A equipe de “crackers” (hackers que agem de forma ilegal) Cynosure Prime levou apenas 11 dias para quebrar 11 milhões de senhas do site canadense de traições Ashley Madison. As informações dos usuários foram vazadas em um dos maiores escândalos do mundo digital.
Segundo o grupo, a página era especialmente frágil até junho de 2012, quando o código-fonte recebeu um reforço, e as senhas passaram a ser melhor criptografadas.
O curioso é que muitas das senhas quebradas indicam peso na consciência dos usuários -- o site era voltado para pessoas casadas interessadas em relacionamentos extraconjugais e, daí a crise moral.
De um lado, os quase arrependidos: “eunãodeveriaestarfazendoisso”, “achoqueamominhaesposa”, “issoéerrado”, “porqueeuestoufazendoisso”, “traidoresnãovãoparaafrente” e “nuncapenseemfazerisso” são alguns deles. Todos em inglês, e traduzidos de forma livre pela reportagem.
Por outro lado, o grupo da negação: “comoseeurealmentefossetrair”, “apenasvendocomofunciona” e “umcarabonzinhofazendoacoisaerrada” são alguns deles.
Além disso, há aqueles que não contavam com a fragilidade no sistema. “Ninguémnuncavaidescobrir” e “seusegredoestásegurocomigo” foram algumas das combinações encontradas.
Entre as senhas quebradas, o Cynosure Prime encontrou combinações de um a 28 caracteres. Ou seja, não havia muita exigência de segurança, por parte do site.
Segurança
Segundo o grupo Cynosure Prime , que se auto-intitula um “coletivo de análise de senhas”, as 11 milhões de senhas roubadas do site foram decodificadas em menos de 11 dias. Em outras palavras, significa que os dados dos usuários foram salvos de forma pouco segura, no servidor.
O caso levanta uma questão: por mais confiável que seja a senha criada pelo usuário, ela pode não estar segura na rede. Isto porque a “encriptação” (processo pelo qual os programadores pegam o texto cadastrado como senha e transformam em uma informação mais segura na memória do servidor) nem sempre é das melhores.
Pensando nisso, a GCHQ -- agência do governo britânico para as comunicações -- criou um guia, em que joga para os desenvolvedores de sistemas a responsabilidade por tornar a internet mais segura.
Em média, cada cidadão britânico têm pelo menos 22 senhas diferentes para decorar. E-mail pessoal, do trabalho, cinco redes sociais, por aí vai. Por isso, a dica número um para os desenvolvedores é: saiba que você não é único. Os usuários têm outras senhas para lidar, além das suas. Só exija códigos muito complexos se eles forem realmente necessários.
Bloquear senhas “fáceis demais” também é uma boa. A senha bate com a informação fornecida no campo “nome”? Não pode. “ABC123”? Não pode. “Password” também não. O site deve treinar o usuário: não use informações pessoais, sequências do teclado (como “qwerty”) e nem misture as senhas utilizadas em casa e no trabalho.
No caso em que a senha é gerada pelo próprio site, é importante que ela seja fácil de lembrar. Melhor ainda se o programa gerar três códigos diferentes e permitir ao usuário escolher a mais fácil de decorar.
Usuário
O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (Cert), divisão de segurança do Comitê Gestor da Internet (CGI), orienta que os usuários não utilizem nenhum dado pessoal, em especial se o mesmo estiver público na internet. Também é preciso evitar nomes públicos, como de música, times de futebol e personagens de filme.
O ideal é ter uma senha grande, que intercale números, letras e caracteres diferenciados, maiúsculas e minúsculas. Mas como lembrar disso tudo? O Cert dá três dicas. A primeira é pensar em uma frase, e utilizar uma letra de cada palavra na senha. “O cravo brigou com a rosa debaixo de uma sacada”, por exemplo, vira “?OCbcaRddus”.
Uma frase longa, difícil de ser memorizada, e que alterne tipos de caracteres, também é uma boa. Para quem gosta de astronomia, “1 dia ainda verei os aneis de Saturno!!!” é uma boa dica.
A terceira é duplicas letras, e substituir letras e símbolos parecidos visualmente. Se a frase da senha conta com a palavra “sol”, pode ser escrita como “sssol”, com três “s”, ou “s0l”, com zero no lugar do “o”.