It usually happens late at night.
Estás meio a dormir, a olhar para uma caixa de login que se recusa a deixar-te entrar, e o teu cérebro procura aquela password que usas - com pequenas variações - há anos. Talvez acrescentes um ponto de exclamação, troques um “a” por um “@”, ou coles “123” no fim e digas a ti próprio: sim, esta é impossível de quebrar. Sentes um orgulho estranho, como se tivesses enganado o sistema com um código secreto que só tu conseguirias inventar.
Na manhã seguinte, lês uma manchete sobre uma violação de dados gigantesca e sentes aquela torção silenciosa no estômago. Será que a tua password “esperta” estava nessa lista? Será que estava a de toda a gente? Há uma verdade desconfortável a crescer por detrás dos nossos logins, e é esta: aquilo que achamos seguro, muitas vezes não é. E a password em que mais confias pode ser precisamente a que deixa um estranho entrar mais depressa.
O dia em que a minha password “esperta” morreu
O meu abanão começou com um amigo convencido e um portátil. Estávamos sentados num café em Londres, daqueles que cheiram a café queimado e croissants quentes, quando a conversa foi dar às passwords. Eu disse-lhe - com orgulho - que usava uma complicada: “Pa$$w0rd123”. Olha para os símbolos, os números, aquela gloriosa confusão toda. Certamente chegava.
Ele sorriu daquela forma ligeiramente irritante que as pessoas fazem quando sabem algo que tu não sabes. Saiu o portátil. Um clique rápido, uma ferramenta gratuita para quebrar passwords, e ele escreveu a minha obra-prima num verificador de teste. No ecrã, ao lado de “Tempo para quebrar”, dizia: “Menos de um segundo.” Fiquei com a cara a ferver. Lembro-me do zumbido da máquina de café atrás de nós e do baque suave do meu próprio coração nos ouvidos.
Gostamos de acreditar que acrescentar alguns caracteres especiais e números transforma “password” numa Fort Knox digital. Nessa noite, “Pa$$w0rd123” morreu para mim. Não porque tenha deixado de funcionar, mas porque percebi que, na verdade, nunca tinha funcionado. E, se a minha era assim tão fraca, comecei a perguntar-me quantos de nós andariam por aí com portas que parecem trancadas, mas que na prática estão escancaradas.
Porque “Pa$$w0rd123” é basicamente um tapete de boas-vindas
Aqui vai a parte desconfortável: os truques que achamos inteligentes são exatamente aquilo que os atacantes esperam. Trocar “a” por “@” e “o” por “0” não é genialidade - é o básico. Isto chama-se substituições em “leet speak”, e já vem integrado nas ferramentas que os criminosos usam. Eles não ficam ali, no escuro, a adivinhar no teu teclado. Deixam as máquinas fazer o trabalho sujo.
Essas máquinas percorrem listas de passwords conhecidas como más, padrões comuns e palavras de dicionário a uma velocidade absurda. “Password”, “Pa$$w0rd”, “Password123”, “Pa$$w0rd123” - tudo isto é tentado quase instantaneamente. O mesmo vale para o nome do teu cão mais “2024”, ou o nome do teu filho e a data de nascimento. Se um humano consegue pensar nisso num momento sonolento antes do trabalho, uma máquina consegue pensar mil vezes mais depressa.
Complexo nem sempre significa forte
Há aqui um pequeno paradoxo doloroso. Durante anos disseram-nos para usar símbolos, letras maiúsculas, números. Então enfiamos tudo isso nos mesmos modelos gastos. Sim, “Pa$$w0rd123” parece desarrumada e complexa, mas por baixo do embrulho vistoso está construída sobre a palavra mais óbvia do mundo: “password”. Os atacantes não só sabem isso; contam com isso.
Comprimento e imprevisibilidade ganham à falsa complexidade, sempre. Uma password curta e “cheia de coisas” como “M!cr0s0ft!” desfaz-se num instante quando é o nome de uma marca. Uma frase mais longa, quase aborrecida, como “janelaroxaautocarrochuva” é muito mais difícil de adivinhar por uma máquina, mesmo sem um único símbolo. As máquinas não querem saber de quão esperto te sentes; querem saber de matemática - e a matemática é brutal.
