Siga-nos

Perfil

Expresso

Sociedade

“Primo ano mãe ++ código porta”. Aqui está uma boa password

SAEED KHAN/ Getty images

É daquelas pessoas que não altera as passwords há meses e que usa a mesma combinação para o Facebook, email, Twitter e até para o banco? Então este texto é para si. Apesar da simplicidade, há dicas para ter uma palavra-passe mais forte (e um truque para a memorizar). Esta sexta-feira, é o Dia Mundial da Password

Há quantos anos tem um perfil no Facebook? Provavelmente, nunca alterou a palavra-passe que escolheu no primeiro dia. E do email, do Twitter, do Instagram, do banco e das lojas online?

Esta sexta-feira, assinala-se o Dia Mundial da Password. Em entrevista ao Expresso, Pedro Veiga, coordenador do Centro Nacional de Cibersegurança, refere que apesar de ser um mecanismo de autenticação fácil, barato e simples, a palavra-passe é um sistema frágil e antiquado. Muitas vezes, facilita-se no que toca à segurança informática e depois perdem-se ficheiros importantes, acede-se a perfis pessoais ou, mais grave, é-se vitima de fraudes e burlas.

O que é uma password?
Trata-se de um mecanismo de autenticação perante qualquer sistema informático. A pessoa tem uma identificação e para a validar, utiliza uma password. Existem outros meios de autenticação como o cartão de cidadão, a impressão digital ou a leitura da retina. A password é um mecanismo que é tecnicamente mais simples e tradicionalmente é usado. Por exemplo, no médico. Para nos identificarmos, o Cartão de Cidadão é inserido num leitor. A password é uma parte do método de autenticação muito vulgar.

Como funciona?
Colocamos a nossa identificação, o nome e o email. A password é um conjunto de caracteres que, agregado à identificação, nos autentica perante o sistema que queremos usar. No caso dos multibanco, insere-se fisicamente o cartões e a password é o pin.

Há sites que exigem a criação de uma palavra-passe e de um perfil, apesar de serem apenas para criar wishlists ou outras coisas mais banais…
Mas nesse caso também é necessário deixar a identificação. Fazem isso para criar um perfil de utilizador. Por exemplo, nas lojas: ao aceder e consultar determinado produto, da próxima vez que entrar naquele site os produtos vão ser mais dirigidos àquele consumidor. Se há uma senhora que vai procurar coisas para bebé, na próxima visita as coisas para bebé serão as primeiras a aparecer na página. São criados perfis para ajudar o utilizador, o problema é quando são capturadas essas informações para outros fins como a publicidade.

As passwords podem ser inquebráveis?
Não, de todo. Pelo contrário, têm muitas fragilidades. Normalmente, as passwords são muito fáceis e há programas que tentam testar várias passwords consecutivamente para as descobrir. Os computadores são muito rápidos e, como a password é simples, torna-se relativamente fácil saber qual é, existem softwares que fazem isso (os password crackers). As recomendações passam por escolher uma palavra-passe que seja complexa e não contar a ninguém. Não se pode cair no conto do vigário. Há uns tempos, no programa do Jimmy Kimmel, foram para a rua perguntar às pessoas quais eram as suas passwords. E eles disseram.

O que é considerado uma password fácil e uma password complexa?
Uma palavra-passe fácil tem nomes comuns ou sequência de caracteres. A password mais comum nos Estados Unidos da América, por exemplo, é “password123”. Também é muito vulgar serem usados os nomes de pessoas conhecidas ou celebridades: Ronaldo ou Angelina Jolie. Usar a data de nascimento é bastante frequente e isto é uma coisa que qualquer carteirista sabe. Quando roubam uma carteira, está lá o cartão multibanco e cartão de cidadão, por isso o primeiro pin que vão tentar usar é o ano em que a pessoa nasceu. Se nasceu em 1975, então o pin é 1975. Portanto, a password deve ser complexa, tão longa quanto possível (recomenda-se, no mínimo, oito caracteres mas é preferível ter 12), combinar letras maiúsculas e minúsculas, algarismos e caracteres especiais (@#%$?).

Mas se for comprida, surge muitas vezes um problema: memorizar.
Há pessoas que têm tendência para escrever a password num papel para não se esquecerem. O que costumo recomendar é recorrer a mnemónicas e não divulgar. Uma password robusta pode ser o nome do primo mais velho mais o ano em nasceu a mãe, dois sinais de mais e, por fim, o código de abertura da porta de casa. Portanto, para não esquecer o que guardava na memória era apenas “primo ano mãe ++ código porta”. Ficava memorizado em forma de mnemónica e não a password completa. Além disto, é essencial não dizer a ninguém. Há cada vez mais esquemas sofisticados para fazer fraudes, especialmente para roubar dinheiro. Nunca se diz a ninguém, pois é a chave de acesso à nossa presença no mundo digital.

Pedro Veiga, coordenador do Centro Nacional de Cibersegurança

Pedro Veiga, coordenador do Centro Nacional de Cibersegurança

Além deste, que outros conselhos daria para ter uma password relativamente segura?
Outra das regras é alterar a password com regularidade, idealmente, uma vez por mês ou a cada dois meses. Em muitas empresas, em que a segurança é levada a sério, existem sistemas que obrigam a alterá-la frequentemente. No Centro de Cibersegurança, temos um mecanismo que força os funcionários a mudar as passwords mensalmente, obedecendo sempre às regras de uma palavra-passe complexa. Agora, estão a começar a ser usados, sobretudo pelos bancos, os chamados mecanismos em duas etapas. A password não chega para fazer certo tipo de ações. Assim, associa-se à conta um número de telemóvel e, quando quer fazer uma transferência ou um pagamento, é recebido um token [testemunho] com quatro, cinco ou seis dígitos que só válido por alguns segundos. São as autenticações por dois ou mais fatores. Convém usar este método, porque por mais robusta que seja a password há formas de as descobrir com algoritmos matemáticos. A password é mecanismo fácil, barato e simples mas é muito frágil.

Quais são essas fragilidades?
Em primeiro lugar, as pessoas criam passwords facílimas. Segundo, não têm cuidado na sua renovação periódica. Terceiro, não têm cuidado no seu armazenamento.

É seguro utilizar a mesma password para mais do que uma conta?
Não. Fazer isso seria o mesmo que ter a mesma chave para abrir a porta de casa, a porta do prédio e a do carro. Se fosse capturada, conseguiam entrar nesses três locais. Portanto, devem ser sempre diferentes. Aliás, existem programas informáticos para gerir e armazenas as passwords com segurança. Na área da segurança, as pessoas facilitam muito e isso não é exceção na segurança informática.