POR UM NOVO MODELO

Tem muito cachorro grande do mercado de tecnologia brigando para ser o centro da sua vida digital. Assim como qualquer hacker, eles querem seu login e senha. Num cenário desses, como lidar com sistemas de segurança cada vez mais complexos e, mesmo assim, ineficazes?

Texto Juliana Carpanez
Design Hugo Luigi

O QUE ELES TERIAM A PERDER?

O valor das informações depende muito do usuário - em alguns casos, fotos vazadas representam prejuízo maior que uma perda financeira. Sinta o drama do roubo das senhas, considerando o que esses três perfis hipotéticos perderiam.

Ana Julia, 16

Conversas privadas com amigos no WhatsApp sobre tudo e todos.

Fotos íntimas salvas no celular e enviadas via SnapChat.

Localização dos lugares onde frequenta, registrados via Swarm.

Conta no Candy Crush; nível 485 e centenas de horas investidas.

Caio, 32

Desabafo com contato do Skype, para quem xingou muito o chefe.

Perfil no Tinder, com seus "matches" e trocas de mensagens.

Conta no banco, onde guarda suas economias para o novo carro.

Perfil no Twitter; poderiam xingar muito ao se passar por ele.

Jorge, 57

Conta de e-mail, cheia de mensagens trocadas com seu advogado.

Perfil no Facebook; poderiam causar constrangimento ao se passarem por ele.

Dados de cartão de crédito, salvos na App Store e lojas online.

Planilha de gastos e arquivos pessoais salvos no Google Drive.

Estudo da empresa de segurança digital Trend Micro aponta que cibercriminosos brasileiros cobram R$ 80 por cada número de cartão de crédito válido. O pacote com 20 números custa R$ 700 (o limite desses cartões vai de R$ 1.000 a R$ 2.500). Eles também vendem páginas de phishing a R$ 100 cada; endereços simulam sites legítimos e visam ao roubo de informações pessoais.

TUDO EM UM

Você possivelmente não leu, mas os termos de serviço dessas companhias usam um tom bastante amigável para avisar que coletam e também compartilham seus dados. Os cadastros feitos com o tal botãozinho azul têm uma regra clara: "Recebemos informações de parceiros externos sobre você e suas atividades dentro e fora do Facebook". Sim, fora da rede social. Inclusive informações bancárias ao fazer compras nesses parceiros, ok? Em nome da facilidade, você alimenta - nível ceia de Natal na casa da avó - os bancos de dados dessas empresas.

"Além de logins, senhas, likes e acessos a sites, há novas formas de monitoramento. Com os aplicativos ligados à saúde, por exemplo, seu corpo e rotina de exercícios passaram a gerar informações", explica Carlos Affonso Souza, professor da faculdade de direito da UERJ (Universidade Estadual do Rio de Janeiro). Walter Capanema, coordenador do curso de Direito Eletrônico da Escola da Magistratura do Estado do RJ, faz outro alerta. "A empresa detentora desse login saberá tudo sobre você: onde foi, o que escreveu, o que usou, o que fez. A ideia de um perfil único é assustadora e viola o caráter livre da internet", afirma.

O usuário abre mão da privacidade para estar próximo dos amigos - isso literalmente salva vidas no Candy Crush -, para não criar cadastros e nem ter de decorar novas senhas. Mas as companhias preferem a parte delas em dinheiro - que vem principalmente da venda de anúncios segmentados, como mostramos neste TAB. Há também outro interesse apontado por Capanema: "Informação hoje em dia é poder. Ainda mais a informação organizada, qualificada e individualizada". Seja para venda de propaganda ou sabe-se lá para quê. O ex-técnico da NSA (sigla em inglês para Agência Nacional de Segurança dos EUA) Edward Snowden alertou, por exemplo, para o uso de grandes sites como máquina de espionagem - algo negado pelas mesmas gigantes que agora tentam representar você no ambiente digital.

