Um plano infalível para proteger todas as suas senhas

Desde pequeno eu sempre tinha as senhas mais malucas para as minhas contas (pode perguntar pra minha família que eles vão confirmar). Pra isso, já cheguei a seguir alguns truques. Um deles era montar uma frase bem específica cujas iniciais das palavras formavam a senha, misturando também alguns números e símbolos.

Sim… Tem toda uma arte das trevas por volta de proteger as suas contas (ou pelo menos eu achava que deveria ter).

E truques como esse funcionam até um certo ponto, mas à medida que vamos criando novas contas em diferentes serviços online, nosso número de credenciais só aumenta. Eventualmente, acabamos repetindo alguma dessas senhas ou simplesmente usando uma mais simples (e bem mais vulnerável). Dá pra ver que não é um modelo sustentável, né?

Há quem não se preocupe tanto com isso, talvez pensando “por que alguém tentaria descobrir a minha senha do site Y?”. Mas, considerando que boa parte das nossas vidas e rotinas passa pela internet atualmente, e que ela é um espaço livre (para todo tipo de pessoa, com todo tipo de intenções), eu não negligenciaria isso. Especialmente em certas categorias de contas, que vou falar mais pra frente.

Então vim aqui apresentar o que apelidei carinhosamente de Pinpronhas, o Plano INfalível para PROteger todas as suas seNHAS. São algumas medidas que tomei para aumentar consideravelmente a minha segurança (e paz de espírito) no mundo digital.

1) Faça um diagnóstico da situação

Antes de qualquer coisa, é preciso entender como está a sua situação no momento.

  • a) Você usa a mesma senha para várias, ou mesmo todas, as suas contas?
  • b) Você usa senhas simples ou fáceis de adivinhar?
  • c) Você guarda suas senhas em lugares acessíveis por outras pessoas, como uma agenda ou o bloco de notas do celular?

Esses são alguns pontos essenciais a se observar, já que:

  • a) Se alguém ganha acesso a apenas uma de suas senhas, ela pode utilizá-la em várias outras
  • b) Se as suas senhas não são complexas e aleatórias, uma pessoa ou mesmo um programa pode descobrí-las por meio de força bruta
  • c) Se não existe nenhuma barreira física e/ou criptográfica para proteger suas senhas, que garantia você tem de que elas não vão cair nas mãos erradas?

Diagnóstico da situação

Se depois de avaliar esses pontos você ficou pelo menos um pouquinho paranóico(a), tá ótimo!

Fazer um diagnóstico da situação também significa fazer um apanhado de todas as suas contas (ou pelo menos todas as que ainda têm alguma relevância pra você). Elas podem ser dos mais variados tipos, e aqui listo em ordem de importância, na minha visão:

  1. Contas bancárias: de modo geral, serviços que envolvem recebimento/envio de dinheiro, nem preciso dizer por que, né?
  2. Contas de e-mail: porque elas geralmente são usadas como um método de recuperação de senha de todas as suas outras contas
  3. Redes sociais: do Instagram ao LinkedIn, tudo o que alguém poderia utilizar para se passar por você
  4. Sites de compras online: neles há dados pessoais, de entrega, e talvez até a função de compra com 1 clique ativada
  5. Contas usadas no dia-a-dia: sejam pessoais ou de trabalho, aquelas que se acontecesse algo seria um transtorno pra você

2) Use senhas seguras e únicas

Se eu disser que uma senha numérica de 6 dígitos oferece 1.000.000 combinações diferentes isso parece bastante coisa, e para um ser humano é. Mas para um software de adivinhação randômica isso é moleza e o tempo necessário para “quebrar” esse tipo de senha está na escala dos segundos.

Por outro lado, uma senha de 10 ou mais caracteres, porém com números, letras minúsculas/maiúsculas e símbolos levaria anos para ser desvendada – dependendo do caso, milhares e milhares de anos (quem que vai querer bisbilhotar o seu feicibuqui até lá??).

Uma senha segura se parece com algo assim:

mk.VvT@oGmu_n9qKpbB23EY!

Eu sei… Ela não é tão bonita como tobinho123.

Mas não para por aí: não adianta a sua senha ser segura e você usar ela pra tudo. Podem não adivinhá-la, mas você pode usá-la num site duvidoso que roube seus dados, ou então alguém pode usar um software de keylogging na sua máquina para capturar tudo o que é digitado, enfim, as possibilidades são várias.

A questão é que não vale a pena arriscar, por isso as suas senhas devem ser seguras E únicas.

Senhas seguras e únicas

Outro aspecto a se considerar para blindar ainda mais as suas contas é usar Autenticação Multifator (ou MFA) nos sites que oferecerem essa funcionalidade. Isso significa que você utilizará mais de um meio de comprovar que é o(a) verdadeiro(a) usuário(a) de uma conta.

A variação mais comum disso é a Autenticação de 2 fatores (ou 2FA). A sua senha é um desses meios. Outro pode ser, por exemplo, receber um e-mail ou SMS com um código. Ou então informar uma OTP (One-Time Password) que é renovada a cada alguns segundos por um aplicativo próprio para isso.

Usar 2FA garante que, mesmo que por um azar alguém consiga acesso a sua senha, essa pessoa também precisaria ter acesso ao que você definiu como 2º fator de autenticação – o seu celular, por exemplo.

3) Conte com uma ajudinha

Obviamente a pergunta que surge é: como administrar tudo isso? É impossível se lembrar de uma senha louca dessas, imagine dezenas. Somado à MFA, esse processo pode facilmente se tornar uma bagunça ou, no mínimo, uma utopia.

