It usually happens late at night.
Estás meio a dormir, a olhar para uma caixa de início de sessão que se recusa a deixar-te entrar, e o teu cérebro vai buscar aquela password que tens usado - com pequenas variações - há anos. Talvez acrescentes um ponto de exclamação, troques um “a” por um “@”, ou juntes “123” no fim e digas a ti próprio: sim, esta é impossível de quebrar. Sentes um orgulho estranho, como se tivesses enganado o sistema com um código secreto que só tu poderias inventar.
Na manhã seguinte, lês uma manchete sobre uma violação de dados gigantesca e sentes aquele aperto silencioso no estômago. Será que a tua password “esperta” estava nessa lista? Será que a de toda a gente estava? Há uma verdade crescente e desconfortável escondida por trás dos nossos logins, e é esta: aquilo que achamos seguro, muitas vezes não é. E a password em que mais confias pode ser a que deixa um desconhecido entrar mais depressa.
O dia em que a minha password “esperta” morreu
O meu aviso de realidade começou com um amigo convencido e um portátil. Estávamos sentados num café em Londres, daqueles que cheiram a café queimado e croissants quentes, quando a conversa foi parar às passwords. Eu disse-lhe - com orgulho - que usava uma complicada: “Pa$$w0rd123”. Olha para os símbolos, os números, aquela confusão gloriosa. De certeza que era suficiente.
Ele sorriu daquele modo ligeiramente irritante que as pessoas usam quando sabem algo que tu não sabes. Saiu o portátil. Um clique rápido, uma ferramenta gratuita de cracking de passwords, e ele escreveu a minha obra-prima num verificador de teste. No ecrã, ao lado de “Tempo para quebrar”, dizia: “Menos de um segundo.” A minha cara ficou quente. Lembro-me do zumbido da máquina de café atrás de nós e do baque suave do meu próprio coração nos ouvidos.
Gostamos de acreditar que acrescentar alguns caracteres especiais e números transforma “password” numa Fort Knox digital. Nessa noite, “Pa$$w0rd123” morreu para mim. Não porque deixasse de funcionar, mas porque percebi que nunca tinha funcionado a sério. E se a minha era assim tão fraca, comecei a perguntar-me quantos de nós andavam por aí com portas que parecem trancadas, mas que mais valia estarem escancaradas.
Porque “Pa$$w0rd123” é basicamente um tapete de boas-vindas
Aqui vai a parte desconfortável: os truques que pensamos ser inteligentes são exactamente aquilo que os atacantes esperam. Trocar “a” por “@” e “o” por “0” não é génio, é básico. Chamam-se substituições “leet speak”, e já vêm incorporadas nas ferramentas que os criminosos usam. Eles não ficam ali às escuras a adivinhar no teu teclado. Deixam as máquinas fazer o trabalho sujo.
Essas máquinas percorrem listas de passwords conhecidas como más, padrões comuns e palavras de dicionário a uma velocidade alucinante. “Password”, “Pa$$w0rd”, “Password123”, “Pa$$w0rd123” - tudo isto é tentado quase instantaneamente. O mesmo acontece com o nome do teu cão mais “2024”, ou o nome do teu filho e a data de nascimento. Se um humano consegue pensar nisso num momento sonolento antes do trabalho, uma máquina consegue pensar nisso mil vezes mais depressa.
Complexa nem sempre significa forte
Há aqui um pequeno paradoxo doloroso. Durante anos disseram-nos para usar símbolos, maiúsculas, números. Então enfiamos tudo isso nos mesmos modelos gastos. Sim, “Pa$$w0rd123” parece confusa e complexa, mas por baixo do enfeite está construída sobre a palavra mais óbvia do mundo: “password”. Os atacantes não só sabem isso; contam com isso.
Comprimento e imprevisibilidade vencem complexidade falsa todas as vezes. Uma password curta, com “ar de complicada”, como “M!cr0s0ft!”, desmorona-se num instante quando é uma marca. Uma frase mais longa, quase aborrecida, como “purplewindowbusrain”, é muito mais difícil de adivinhar por uma máquina, mesmo sem um único símbolo. As máquinas não querem saber o quão esperto te sentes; querem saber de matemática - e a matemática é brutal.
