Qual o problema em usar a mesma senha em vários serviços?

Qual o problema em usar a mesma senha em vários serviços?

Analisamos o risco de usar a mesma senha em diversas contas e serviços e quais alternativas podem ser úteis para proteger os dados de login.

Analisamos o risco de usar a mesma senha em diversas contas e serviços e quais alternativas podem ser úteis para proteger os dados de login.

Sempre é bom ter em conta que nossas senhas são as chaves que protegem nossas informações pessoais. No entanto, o uso de senhas fracas, incluindo o uso da mesma senha para acessar várias contas, enfraquece nossa segurança e pode representar sérios riscos à nossa privacidade.

A rotina de acesso às contas de serviços, normalmente, funciona da seguinte forma: realização de um registro com seu nome de usuário e senha que só você conhece. E para acessar novamente, basta retornar à home page e inserir seus dados de login. É claro que, por saber que o processo funciona assim, você prefere configurar a sua conta com uma senha fácil de lembrar. Não é mesmo?

E é justamente aí que os problemas aparecem. O “fácil de lembrar” frequentemente equivale a senhas curtas e simples, além de serem fáceis de adivinhar. Isso é excelente para os programas de quebra de senhas que se fazem passar por um usuário e tentam acessar sua conta usando a técnica de força bruta.

No outro extremo, uma senha longa, complexa e aleatória é difícil de decifrar, mas também difícil de lembrar. E aí está o problema (sim, de novo!). Lembrar muitas senhas complexas e ser capaz de memorizar para qual serviço on-line cada uma das chaves corresponde é algo bastante complicado, a menos que você tenha a memória de um elefante.

De fato, usar “frases como senha”, como “EU ADORO ler o WeLiveSecurity!”, pode ser uma boa ideia, já que é algo fácil de lembrar e, ao mesmo tempo, uma chave suficientemente robusta. No entanto, você acha que os usuários se lembrarão das diferentes frases escolhidas como senha para cada conta on-line ou serviço?

Dar algo em troca

O que muitas pessoas fazem – pelo menos aquelas que não têm a memória de um elefante – é arriscar em termos de senhas de segurança atravé do uso de chaves como “123456”, sem se preocupar muito com o que pode acontecer. Isso, certamente, até que algumas de suas contas sejam comprometidas e suas informações pessoais sejam vazadas ou, ainda pior, que a sua identidade on-line ou dinheiro sejam roubados. Afinal, faz parte da natureza humana não dar importância aos riscos envolvidos em uma decisão desse tipo até que o problema acabe nos atingindo.

De fato, às vezes, você se sente como se não pudesse ter tudo: ou seja, muitas contas on-line, cada uma com senhas complexas, fáceis de lembrar e únicas. Não é de surpreender que, nesses casos, nossa paciência esteja esgotada e isso nos leve a usar atalhos mentais que acabam estragando o que começou bem. Em outras palavras, acabamos reutilizando uma senha.

Além dessa decisão ir de encontro com a segurança do usuário, a reutilização de uma senha está no mesmo nível de outras práticas que não são aconselháveis em termos de autenticação. As senhas criadas com uma estratégia já usada, incluindo senhas ligeiramente modificadas para cada conta (parcialmente reutilizadas), tendem a ser previsíveis e, portanto, também são bem mais fáceis de decifrar.

Por que é tão arriscado reutilizar senhas?

Credential stuffing é um termo usado para se referir às vulnerabilidades expostas em dados de login que são explorados por cibercriminosos. Isso pode se tornar um problema sério não somente quando um atacante usa dados de acesso roubados ou vazados, mas quando o acesso a essa primeira conta permite que o criminoso também entre em outras contas – frequentemente de maior valor -, mesmo graças ao desempenho de testes de combinações de usuário/senha, os cibercriminosos conseguem acessar outras contas de forma bem simples.

Se um ataque é realizado e os dados de login não são armazenados pelas funções Hash + Salt (pense, por exemplo, no ataque contra a Adobe em 2013), uma senha forte ou mesmo o uso de “frases como senha” pode não ser o suficiente para impedir que um ataque possa tomar o controle de uma conta quando a mesma senha é usada para acessar vários serviços.

Duplo fator de autenticação

Recycling

Muitas tentativas de aquisição de contas podem ser frustradas com a implementação do duplo fator de autenticação (2FA, por sua sigla em inglês). Um fator de autenticação adicional fornece uma camada extra de defesa além da senha. Além disso, essa estratégia resolve alguns pontos fracos que podem estar presentes na senha escolhida.

Nos últimos tempos, muitos provedores de serviços on-line implementaram o duplo fator em seus esquemas de autenticação. No entanto, conforme apresentado em um relatório recente sobre a taxa de adoção do duplo fator de autenticação nas contas ativas do Google (menos de 10%), embora a opção esteja disponível há anos, a maioria dos usuários simplesmente não aproveita essa importante ferramenta.

Existem também outras formas de autenticação, como o reconhecimento facial, o leitor de impressão digital ou algoritmos que analisam características comportamentais (por exemplo, padrões rítmicos), entre outros.

Existe outra alternativa?

Acredito que você não pretenda cancelar as suas contas on-line como forma de gerenciar facilmente as suas senhas fortes, e é também improvável que você pretenda usar estratégias mnemônicas a fim de se lembrar dessas chaves. Considerando isso, o mais prático é colocar todas as senhas em uma espécie de cofre digital. E essa opção existe com programas de gerenciamento de senhas que criptografam e armazenam todas as suas chaves localmente e sem a necessidade de uma conexão com a Internet.

De qualquer forma, supondo que você confie na implementação de um gerenciador de senhas, a segurança de suas contas será determinada pela qualidade da senha escolhida para acessar esse programa, onde as outras chaves serão armazenadas.

Para ser mais claro, as senhas possuem defeitos. Apesar que, nesta era da Internet, não há outro método de autenticação para os usuários. Embora seu desaparecimento tenha sido previsto em 2004, as senhas foram mantidas e parece que elas ficarão por mais algum tempo.

Discussão