À primeira vista parece que, ou temos segurança, ou temos comodidade. Mas isso não é totalmente verdade. Para facilitar e complementar esse processo, você pode contar com algumas alternativas de softwares (integrados ou externos), analisados a seguir.

Google Passwords / iCloud Keychain

A primeira alternativa, e provavelmente a mais simples, é utilizar o Gerenciador de Senhas do Google. Ou, se você usa iOS e macOS, as Chaves do iCloud (iCloud Keychain), que funciona da mesma maneira. Ao criar uma conta em algum site, ele sugere uma senha razoável e, ao fazer login, ele a preenche para você.

Vantagens

  • Já vem integrado ao seu navegador/sistema
  • Gratuito
  • Melhor do que nada

Desvantagens

  • Basta que você deixe o computador/celular dando bobeira desbloqueado para qualquer um poder usar todas as senhas salvas
  • Se alguém hackeia seu computador/celular, essa pessoa não precisa de mais nada para poder usar todas as credenciais salvas
  • Não é possível alterar as sugestões de senhas para criar uma senha mais longa e difícil
  • Não é possível copiar a senha no momento em que ela é sugerida
  • Se você tem dispositivos com sistemas operacionais diferentes essa solução não vai ser compatível em todos eles
  • O Google Passwords não oferece funcionalidade para gerar códigos temporários para autenticação de 2 fatores
  • Só é possível utilizar o Google Passwords dentro do Chrome, o que significa que programas instalados no computador ficarão de fora

Gerenciador de senhas dedicado

Como é possível notar, gerenciadores de senha integrados são bem convenientes para você. O principal problema é que eles são convenientes inclusive para quem está tentando acessar os seus dados de maneira indevida.

Para contornar essas desvantagens, existem gerenciadores de senha mais robustos e completos. Hoje há algumas opções bem conhecidas, sendo o 1Password a que eu utilizo e recomendo sem medo.

1Password

Antes de entrar nas vantagens e desvantagens dessa opção, acho importante ressaltar a qualidade do serviço que eles oferecem. Com uma história de 15 anos, o 1Password é usado por mais de 15 milhões de usuários, dentre indivíduos, famílias e empresas em todo o mundo.

Eles estão sempre desenvolvendo novas funcionalidades e ouvindo a sua comunidade de usuários. Outro ponto interessante é que eles nunca foram hackeados e, mesmo que fossem, os usuários ainda estariam protegidos.

Diferente da opção anterior, a ideia geral é que aqui você tem uma chave-mestra para proteger todas as suas senhas, logins, e dados pessoais que desejar armazenar, além de contar com várias medidas de segurança.

Vantagens

  • Compatível com todos os seus dispositivos (macOS, iOS, Windows, Android, Linux, Chrome OS), além de ter extensões para funcionar em todos os principais navegadores
  • Desbloqueio por biometria nos dispositivos em que isso é possível
  • Compatível com autenticação de 2 fatores (e é muito fácil configurar)
  • Criação de senhas seguras, especificando tamanho, tipo e complexidade
  • Criação de “Cofres” diferentes e tags para organizar suas credenciais
  • Com a função Watchtower você é avisado(a) sobre senhas fracas, comprometidas e/ou repetidas. Também fica sabendo dos sites em que ainda não ativou 2FA ou que usam protocolo inseguro
  • É possível salvar notas e arquivos de forma segura
  • Para cadastrar a sua conta em um novo dispositivo, é necessário não só a chave-mestra, mas também uma chave secreta segura

Desvantagens

  • Pago: o plano individual é no valor de USD 2,99/mês (mas calma lá)

Por que vale a pena

Se eu fosse fazer uma analogia nesse contexto, diria que:

  • Usar um serviço como o 1Password é como proteger a casa com fechaduras nas portas, câmeras e cercas elétricas
  • Usar um gerenciador de senhas integrado é como ter fechaduras nas portas, mas deixá-las destrancadas quase o tempo todo – do que adianta?
  • Usar senhas fracas e/ou repetidas é como deixar as portas destrancadas e torcer pra que ninguém entre

Na minha opinião, um gerenciador de senhas é o melhor upgrade de segurança que alguém pode fazer e hoje eu não viveria sem. Com ele você anula (ou no pior dos casos mitiga) a grande maioria dos riscos que correria ao não optar por usar esse tipo de solução.

O valor pago é bem pequeno se considerarmos a frequência de uso constante e paz de espírito que pode trazer.

BÔNUS: 4) Continue tomando cuidados

Tomar cuidados

O uso de um bom gerenciador de senhas traz uma mudança de postura – aposto que, como eu, você nunca mais vai querer dar bobeira.

Portanto, para manter-se seguro(a), é preciso continuar dando a atenção devida para os seus dados. Algumas dicas:

  • A sua chave-mestra deve ser algo fácil de ser memorizado por você mas difícil de ser adivinhado por outras pessoas
  • Guarde o Kit de Emergência da plataforma (que contém a chave-mestra e chave secreta) num local seguro, como um cofre
  • Altere o tempo de bloqueio por inatividade para algo que faça sentido para você (lembrando que quanto menor, melhor, do ponto de vista de segurança)
  • Ative 2FA em tudo o que puder
  • De tempos em tempos:
    • Altere sua chave-mestra e sua chave secreta
    • Altere as senhas de logins “críticos” (aqueles que envolvam transações financeiras + coisas importantes no seu dia-a-dia) – para facilitar isso você pode criar uma tag
    • Revise sua situação. Está tudo nos conformes? Há algo que pode ser melhorado para garantir mais segurança e tranquilidade?

P.S. É #publi do 1Password sim, mas só porque eu amo esse treco! :)
Se quiser comparar, algumas alternativas são LastPass, Keeper e Dashlane.