A verdade sobre aquelas estatísticas assustadoras
Se já viste aqueles gráficos virais a dizer “esta password demora 3 minutos a ser quebrada” e “esta demora 3 milhões de anos”, eles baseiam-se no número de combinações possíveis que a tua password pode ter. Passwords curtas, com pouca variação de caracteres, têm muito poucas combinações, por isso caem depressa. Quando esticas para 15, 18, 20 caracteres com palavras imprevisíveis, o número de combinações explode para valores que quase parecem inventados.
É esse o conforto estranho aqui: não ganhas por seres esperto; ganhas por seres um bocadinho aborrecido e muito mais aleatório. Quando finalmente aceitei isto, percebi que o meu cérebro estava a lutar a batalha errada. Eu não estava a tentar criar algo que um atacante não conseguisse adivinhar; estava só a tentar criar algo que eu conseguisse lembrar. E esses dois objetivos estavam, em silêncio, a sabotar-se um ao outro.
A fadiga de passwords de que ninguém fala em voz alta
Todos já tivemos aquele momento em que escrevemos a mesma password em quatro sites diferentes e rezamos para que funcione pelo menos num. Dizes a ti próprio que um dia vais tratar de tudo “como deve ser” - passwords únicas, atualizações regulares, talvez até uma folha de cálculo. Depois a vida acontece, a caixa de entrada enche-se, e nada muda. Sejamos honestos: ninguém faz isto todos os dias.
Então a maioria das pessoas acaba com uma pequena rotação de passwords quase iguais, recicladas entre banco, compras, redes sociais, e-mail. Parece gerível. Também significa que, no segundo em que um site é comprometido, as chaves das tuas outras contas podem estar potencialmente dentro da base de dados de outra pessoa. É assim que um hack num site de moda aparentemente inofensivo pode virar um problema de login no banco um mês depois.
O que alimenta este caos não é preguiça - é design. A memória humana não foi feita para dezenas ou centenas de cadeias aleatórias de texto. O teu cérebro é incrível com histórias, rostos, emoções, lugares. É péssimo com “N5g!r2@KqL”. Estás a lutar contra a evolução cada vez que tentas decorar mais um monstro “forte” de oito caracteres. Não admira que as pessoas se agarrem a “Pa$$w0rd123”.
O génio silencioso das frases-passe (passphrases)
Há uma forma diferente de pensar sobre passwords que é estranhamente suave: frases-passe. Em vez de um molho apertado de caracteres, usas uma sequência de palavras não relacionadas, como uma frase estranha que só tu dirias. Copia a forma como o teu cérebro se lembra naturalmente das coisas. Não é código - é linguagem.
Pensa em algo como “chaleira amarela violino autoestrada nuvem”. Parece parvo - e é essa a ideia. É longo, imprevisível e único. Para uma ferramenta de cracking, este tipo de frase é um pesadelo, porque não é apenas uma palavra do dicionário: é uma corrente de palavras que normalmente não anda junta. Ganhas comprimento e aleatoriedade sem transformares o teu cérebro num armazém de disparates.
Como construir uma frase-passe que funciona mesmo
Um método simples é o truque das “quatro ou cinco palavras aleatórias”. Não escolhas o teu clube de futebol favorito, o nome do teu parceiro, ou a tua terra. Agarra palavras totalmente desligadas do que te rodeia ou de um livro: “espelho”, “comboio”, “abóbora”, “rio”, “bilhete”. Junta-as: “espelhocomboioabóborariobilhete” ou, se o site permitir, com espaços: “espelho comboio abóbora rio bilhete”.
Podes juntar uma maiúscula ou um número se o site exigir, mas a força real vem do comprimento e da aleatoriedade das palavras. Evita sequências óbvias como “um dois três quatro” ou citações conhecidas de músicas ou filmes. Queres uma combinação estranha, daquelas que te fazem sorrir, porque sabes que mais ninguém inventaria exatamente aquela frase.
Algumas pessoas gostam de construir uma pequena história privada: “AvóDançaNaTerçaNoTelhado” ou “RaposaCalmaRoubaPizzaAzul”. É estranho, é vívido, fica-te na cabeça. E, de repente, a tua “password” transformou-se numa imagem mental difícil de esquecer e difícil de quebrar.