A verdade sobre aquelas estatísticas assustadoras
Se já viste aqueles gráficos virais a dizer “esta password demora 3 minutos a ser quebrada” e “esta demora 3 milhões de anos”, eles baseiam-se no número de combinações possíveis que a tua password pode ter. Passwords curtas, com pouca variação de caracteres, têm muito poucas combinações, por isso caem depressa. Quando passas para 15, 18, 20 caracteres com palavras imprevisíveis, o número de combinações explode para valores que quase parecem inventados.
Eis o conforto estranho aqui: não ganhas por seres esperto; ganhas por seres um bocadinho aborrecido e muito mais aleatório. Quando finalmente aceitei isto, percebi que o meu cérebro andava a lutar a batalha errada. Eu não estava a tentar criar algo que um atacante não conseguisse adivinhar - estava apenas a tentar criar algo de que me conseguisse lembrar. E esses dois objectivos estavam, em silêncio, a sabotar-se um ao outro.
O cansaço das passwords que ninguém admite em voz alta
Todos já tivemos aquele momento em que escrevemos a mesma password em quatro sites diferentes e rezamos para que funcione em pelo menos um. Dizes a ti próprio que um dia vais tratar disso “a sério” - passwords únicas, actualizações regulares, talvez até uma folha de cálculo. Depois a vida acontece, a tua caixa de entrada enche-se, e nada muda. Sejamos honestos: ninguém faz isto todos os dias.
Por isso, a maioria das pessoas acaba com uma pequena rotação de passwords quase iguais, recicladas entre banco, compras, redes sociais, e-mail. Parece gerível. Também significa que, no segundo em que um site é violado, as chaves das tuas outras contas podem estar sentadas dentro da base de dados de outra pessoa. É assim que um hack num site de moda aparentemente inofensivo pode transformar-se num problema de login do banco um mês depois.
O que realmente alimenta esta confusão não é preguiça, é design. A memória humana não foi feita para dezenas ou centenas de cadeias aleatórias de texto. O teu cérebro é incrível com histórias, caras, emoções, lugares. É péssimo com “N5g!r2@KqL”. Estás a lutar contra a evolução cada vez que tentas memorizar mais um monstro “forte” de oito caracteres. Não admira que as pessoas se agarrem a “Pa$$w0rd123”.
O génio discreto das frases-passe
Há uma forma diferente de pensar sobre passwords que é estranhamente gentil: frases-passe. Em vez de um bloco apertado de caracteres, usas uma sequência de palavras não relacionadas, como uma frase estranha que só tu dirias. Copia a maneira como o teu cérebro naturalmente se lembra das coisas. Não código, mas linguagem.
Pensa em algo como “yellow teapot violin motorway cloud”. Parece parvo - e esse é o objectivo. É longo, imprevisível e único. Para uma ferramenta de cracking, esse tipo de frase é um pesadelo, porque não é só uma palavra de dicionário: é uma cadeia de palavras que normalmente não vivem juntas. Ganhas comprimento e aleatoriedade sem transformares o teu cérebro num armazém de nonsense.
Como construir uma frase-passe que funcione mesmo
Um método simples é o truque das “quatro ou cinco palavras aleatórias”. Não escolhas o teu clube de futebol, o nome do teu parceiro ou a tua terra natal. Pega em palavras totalmente não relacionadas do que tens à volta ou de um livro: “espelho”, “comboio”, “abóbora”, “rio”, “bilhete”. Junta-as: “espelhocomboioabóborariobilhete” ou, se o site permitir, com espaços: “espelho comboio abóbora rio bilhete”.
Podes salpicar uma maiúscula ou um número se o site exigir, mas a verdadeira força vem do comprimento e da aleatoriedade das palavras. Evita sequências óbvias como “um dois três quatro” ou citações conhecidas de músicas ou filmes. Queres o tipo de combinação estranha que te faz sorrir um pouco, porque sabes que mais ninguém iria inventar exactamente aquela frase.
Algumas pessoas gostam de construir uma mini-história privada: “AvóDançaNaTerçaNoTelhado” ou “RaposaCalmaRoubaPizzaAzul”. É esquisito, é vívido, fica-te na cabeça. E, de repente, a tua “password” transforma-se numa imagem mental difícil de esquecer e difícil de quebrar.
