Paulo Laureano Estar vivo é uma condição precária com um péssimo prognóstico...

Passwords: quékéisso?

O que são boas passwords



As passwords são cruciais para proteger os nossos acessos, no entanto são completamente desleixadas e mal utilizadas pela maior parte das pessoas. As passwords não são para ser "decoradas". São a nossa chave digital para entrar em locais que queremos protegidos contra terceiros, devem ser longas, devem ser evitadas “palavras coladas”, e meter "alguns números” e uns pontos de exclamação ou virgulas (no inicio ou final) não melhora muito o cenário.

As passwords devem ser fortes, de preferência sem utilizar palavras de forma a resistir a ataques com base em dicionários. Para evitar que sejam atacáveis via engenharia social não devem ser construídas com base em matriculas de carros, datas de nascimento, de casamento, nomes de animais de estimação, etc.

As passwords devem ser únicas, e se uma for encontrada por um hacker não deve comprometer todos os sistemas que utilizamos.

Boas passwords do tipo "&E3)dD*ry8#4nj'm8Xj1)" tendem a ser complicadas e (perto de) impossíveis de memorizar. Pelo que precisamos de um local seguro para as guardar, seja digitalmente (que é conveniente para fazermos “cut & paste” das mesmas) ou dentro de algum cofre físico (que não dá jeitinho nenhum).

Se optarmos pela opção digital (que é o que eu faço) devemos ter UMA password (a nossa "master password") que protege todas as outras. Essa temos mesmo que decorar, e guardar offline num cofre para em caso de emergência, um ataque de amnésia ou uma branca a podermos consultar. Em lado nenhum a guardamos digitalmente. Paradoxalmente esta password é tipicamente a mais "fraca" que usamos, precisamente porque temos de memorizar e introduzir sempre que precisamos de usar qualquer uma das restantes passwords.


A solução não deve ser ter más passwords!



Essa é uma abordagem mais perigosa que as ter memorizadas nas ferramentas disponíveis para o efeito nos sistemas operativos. Uma má password pode ser ultrapassada com ataques de “força bruta” em relativamente pouco tempo.

O sistema tende a não confundir sites porque os nomes ou a imagem “são parecidos”, o que o Phishing e os ataques de engenharia social exploram são falhas humanas de identificação, confusão visual, emoções que levam pessoas ao ler um texto a ter uma resposta emocional. Falhas das mesmas pessoas que guardam para si o ónus de memorizar passwords, que são “piores” a determinar se um site em que estão a aceder é ou não aquele onde devem fazer login.

A maior parte dos roubos de password são em sites que simulam o site de bancos (paypal em particular), recorrendo ao mesmo grafismo, só que em um endereço (URL) ligeiramente diferente. Em redes WiFi por estarem mal configurados os programas de e-mail, etc.


Mas como se inventam tantas passwords?



Não se inventam. As passwords não devem ser criadas pela própria pessoa! Devem ser aleatórias e desprovidas de qualquer lógica que a ligue ao titular da conta que protegem. Para isso usam-se geradores de passwords.

ZZ69BC675C


Faça o download de um e use sempre que precisa de criar uma password. Utilize sempre o máximo de caracteres suportado pelo serviço (por exemplo o paypal são salvo erro 20 caracteres), e se não souber o limite use pelo menos 30 caracteres (se forem demais o sistema queixa-se e fica a saber o limite).

Este é o que eu utilizo que eu utilizo para Windows, Mac OS X, Linux e iOS (iPhone / iPad / iPod touch): Password generator (Public domain / gratuíto)

Quanto mais “longa e estapafúrdia” melhor. Os geradores de passwords suportam “limitar a password” a alguns caracteres de forma a suportar sistemas que tenham limitações quanto ao que aceitam numa password.




Como o Windows e Mac “memorizam” e “protegem” as passwords...



Os utilizadores de Mac são servidos pelo "keychain", que memoriza todas as passwords e quando estamos a "ligar-nos a uma rede wireless", usar "uma aplicação" ou um "visitamos um site", o “keychain” preenche automaticamente os campos de login e password.

Para aceder a qualquer password do “keychain” o utilizador só precisa de saber uma única password (a mesma que utiliza para aceder ao seu login). Todos os dados estão encriptados e protegidos com base nessa password. Se é esta a opção que quer perseguir como solução deve configurar o seu computador para se auto-bloquear sempre que esteja sem ser usado mais que uns minutos (de forma a ser necessária a password de login para que fique funcional). No windows é basicamente a mesma coisa que acontece.

Alguns programas, em Mac OS X, Windows e Linux utilizam as suas próprias estruturas para guardar logins e passwords, como é por exemplo o caso do Firefox...

Em ambos os casos as passwords estão "sem segurança" quando se faz login no computador e este está a ser usado, ficam protegidas pela operação de “logout” (o encerrar da sessão do utilizador e todos os seus processos) ou por estar bloqueado o acesso ao computador através de uma password do “screen blanker”.

