Por Marcelo Tavares de Santana [1]
Como seria acordar, fazer as tarefas matinais, sair de casa e voltar, fazer compras, outras coisas do dia a dia e ir dormir com tranquilidade, sem medo de prejuízos a descobrir no dia seguinte? Melhor ainda seria saber que são nossos hábitos diários que proporcionam essa tranquilidade. Posso citar um caso pessoal de furto de notebook em 2017, onde a irritação durou algumas horas, fui dormir e no dia seguinte acordei calmo, comprei outro seguro da preservação da minha privacidade, pois o notebook estava criptografado com uma senha forte, e até hoje não houve qualquer consequência desse furto além da perda material. Na série “Mapa de Segurança Digital” construiremos um mapa mental de hábitos que devem integrar naturalmente nosso dia a dia, resgatando assuntos já tratados na coluna “Cuidados Digitais”, novos assuntos e boas práticas, a partir de sugestões de experiências práticas de uso de alguns aplicativos.
Esse mapa crescerá a cada artigo com essas práticas e poderá ser usado como modelo para que cada um construa seu próprio mapa mental de segurança digital, com hábitos úteis para a vida. A Figura 1 mostra nossa versão inicial de mapa com o primeiro conceito a ser trabalhado nesta série: senhas fortes. Para criá-las é preciso termos em mente a técnica Diceware e o que é um Gerenciador de senhas.
Diceware, algumas vezes aportuguesada para Dadoware, é uma técnica de criação de senhas que utiliza dados de jogo para criar senhas a partir do ambiente caótico da física no mundo real, ou seja, sem qualquer vício humano ou computacional. Senha forte é o nome dado àquela que é difícil de ser descoberta, mesmo por sistemas computacionais poderosos, e essa dificuldade está principalmente relacionada ao tamanho da senha, não pela diversidade de caracteres. Usando combinação simples, se usarmos letras maiúsculas e minúsculas numa senha de 10 caracteres teremos 52 possibilidades para cada caractere, mas, se usarmos quatro palavras fáceis de lembrar com espaços, facilmente passamos a ter uma senha de 20 caracteres, que pode ter só minúsculas ou maiúsculas, mas quem tentar descobrir não saberá e será obrigado a tentar as mesmas 52 possibilidades para cada letra, além de números e outros caracteres. Resumindo, ‘senha muito complicada para descobrir’ é mais seguro e mais fácil de lembrar que ‘53NH4d1F1CIU’.
No entanto, a senha comprida do exemplo está viciada porque é uma frase criada por uma pessoa, não um conjunto aleatório de palavras. Para termos esse conjunto criado pela técnica Diceware, é preciso ter ao menos um dado de jogo e o lançar algumas vezes. Conforme a sequência de números que forem sorteadas, seleciona-se uma palavra de uma lista que idealmente deve ser impressa e usada num lugar sem proximidade de olhares alheios ou equipamentos de captura de imagem; mas é aceitável ver a lista no computador com as câmeras/webcam cobertas. A página ‘Criação e gerenciamento de senhas’ [2], na Wikiversidade, tem uma lista dessas, assim como uma tabela de exemplo de seleção de palavras, e deve ser visitada. Excepcionalmente, pode-se criar uma senha de uma história hipotética que só você lembre, como no exemplo da Figura 2 [3]. Caso faça isso, evite palavras de seu cotidiano que possam ser descobertas pela análise de teu lixo doméstico ou lar, ou seja, se gostar de roupas azuis e tiver rosas em teu jardim, não use ‘azul’ ou ‘rosa’ na tua história hipotética, pois facilitará a descoberta da senha pelo uso de uma lista de palavras que as grandes corporações da Web, provavelmente, já montaram sobre você.
Mesmo com técnicas para facilitar a lembrança de senhas, a quantidade delas necessárias para a vida moderna é muito grande, idealmente deve-se ter uma senha diferente para cada sistema, loja virtual, e-mail, etc. que se tenha. É nesse ponto que podemos contar com gerenciadores de senhas, programas que geram e guardam senhas fortes num arquivo criptografado que depende de uma senha principal para desbloquear todas as outras; portanto, pode se tornar um grande ponto de falha se a senha principal for fraca. Na organização Electronic Frontier Foundation recomenda-se que essa senha tenha ao menos seis palavras [4]; considerando que o uso do gerenciador reduz drasticamente a memorização de senhas, memorizar essas seis palavras é uma grande vantagem.
À prática, e de posse de uma senha forte previamente criada e exclusiva para usar com um gerenciador de senha, como exemplo usaremos o KeePassXC. Esse aplicativo é Software Livre, tem versões para os sistemas operacionais Linux, MacOS e Windows, possui integração com navegadores de Internet, e é compatível com outros gerenciadores de senhas, inclusive para smartphones. A seguir um sugestão de como se acostumar ao uso do aplicativo:
- Semana 1: crie uma senha forte com seis palavras aleatórias e a relembre pelo menos uma vez por dia, nunca anote essa senha;
- Semana 2: instale o KeePassXC e através no menu crie um ‘Novo Banco de Dados’ com a senha forte, e adicione alguns grupos que te façam sentido, como Lojas Virtuais, Equipamentos, Finanças (mas nunca para senhas de cartões ou acesso a banco), etc.;
- Semana 3: instale a extensão para integração com navegadores [5], como o Firefox, e comece a gerar e guardar senhas pelo KeePassXC, o banco de dados precisa estar aberto;
- Semana 4: salve cópias do arquivo de banco de dados em pelo menos outros dois lugares, pode ser um pendrive que fique na casa de alguém ou na caixa de correio (se for seguro).
Para cada site use uma senha diferente, pois no caso de algum deles ser violado os demais estarão protegidos por outras senhas. Algumas senhas não poderão ser salvas e deverão ser memorizadas além da usada no gerenciador de senhas, como as de acessos a contas bancárias e de criptografia de um ou mais equipamentos principais.
No próximo artigo acrescentaremos ao nosso Mapa de Segurança Digital o tópico ‘volumes criptografados’, sobre segurança de equipamentos e armazenamento portátil. Até lá, pode também experimentar um gerenciador de senhas para smartphone, como o Keepass2Android [6], e mostrar aos colegas nas conversas de bar.
Notas
[1] Professor de Ensino Básico, Técnico e Tecnológico do Instituto Federal de São Paulo.
[2]https://pt.wikiversity.org/wiki/Cria%C3%A7%C3%A3o_e_gerenciamento_de_senhas
[3]https://cacovsky.wordpress.com/2011/12/29/forca-da-senha-e-aplicacao-para-gerar-senhas-amigaveis-via-xkcd/
[4]https://ssd.eff.org/pt-br/module/criando-senhas-fortes
[5]https://keepassxc.org/docs/KeePassXC_GettingStarted.html#_setup_browser_integration
[6] Na página https://keepass.info/download.html, há um lista de gerenciadores de senhas compatíveis entre si.