Muitos ainda tornam suas senhas muito simples. Shutterstock / Vitalii Vodolazskyi

Por mais de 15 anos, houve várias previsões de líderes de tecnologia sobre a morte de senhas. Bill Gates previu isso de volta em 2004 e a Microsoft tem previu para 2021. Houve inúmeras proclamações semelhantes no meio, juntamente com críticas constantes às senhas como um meio de proteção inadequado.

Mesmo assim, as senhas continuam sendo um aspecto comum da segurança cibernética, algo que as pessoas usam todos os dias. Além do mais, as senhas ainda dão poucos sinais de desaparecer. Mas muitas pessoas ainda os uso mal e parecem desconhecer as boas práticas recomendadas.

É muito comum para especialistas em segurança cibernética e empresas para culpar os usuários por usar mal as senhas, sem reconhecer que os sistemas permitem suas escolhas erradas.

Muitos sites não oferecem nenhuma orientação inicial sobre como escolher as senhas que eles exigem que tenhamos, talvez presumindo que já saibamos dessas coisas ou possamos descobrir em outro lugar. Mas o fato de as pessoas persistirem no uso de senhas fracas sugere que esta é uma visão otimista.

Conselhos desatualizados

Além da falta de orientação, é comum encontrar sites que aplicam requisitos de senha desatualizados. Você provavelmente está familiarizado com sistemas que insistem na complexidade de senha, exigindo letras maiúsculas, números ou caracteres especiais para tornar as senhas mais fortes (nossa resposta muitas vezes reflete o vídeo abaixo).

O Mercado Pago não havia executado campanhas de Performance anteriormente nessas plataformas. Alcançar uma campanha de sucesso exigiria a orientação atual é permitir a complexidade, mas não exigi-la, e basicamente considerar a força da senha como sinônimo de tamanho da senha.

A National Cyber ​​Security Center recomenda a criação de uma senha longa combinando três palavras aleatórias, permitindo algo mais longo e mais memorável do que muitas opções padrão.

Minhas tentativas de senha

Também é inútil que, em vez de fornecer orientação e requisitos no início, muitos sites apenas revelam regras em resposta a nossas tentativas de coisas que não são permitidas. Tentei criar uma senha para um desses sites. A maioria das minhas tentativas recebeu feedback, exigindo ações adicionais, até que me decidi por uma escolha final, que foi aceita sem reclamação. Mas a senha aceita, steve !, era curta e bastante previsível.

Lutando com as regras. Steven Furnell, Autor fornecida

Quando eu brinquei um pouco mais, várias outras escolhas fracas foram aceitas. Por exemplo 1234a !, abcde1 e qwert! todos atendiam às regras, assim como Furnell1 - o que não é particularmente forte, especialmente porque eu já inseri Furnell como meu sobrenome em outra parte do formulário de inscrição.

Enquanto isso, as regras geralmente significam que não podemos usar senhas que nossos dispositivos geram automaticamente para nós, ou que possamos criar para nós mesmos seguindo as orientações atuais.

Muitos sites não permitem a geração de senhas. Steven Furnell

Alguns sites parecem pensar que podem compensar a falta de orientação usando técnicas como medidores de senha para avaliar nossas escolhas. No entanto, embora forneçam feedback, não são um substituto para fornecer orientação sobre a aparência de bom.

Usando outro site, digitei uma senha ruim (a palavra senha), e o único feedback que recebi foi que a senha é muito fraca. Se um usuário estava genuinamente oferecendo essa senha como uma tentativa, o que ele precisa saber é por que ela é fraca. Embora você possa, sem dúvida, encontrar alguns sites que fornecem comentários melhores e mais informativos, este exemplo infelizmente é representativo de muitos outros.

Regras a seguir

É claro que, tendo destacado a falta de uma orientação eficaz, seria negligente encerrar sem realmente oferecer alguma. A orientação do NCSC sobre a escolha e o uso de senhas estão listados e brevemente explicados a seguir:

1. Use uma senha forte e separada para o seu e-mail - já que geralmente é o seu caminho para acessar outras contas.
2. Crie senhas fortes usando três palavras aleatórias - isso lhe dará senhas mais fortes e fáceis de memorizar.
3. Salve suas senhas no navegador - isso evita que você as esqueça ou perca.
4. Ative a autenticação de dois fatores - isso adiciona um elemento extra de proteção, mesmo se sua senha for comprometida.

É útil complementar isso com lembretes adicionais para não use a mesma senha em várias contas, por medo de que a violação de uma leve à violação de todas, não para compartilhá-las com outras pessoas porque então não será mais sua senha e não para manter um registro detectável delas. Armazená-los em um local protegido, como uma ferramenta de gerenciamento de senha, não tem problema.

É preocupante pensar que as senhas existem há décadas e ainda estamos errando. E eles são apenas um aspecto da segurança cibernética que precisamos usar de maneira adequada. Isso não é um bom presságio para a segurança cibernética de forma mais ampla.

Sobre o autor

Steven Furnell, Professor de segurança cibernética, University of Nottingham

livros_segurança

Este artigo foi republicado a partir de A Conversação sob uma licença Creative Commons. Leia o artigo original.