As soluções do Windows e Mac OS X são frágeis, dado que a nossa “master password” neste cenário é a de “login” no sistema. Se entregamos o computador a alguém essa pessoa poderá fazer uso dessas facilidades. Se é esta a solução que querem adoptar devem ter o cuidado de não partilhar o computador com o mesmo utilizador entre várias pessoas. Cada pessoa deve ter a sua conta e deve existir uma conta especial para administração da máquina (ou seja ninguém deve ter poderes de “administração&rdquoWinking.

Como sempre a wikipedia é útil http://en.wikipedia.org/wiki/Password como complemento de qualquer texto...


Há mais?



Há. Pessoalmente eu não gosto particularmente das opções “nativas” oferecidas em Windows e Mac OS X. Usam encriptação fraca, uma “master password” correspondente ao “login” na máquina, e não são na minha opinião adequadas a uma realidade mais complexa que aquela para que foram desenhadas (i.e. um computador com múltiplos utilizadores).

Acontece que o “mundo real” em que todos vivemos não é tão simples. As pessoas precisam de aceder a diversos sistemas a partir de outros computadores e de telemóveis, ora isso torna a utilização de passwords “fortes” um pesadelo... imagine-se a copiar algo do tipo "&E3)dD*ry8#4nj'm8Xj1)" para o Facebook do telemóvel, depois outra equivalente para o Twitter, outra para o mail, outras para cada um dos sites que utiliza. Ah, sim isso vai correr bem...

Felizmente há melhores soluções. Infelizmente não são de borla como as que mostrei até aqui. Eu acho obviamente que valem a pena, caso contrário não estaria a mencionar esta opção.

1password
A minha solução de eleição é o “1password”. Todas as passwords são sincronizadas via Dropbox entre todos os sistemas que utilizar (Windows, Mac, iPhone, iPad, iPod touch, Android). Integra com vários browsers (Safari, Firefox e Chrome) e as nossas passwords estão sempre disponíveis. Utiliza encriptação forte e uma “master password” que não tem nada a ver com o login. Melhor ainda; podemos configurar o sistema para só disponibilizar passwords contra a nossa “master password”, pelo que é “como termos uma só password para tudo” (quando na realidade são todas diferentes).

Adicionalmente podemos guardar texto, dados de cartões de crédito, numero de série de telefones, computadores, software, etc. Fica tudo encriptado, sempre disponível, e mesmo que o nosso “telefone” ou “computador” perdido/roubado estivesse “por bloquear” pode ser configurado para exigir a nossa “master password” com a regularidade que entender-mos “indicada” (até mesmo sempre que uma password qualquer seja necessária).

lastpass
Um serviço alternativo (recomendado pelo Rogério Vicente) é o “LastPass”, que me parece em tudo equivalente ao “1password” e pode ser usado gratuitamente! Nunca o usei pessoalmente mas parece encaixar como uma luva nos requisitos que enunciei, com a vantagem de suportar mais plataformas (incluindo o Blackberry, Symbian, Windows mobile, webOS e Linux) e mais browsers (incluindo o Internet Explorer e o Opera).

A versão “premium” custa $1 por mês (cobrado em conjuntos de 12 meses, ou seja $12 por ano) e parece-me uma excelente proposta. Custa o mesmo que um café por mês...


Mas e se o computador for “hackado”?



Adeus e boa noite... a sua vida ficou subitamente mais desagradável… Provavelmente a culpa até é sua...

Dependendo do que foi instalado no computador (não forçosamente por hackers, qualquer pessoa consegue) pode ter desde o écran gravado em video, até “key loggers” (gravadores de todas as teclas que teclar), microfones a fazer streaming de som, etc, derrotando potencialmente qualquer password ou sistema de protecção de passwords que se tenha. Azar terrível. Corra a mudar todas as passwords em todo o lado e a começar de novo com um computador “limpo”.

Os computadores devem estar tão protegidos quanto possível, quando são comprometidos é fundamental que haja algum “sinal de alarme”, se perceba o que aconteceu. Se não perceber vai descobrir o que aconteceu quando estiverem em seu nome a vender Viagra na Internet, a aceder à sua conta do facebook, ou a fazer compras no seu cartão de crédito.

Quando um computador é “hackado” deve ser o mais depressa possível desligado de qualquer rede e entregue a alguém que saiba lidar com o assunto (basicamente fazendo boot de outro sistema operativo e uma analise do computador comprometido sem correr nenhum rootkit/vírus ou troiano).

Mas notem que para roubar passwords não é preciso comprometer computadores... podem ser apanhadas via WiFi em redes mal protegidas, via Phishing em e-mails e mais mil e uma abordagens que não lembram ao diabo.

Este texto não é suposto ser uma “bala de prata” para transmitir uma falsa sensação de segurança, é para ajudar a melhorar cenário actual: más passwords e utilizadas em múltiplos sistemas. Pare com isso... a sério... depois chorar em cima do leite derramado não vai servir para nada.


Uma nota final...



Há sistemas alternativos ao uso de passwords, sistemas que complementares às passwords, e até sistemas que permitem que as passwords possam ser “roubadas à vontade” porque só podem ser usadas uma vez. Mas para a maior parte das “aplicações” e “sites” com que lidamos estamos limitados a usar passwords. Já agora que saibamos o que estamos a fazer… até porque isto não é propriamente complicado. É só algo em que as pessoas parecem não pensar muito...