De boa? Não tem nada a esconder? Então essa é para você. "Quem diz isso ainda não pensou o bastante sobre o assunto. Não entendemos as implicações a longo prazo de compartilhar tantas informações [...]. Você pode entrar na mira do governo em alguns anos, e esses dados armazenados serem usados contra você no futuro", disse Mikko Hypponen, especialista em cibersegurança, durante apresentação no encontro TED.

CRIE - E NÃO ESQUEÇA - SENHAS FORTES

Fábio Gandour, cientista-chefe do laboratório de pesquisas da IBM Brasil, ensina como criar seu próprio algoritmo para gerenciar (bem) essas combinações.

ELAS QUEREM VOCÊ

Empresas descoladas do Vale do Silício, lideradas por Mark Zuckerberg & amigos, não disputam apenas entre si. "Representantes da comunidade de software livre querem estabelecer um padrão aberto para fazer essa autenticação do usuário. Essa certificação não seria propriedade de uma empresa específica, mas sim um padrão da própria internet. Com uma única identificação, todos os sites poderiam saber quem você é", explica Ronaldo Lemos, diretor do Instituto de Tecnologia e Sociedade do Rio de Janeiro.

Há também as companhias de telecomunicações, que eram as donas da bola quando as páginas amarelas estampavam nome, número de telefone e endereço (um combo já considerado relevante, acredite). Nessa nova onda de autenticação, as chamadas telcos não devem ficar de fora. "O celular é muito pessoal e está totalmente ligado à identidade do usuário. Assim, a telefonia ocupa um espaço cada vez maior nos sistemas de autenticação", afirma Lemos. Procurado, o Sinditelebrasil (Sindicato Nacional das Empresas de Telefonia) e as grandes companhias aqui citadas não quiseram se manifestar sobre a disputa de logins e senhas.

Um exemplo do espaço que a telefonia pode ocupar vem do Yahoo!, criador de um novo sistema de login. Ele dispensa senhas e envia códigos randômicos de acesso ao celular do usuário. "As empresas de telefonia, que antes vendiam apenas o serviço de comunicação entre pessoas, estão se transformando. A verdadeira competição neste processo está em coisas que ainda não existem e precisam ser criadas. Quem inovar mais e melhor sairá na frente", aposta Fábio Gandour, cientista-chefe do laboratório de pesquisas da IBM Brasil.

QUEBRANDO O CÓDIGO

Um sistema de testes da empresa Websense levou 39 segundos para adivinhar a senha dave123, considerada fraca. Se a combinação tivesse oito letras (todas maiúsculas ou todas minúsculas), o tempo para um computador potente adivinhar a sequência seria de 270 segundos, ou quatro minutos e meio.

SENHA INVÁLIDA

Se a identificação online ganha tanta força, é importante que ela... funcione. Mas no meio do caminho tem as senhas e toda a ineficácia envolvida, como você bem constatou na quinta visita à seção "esqueceu sua senha?". Elas não funcionam, como sabemos eu, você, Obama e muitos especialistas em segurança. Ok, não dá para negar: a culpa também é do usuário, esse ser muitas vezes desleixado incapaz de criar combinações seguras. Mas, se as pessoas representam um elo tão fraco na corrente, pode-se dizer que o sistema é falho - isso sem nem mencionar as eventuais brechas de segurança.

Faz alguns anos que o nome da mascote e a data de aniversário deixaram de ser uma opção. A situação fugiu de controle a partir do momento em que a internet passou a exigir muitas sequências cada vez mais longas, exclusivas, esquisitas e cheias de pré-requisitos. Snowden, aquele que alertou para o sistema de espionagem, defende uma mudança na forma como criamos senhas: "pare de pensar em palavras-chave e pense em frases-chave", disse em recente entrevista ao programa "Last Week Tonight With John Oliver". Seu exemplo foi a combinação "Margaretthatcheris100%sexy", em referência à política britânica.

