeteRádioTempestadeLimãoJardim”. Depois deixa a aplicação tratar do resto.

Muitas pessoas resistem no início porque parece que estão a pôr todos os ovos no mesmo cesto. A verdade é que a maioria de nós já faz isso - só que usa um cesto muito fraco. Uma frase-passe decente a proteger um gestor de palavras-passe bem construído é muito mais segura do que as mesmas três palavras-passe fracas espalhadas por cinquenta sites. Não se trata de perfeição; trata-se de trocar um cadeado de papel por uma porta a sério.

E quanto à autenticação de dois factores e à biometria?

Hoje em dia, a maior parte dos grandes serviços empurra-nos para a autenticação de dois factores: um código por SMS, uma notificação na aplicação, um número de seis dígitos que aparece e desaparece quase como num truque de magia. Pode parecer mais um obstáculo, mas é um dos poucos obstáculos que realmente compensa. Porque, mesmo que alguém descubra ou roube a sua palavra-passe, continua a precisar desse segundo código, novo e temporário.

As impressões digitais e o reconhecimento facial acrescentam outra camada. No telemóvel ou no computador portátil, esses dados biométricos funcionam como uma fechadura conveniente por cima da sua palavra-passe, não como substituto total. Não significam que possa voltar a usar “S3nh@123” e esperar que tudo corra bem. Pense neles como um trinco extra numa porta que, por baixo, ainda precisa de ser sólida.

O melhor conjunto, neste momento, é simples: uma frase-passe forte, um gestor de palavras-passe para organizar o caos e a autenticação de dois factores activada onde quer que seja oferecida. Não o torna impenetrável. Apenas o retira da categoria de “alvo fácil” em que tantos atacantes adoram trabalhar.

Também vale a pena falar das cópias de segurança e dos códigos de recuperação. Muitas contas oferecem um conjunto de códigos descartáveis para guardar fora de linha; se os mantiver num local seguro, eles podem salvar-lhe o acesso quando o telemóvel se perde ou a aplicação falha. E, por muito óbvio que pareça, convém desconfiar de mensagens que pedem urgência: muitos golpes começam com um alerta falso de início de sessão ou com uma página de aparência legítima a tentar levá-lo a escrever a sua palavra-passe num sítio errado.

A pequena decisão que muda tudo

A segurança pode parecer abstracta até ao dia em que deixa de o ser. Um alerta estranho de início de sessão no e-mail. Uma ligação para redefinir a palavra-passe que nunca pediu. Uma notificação do banco que não consegue explicar. As pessoas descrevem a sensação da mesma maneira: primeiro vem o frio, depois a correria. Nessa altura, já não está a pensar no número de caracteres. Está a pensar: porque é que não tratei disto antes?

A boa notícia é que isto não exige uma montanha técnica impossível de escalar. São apenas algumas escolhas pequenas feitas de forma ligeiramente diferente. Trocar “S3nh@123” por “RaposaJanelaEcoNeveBateria”. Activar aquele extra de segurança que o seu e-mail lhe anda a sugerir. Dizer sim a um gestor de palavras-passe, em vez de tentar guardar a internet inteira dentro da cabeça.

Da próxima vez que estiver a olhar para uma caixa de início de sessão, já tarde da noite, com os dedos suspensos sobre o teclado, pare um segundo. Pergunte a si próprio se as palavras que vai escrever cairiam em menos de um segundo num portátil qualquer. Depois imagine um desconhecido, algures numa sala escura cheia de ventoinhas, a ver outra palavra-passe fraca ruir. É nesse instante que pode, em silêncio, escolher uma história diferente.

Comentários

Ainda não há comentários. Seja o primeiro!

Deixar um comentário