(11) 5521-2021 [email protected]

Todos já devem ter ouvido a frase: “Tudo deve mudar para que tudo fique como está”. Foi dita pelo príncipe Falconeri, um personagem do romance o Leopardo.

Mas o que isto tem a ver com as senhas? Segundo as novas recomendações do NIST (https://www.nist.gov/), em especial sobre senhas, temos alguns pontos polêmicos:

  • Caracteres especiais não são mais um requisito;
  • A troca periódica, ou pelo menos em curtos períodos, não é mais um requisito;
  • Adicionalmente, o SMS não é mais recomendado, como canal “out of band”, tanto para troca de senhas quanto como multifator de autenticação.

Como as pessoas, em geral, estão vendo a questão de credenciais?  Vamos dar uma olhada em uma pesquisa recente feita na Inglaterra*:

  • A preocupação mais comum é que o dinheiro seja roubado, sendo que 42% acredita na probabilidade disso acontecer;
  • 89% usam a internet para fazer compras online, com 39% semanalmente;
  • Um em cada três depende de amigos e familiares para obter ajuda sobre segurança cibernética;
  • Os mais jovens são um pouco mais conscientes da privacidade e tendem a ter mais cuidado com o que compartilham on-line;
  • 61% dos usuários de internet verificam mídia social diariamente;
  • 70% sempre usam PINs e senhas para smartphones e tablets;
  • Menos da metade usa uma senha forte e separada para sua conta de e-mail principal.

E aqui no Brasil? A principal descoberta foi que para cerca de 60% dos brasileiros e ingleses o mais comum é escolher como senha uma combinação apenas com números. A senha mais escolhida nos dois países: “123456”, seguida não muito de perto pelas não menos criativas: “123456789” e “password”.

Após os códigos só com números, o padrão que mais aparece são nomes próprios “mary” ou “maria”, dependendo o lado do oceanos que você esteja.

Agora veja as senhas vinculadas aos esportes. Na Inglaterra entre as dez mais estão “liverpol”, “chelsea”, “newcastle” e “tottenham”. Já no Brasil, estão: “Flamengo”, “timão”, “galo”, “gremio”, “colorado”. Ainda no Brasil, tirando os nomes, as palavras mais comuns são: sucesso, Brasil, felicidade, musica, estrela, etc.

Agora sim, depois destes dados, o que podemos dizer sobre as novas recomendações do NIST? Que deve- se levar em conta o contexto das mudanças, já que em geral se trata de um ambiente onde já existem controles compensatórios à boa e velha senha, como por exemplo: o duplo fator e não menos importante: a diferenciação entre os usuários.

Mas o que fazer para proteger a população, levando em conta os dois pontos polêmicos, a senha, que na verdade não é nem tão boa, e nem tão velha, e o conceito que somos todos iguais?

É necessário existir diferenças entre os usuários, e entre as diferenças, está a relação com credenciais que permitem acesso às informações valiosas ou críticas.

Algumas pessoas possuem credencias que, caso comprometidas, podem causar prejuízos graves, não apenas a própria pessoa, mas à comunidade. Outras nem tanto. Não é preciso muita imaginação para pensar em exemplos, do extremo de ataque Cyber terrorista, que esperamos sejam raras, até a fraudes mais simples, e mais comuns, como de um e-mail contendo um boleto falso.

E sobre a “flexibilização” dos requisitos?  Como já dissemos, em um ambiente onde já existam controles compensatórios, como um duplo fator, os requisitos se tornam redundantes.

A mensagem principal de tudo o que vimos acima é que as pessoas no mundo real estão bem distantes da discussão entre os especialistas. As pessoas até se preocupam, mas no dia a dia precisam de artefatos que as ajudem a se manterem seguras.

O que fazer então?

Reconheça as diferenças e decida quais controles são aplicáveis a cada caso. Para a maioria, uma senha e um duplo fator como o Google Autenticator, já é satisfatório. Para outras, como por exemplo: gestores de empresas, cujas credencias permitem acessos ou ações críticas, podem demandar controles adicionais.

Parece óbvio, mas é sempre bom lembrar, facilitar a vida de seu usuário, com um portal amigável e que se adapte ao uso e as necessidades de troca ou reset de senha, faz a diferença na segurança da empresa e na agilidade dos setores.

*https://s3.eu-west-1.amazonaws.com/ncsc-content/files/UK%20Cyber%20Survey%20-%20analysis.pdf