Revista O Empresário / Número 182 · Setembro de 2013
Na internet, a cor mais popular é o azul - ao menos quando se trata de escolher senhas. Uma das teorias para explicar isso é a de que muitos dos websites mais populares da rede (como Facebook, Twitter e Google) usam a cor azul em seus logotipos. Isso influenciaria, de forma subliminar, as escolhas dos internautas na hora de criar senhas quando se registram nos sites.
Essa é apenas uma entre várias peculiaridades identificadas por estudos sobre o comportamento humano no que diz respeito à escolha de senhas.
Alguns, por exemplo, concluíram que mulheres ruivas tendem a escolher as melhores senhas e homens que usam barba ou são descuidados com o cabelo, as piores.
Mulheres optam por senhas longas, enquanto os homens apostam na diversidade.
Essas informações vieram à tona por causa do vasto número de senhas que está sendo roubado de websites e de outras empresas.
Em casos recentes, nomes de usuários e senhas foram roubados do site de softwares Adobe, do Linkedin e do site de jogos RockYou.
E qual foi a conclusão número 1 dos especialistas que analisaram esse material? Precisamos ser mais espertos e menos previsíveis na hora de criar nossas senhas.
Conexões Pessoais
Uma boa senha seria uma frase ou combinação de letras com pouca ou nenhuma conexão com a pessoa que a escolheu, aconselha o pesquisador de segurança cibernética Per Thorsheim.
Aniversários, data do casamento, nomes dos irmãos ou dos filhos, dos bichos de estimação, número da casa, da rua onde mora ou do pop star favorito não são recomendados, diz ele.
No entanto, quando pesquisadores pediram a participantes de um estudo que escolhessem senhas de quatro dígitos, os números escolhidos foram reveladores.
Uma das primeiras descobertas foi de que as pessoas tendem a gravitar em torno de um pequeno número de opções. Em alguns casos, 80% das escolhas vêm de apenas 100 números diferentes.
A constatação desse aspecto íntimo e pessoal na escolha das senhas possibilitou aos especialistas entender como funciona a atividade dos hackers, como são chamados os piratas cibernéticos.
Força Bruta
"Agora, a força bruta é a última tática a que recorreríamos", diz Per Thorsheim. Força bruta é como especialistas de tecnologia como Thorsheim chamam a técnica de concentrar toda a energia de um computador na tarefa de "quebrar" senhas.
Todo o poder de um computador é concentrado na tarefa de "quebrar" senhas. Ataques como esses começariam pela letra "a" e depois passariam por todas as combinações possíveis de números e letras até chegar a "zzzzzzzz".
A segurança de uma senha dependia de tornar impossível, a um computador, testar bilhões de combinações de senhas em um período razoável de tempo. Uma fórmula matemática (o tempo multiplicado pela quantidade de tentativas) derrotava os hackers.
"Porém" - explica outro pesquisador, Yiannis Chrysanthou, da empresa de segurança KPMG - "não é mais uma questão de matemática porque as pessoas selecionam suas próprias senhas."
Muitos especialistas trabalhando nesse setor estão tentando melhorar seus métodos de decifrar senhas para poder orientar clientes na escolha de senhas mais seguras.
Eles também tentam desvendar senhas de listas roubadas para ter uma ideia melhor sobre o que as pessoas estão escolhendo. Nessas situações, com frequência, o que está sendo desvendado é uma sequência de letras conhecidas como um "hash".
Essas sequências com números fixos de caracteres não podem ser invertidas para revelar que caracteres lhes deram origem. Entretanto, como algoritmos que geram "hashs" obedecem a um conjunto de regras definidas, o número "123456" vai gerar sempre a mesma (aparentemente aleatória) sequência de letras. Por exemplo, no sistema MD5 de geração de hashs?, a sequência de números "123456" sempre produz "e10adc3949ba59abbe56e057f20f883e".
Se você gerar hashes para todas as palavras de uma longa lista que estejam relacionadas de alguma forma a um único alvo, aumentam as chances de você adivinhar a senha desse alvo, disse Chrysanthou - que desenvolveu novas regras para se desvendar senhas enquanto estudava no Royal Holloway, University of London, em Londres.
Ataques direcionados a um alvo tendem a rastrear a mídia social à procura de palavras, nomes e datas importantes para a vítima. Saber os nomes dos filhos, dos bichos de estimação, dos pais ou da rua onde ela mora pode ajudar alguém a adivinhar sua senha rapidamente.
Os "malvados" tentam adivinhar senhas - disse o pesquisador de segurança cibernética Bruce Marshall - porque eles sabem de uma outra verdade sobre nós, seres humanos: somos preguiçosos.
Por conta disso, há grandes chances (segundo alguns estudos, 70%) de que uma senha associada a um endereço de e-mail ou um site seja usada também para acesso a outros serviços online.
Muitos ladrões roubam listas de senhas de sites pequenos e depois testam essas senhas em outros sites para ver se funcionam.
Conclusão final: se você quiser escolher uma senha mais segura, não use combinações simples de palavras e números, escolha palavras que são apenas levemente associadas a você e não use a senha que você utiliza para transações bancárias online em nenhum outro site.