Mas pensar dessa forma dá trabalho. E em troca da facilidade de acesso - novamente ela -, muitos acabam negligenciando sua própria segurança. O prejuízo pode ser moral, sentimental ou financeiro: a Febraban (Federação Brasileira de Bancos) estima em R$ 350 milhões as perdas anuais no país envolvendo fraudes eletrônicas.

São muitos os exemplos de mau uso (a frase vem de uma fiel adepta do "esqueceu a senha?", que por este motivo não consegue acessar o próprio Twitter). Mas o jornalista norte-americano Mat Honan afirma que as combinações eram seguras quando, em 2012, teve sua vida digital devastada. Golpistas em posse de seus dados pessoais teriam anulado sua senha da Apple (segundo ele, via telefone), conseguindo acessar a conta. Nela, obtiveram as credenciais do Gmail (onde apagaram oito anos de mensagens) e do Twitter (onde xingaram muito). Por fim, deletaram todas as fotos de sua filha, então com 18 meses, que haviam sido salvas no sistema de armazenamento da Apple.

A SUA PRÓXIMA SENHA

Biometria

Essa alternativa já está em uso e deve se popularizar muito. A Microsoft anunciou que o Windows 10 dispensa senhas: ele reconhece o rosto e digital dos usuários. Já a consultoria Frost & Sullivan prevê que a biometria nos smartphones chegará a 471 milhões de usuários em 2017 (ante 43 milhões em 2013).

Combos

A tendência é associar diversas formas de autenticação, como biometria, senhas e tokens. Essa segurança aumenta com a combinação randômica. Isso porque a ação e o planejamento dos fraudadores ficam mais difíceis, se eles não souberem o que será pedido depois de o usuário registrar sua impressão digital.

Foco no aparelho

Eletrônicos que já usamos no dia a dia funcionarão como aliados. Um serviço online pode confirmar a identidade do cliente caso identifique a geolocalização de seu smartphone. Eletrônicos vestíveis e tecnologias de transferência de dados por aproximação - como o NFC - ampliam muito essas possibilidades.

SE NÃO PODE COM ELAS...

É claro que a solução para um desafio tão complexo não será simples, como mostra a tabela acima. O futuro aponta para a junção de diferentes mecanismos de segurança, e não só para a criação de boas combinações alfanuméricas. E olha só por que. "Mesmo as senhas fortes não podem ser 100% seguras. Há muitas formas de descobri-las. Já provamos que é possível espionar o código de desbloqueio do celular observando o reflexo no olho do usuário", exemplifica o hacker alemão Jan Krissler, do grupo Chaos Computer Club, com algumas invasões no currículo.

Fernando Mercês, pesquisador da empresa de segurança digital Trend Micro, é da mesma opinião. "A criação de senhas seguras não coíbe o crime. Por mais fortes que sejam, é comum usarem páginas falsas, induzindo o usuário a informar esses dados, e espalharem códigos que roubam essas combinações." Autor de um estudo sobre o crime digital no Brasil, Mercês cita algumas sequências fracas descobertas por cibercriminosos: "123456"; "amor"; "flamengo" e "deus". Neste caso, talvez nem a proteção divina daria jeito.

Para terminar essa história cheia de desafios, fica aqui uma mensagem de esperança: existe, sim, quem consiga usar as senhas a seu favor. Trata-se do designer equatoriano Mauricio Estrela, que já deu até palestra contando como essas combinações transformaram sua vida. Tudo se baseia na repetição de uma ideia, de algo que ele deseja muito. Em 2011, criou a combinação Forgive@h3r (variação da frase "perdoe-a") para esquecer a ex-namorada. Segundo ele, funcionou. Desde então, usou a "fórmula" para abandonar o cigarro, viajar, guardar dinheiro e começar um novo relacionamento. Se as senhas não cumprem sua principal função, que pelo menos nos ajudem a ter uma vida melhor.