Fazer as frases-passe caberem na tua vida real
Há um senão nisto tudo: provavelmente já tens dezenas de contas. A ideia de mudar tudo de um dia para o outro é como decidir mudar de casa na pausa de almoço. Por isso, não o faças. Começa pequeno. Escolhe as importantes: e-mail, banco, principais redes sociais, talvez o teu armazenamento na cloud. Estas são as joias da coroa.
Transforma primeiro esses logins-chave em frases-passe. Assim, mesmo que alguma conta antiga de compras seja hackeada na próxima semana, o estrago fica contido. O teu e-mail é muitas vezes a chave-mestra para repor tudo o resto, por isso esse merece carinho extra. É a versão digital da tua porta de entrada.
Onde entram os gestores de passwords
Se a ideia de te lembrares de mais do que três frases-passe ainda te enrijece os ombros, é aqui que um gestor de passwords ganha discretamente o seu lugar. É um cofre que guarda todas as tuas passwords feias e longas para não teres de as guardar na cabeça. Abres esse cofre com uma frase-passe mestra forte, algo sólido como “TapeteRadioTempestadeLimaoJardim”. Depois deixas a aplicação tratar do resto.
Muita gente resiste a isto ao início porque parece pôr todos os ovos no mesmo cesto. A verdade é que a maioria de nós já faz isso - só que está a usar um cesto muito fraco. Uma boa frase-passe a proteger um gestor de passwords bem construído é muito mais seguro do que as mesmas três passwords más espalhadas por cinquenta sites. Não se trata de perfeição; trata-se de passar de um cadeado de papel para uma porta a sério.
E os códigos de dois fatores e a biometria?
A maioria dos grandes serviços agora encaminha-te para a autenticação de dois fatores: um código por SMS, uma notificação na app, um númerozinho de seis dígitos que aparece e desaparece como um truque de magia. Pode parecer mais um obstáculo, mas é um dos poucos que realmente compensa. Porque, mesmo que alguém adivinhe ou roube a tua password, continua a precisar desse segundo código, fresco.
Impressões digitais e reconhecimento facial acrescentam outra camada. No teu telemóvel ou portátil, essa biometria é um fecho conveniente por cima da tua password, não um substituto total. Não significa que possas voltar a “Pa$$w0rd123” e esperar pelo melhor. Pensa neles como uma tranca extra numa porta que, por baixo, ainda precisa de ser sólida.
A melhor combinação, neste momento, é simples: uma frase-passe forte, um gestor de passwords para o caos, e dois fatores ligados onde quer que exista. Não te torna à prova de bala. Só te tira da categoria de “alvo fácil” onde a maioria dos atacantes está feliz por ficar.
A pequena decisão que muda tudo
A segurança pode parecer abstrata até ao dia em que deixa de ser. Um alerta estranho de login no teu e-mail. Um link de reposição de password que não pediste. Uma notificação do banco que não consegues explicar. As pessoas descrevem a sensação da mesma forma: um frio repentino, seguido de um desespero apressado. Nessa altura, não estás a pensar no número de caracteres. Estás a pensar: porque é que não resolvi isto mais cedo?
A boa notícia é que isto não é uma montanha técnica impossível. É um punhado de pequenas escolhas feitas de forma ligeiramente diferente. Trocar “Pa$$w0rd123” por “RaposaJanelaEcoNeveBateria”. Ativar aquela funcionalidade de código extra de que o teu e-mail não se cala. Dizer que sim a um gestor de passwords em vez de tentares carregar a internet na cabeça.
Da próxima vez que estiveres a olhar para a caixa de login tarde à noite, dedos suspensos sobre as teclas, pára um segundo. Pergunta a ti próprio se as palavras que estás prestes a escrever cairiam em menos de um segundo no portátil do teu amigo. Depois imagina um estranho, algures numa sala escura cheia do zumbido de ventoinhas, a ver mais uma password fraca cair. Esse é o momento em que podes, em silêncio, escolher uma história diferente.
Comentários (0)
Ainda não há comentários. Seja o primeiro!
Deixar um comentário