Fazer as frases-passe caberem na tua vida real
Há um senão nisto tudo: provavelmente já tens dezenas de contas. A ideia de as mudar todas de um dia para o outro parece decidir mudar de casa na pausa de almoço. Por isso, não mudes. Começa pequeno. Escolhe as importantes: e-mail, banca, redes sociais principais, talvez o teu armazenamento na nuvem. Estas são as jóias da coroa.
Transforma primeiro esses logins-chave em frases-passe. Assim, mesmo que uma conta antiga de compras seja hackeada na próxima semana, o estrago fica contido. O teu e-mail é muitas vezes a chave-mestra para repor tudo o resto, por isso esse merece carinho extra. É a versão digital da tua porta de entrada.
Onde entram os gestores de passwords
Se a ideia de te lembrares de mais do que três frases-passe ainda te deixa os ombros tensos, é aqui que um gestor de passwords ganha silenciosamente o seu lugar. É um cofre que guarda todas as tuas passwords feias e longas, para que não tenhas de o fazer. Abres esse cofre com uma frase-passe mestra forte, algo sólido como “CarpeteRádioTempestadeLimãoJardim”. Depois deixas a aplicação tratar do resto.
Muita gente resiste a isto ao início porque parece pôr todos os ovos no mesmo cesto. A verdade é que a maioria de nós já está a fazer isso - só que com um cesto muito fraco. Uma frase-passe decente a proteger um gestor de passwords bem construído é muito mais seguro do que as mesmas três passwords más espalhadas por cinquenta sites. Não se trata de perfeição; trata-se de trocar um cadeado de papel por uma porta a sério.
E os códigos de dois factores e a biometria?
A maioria dos grandes serviços hoje empurra-te para a autenticação de dois factores: um código por SMS, uma notificação na app, um número de seis dígitos que aparece e desaparece como um truque de magia. Pode parecer mais um obstáculo, mas é um dos poucos que realmente compensa. Porque, mesmo que alguém adivinhe ou roube a tua password, ainda precisa desse segundo código, fresco.
Impressões digitais e reconhecimento facial acrescentam outra camada. No telemóvel ou no portátil, essas biometrias são um fecho conveniente por cima da tua password, não uma substituição total. Não significam que possas voltar a “Pa$$w0rd123” e esperar o melhor. Pensa nelas como uma fechadura extra numa porta que, por baixo, ainda precisa de ser sólida.
A melhor combinação, neste momento, é simples: uma frase-passe forte, um gestor de passwords para o caos, e dois factores ligados onde quer que exista. Não te torna à prova de bala. Apenas te tira da categoria de “alvo fácil” onde a maioria dos atacantes fica, felizmente, presa.
A pequena decisão que muda tudo
A segurança pode parecer abstracta até ao dia em que deixa de ser. Um alerta de login estranho no teu e-mail. Um link de reposição de password que não pediste. Uma notificação do banco que não consegues explicar. As pessoas descrevem a sensação da mesma maneira: um arrepio frio, e depois uma correria. Nessa altura não estás a pensar no comprimento de caracteres. Estás a pensar: porque é que não resolvi isto mais cedo?
A boa notícia é que isto não é uma montanha técnica impossível. É um punhado de pequenas escolhas feitas de forma ligeiramente diferente. Trocar “Pa$$w0rd123” por “RaposaJanelaEcoNeveBateria”. Activar aquela funcionalidade de código extra de que o teu e-mail não para de te falar. Dizer sim a um gestor de passwords em vez de tentar guardar a internet inteira na cabeça.
Da próxima vez que estiveres a olhar para aquela caixa de login tarde da noite, dedos a pairar sobre as teclas, pára um segundo. Pergunta a ti próprio se as palavras que estás prestes a escrever cairiam em menos de um segundo no portátil do teu amigo. Depois imagina um desconhecido, algures numa sala pouco iluminada a zumbir de ventoinhas, a ver mais uma password fraca cair. Esse é o momento em que podes, em silêncio, escolher uma história diferente.
Comentários
Ainda não há comentários. Seja o primeiro!
Deixar um comentário