Entre as muitas coisas que o ano 2020 nos deixou, está a adaptação ao trabalho através de sistemas conectados, com acesso a programas em modo cloud (nuvem), além de uma melhor proteção das palavras-passe. Grande parte das pessoas aderiram a pelo menos três programas de videoconferência, possuem conta em dois ou três sistemas de armazenamento, acedem aos sistemas de gestão em modo cloud e, evidentemente, utilizam o correio eletrónico tanto no telemóvel como no navegador.
É provável que o leitor também tenha contas em vários portais de compras, supermercados, lojas e, com certeza, na Amazon. E depois ainda temos as plataformas de vídeo, Netflix, Prime, Disney. Sem esquecer as redes sociais, ainda mais perigosas ou que exigem mais cuidado.
Eu próprio contei mais de 250 páginas em que estou inscrito em modo cloud e onde, obviamente, tenho um nome de utilizador e uma palavra-passe. Torna-se fácil contá-las porque uso um gestor seguro para a proteção de palavras-passe, caso contrário seria muito difícil lembrar-me da palavra-passe que tenho em cada sítio. Para dizer a verdade, até do nome de utilizador seria difícil lembrar-me.
Proteger a palavra-passe significa também proteger a nossa própria identidade. Evidentemente, os dados de cada serviço estão na cloud, mas qualquer pessoa que conseguisse a palavra-passe do seu correio eletrónico e obtivesse acesso poderia, além de ler a informação, suplantar a sua identidade.
Tanto através de e-mails recebidos como em contas do meu correio eletrónico, já cheguei a contar até 20 ataques num só dia. Acontece a todos. Por isso é que é tão importante proteger as palavras-passe e, ao mesmo tempo, ter cuidado na forma como as usamos.
Por essa razão, gostaria de partilhar alguns conselhos muito importantes para o cuidado e a gestão de palavras-passe. Cinco conselhos para ser exato.
Uma palavra-passe diferente para cada sítio
Não é bom ter a mesma palavra-passe para todos ou a maioria dos sítios da Internet aos quais temos acesso. É verdade que a tarefa ficaria mais fácil porque, se memorizar 50 palavras-passe é quase impossível, então o que dizer de 250 palavras-passe.
No entanto, se usarmos a mesma palavra-passe em todos os sítios, o risco torna-se exponencial. Se em qualquer uma dessas páginas, a nossa palavra-passe ficar comprometida, então passamos a estar desprotegidos em todas. E seria um trabalho colossal mudar centenas de chaves a toda a velocidade quando sofremos um ataque.
Portanto, se todas as palavras-passe forem diferentes, no caso de alguma ficar comprometida (seja por erro nosso ou por terem sido roubadas da respetiva página) não teremos de mudar todas as outras. E convém que a palavra-passe não ofereça pistas em relação às restantes.
Chaves claramente difíceis, é disso que falaremos nos seguintes conselhos.
Palavras-passe fortes e seguras
É verdade que uma palavra-passe deve ser forte, independentemente do sítio no qual estamos a escrever – uma palavra-passe tão complexa quanto possível, que consigamos gerir.
Este é um tema sobre o qual já escrevemos conselhos neste espaço. É especialmente importante ter em mente que aquilo que estamos a fazer é uma chave secreta, com ajudas que permitam à memória a sua gestão.
Se a chave for suficientemente forte e bem gerida (não sendo partilhada nem escrita), então não será necessário mudá-la constantemente. O que é necessário no caso de ter muitas palavras-passe, dezenas ou centenas, é usar um gestor.
Usar duas contas de correio eletrónico
A maioria de nós tem pelo menos duas contas de correio eletrónico, um Gmail, um Yahoo, um Outlook, etc. Nos sítios onde seja possível registar mais de uma conta de email., recomendo que o faça. Desta forma, mesmo que uma conta fique comprometida é sempre possível recuperar.
Já recomendei ter palavras-passes diferentes em cada sítio e insisto que isso é importante. Principalmente neste caso, nunca use a mesma palavra-passe que tem na conta de correio eletrónico num sítio diferente.
Se possível, usar autenticação dupla
“Dupla Autenticação” é uma técnica por meio da qual se usa, além da palavra-passe, um método adicional. O nome parece implicar um duplo esforço, mas não é verdade. Se o sítio ao qual está a aceder permitir configurar a dupla autenticação, recomendo que o faça.
Eu utilizo a dupla autenticação em todas as minhas contas de correio eletrónico. Optei por uma configuração que usa a palavra-passe para aceder mas, adicionalmente, exige validação em cada dispositivo que uso para ter acesso. Isto significa que, se alguém conseguisse roubar a minha palavra-passe, precisaria também de acesso a partir do meu PC, do meu portátil ou telemóvel, ou seja, também seria necessário obter as palavras-passe dos meus dispositivos e a chave da porta da minha casa.
Dupla autenticação também é o que fazem muitos bancos que, além de pedirem a palavra-passe ao entrar no sítio, têm uma assinatura extra, ou enviam por SMS uma chave para validar uma transação. Isto permite que, se alguém se tiver apoderado da palavra-passe, para validar a transação também teria de conseguir desbloquear o telefone para ler o código e autenticar a sua identidade.
Neste mesmo sentido, recomendo configurar o telefone para que as mensagens não possam ser lidas com o ecrã do telemóvel bloqueado. Pode configurar o telefone para que as notificações sejam visualizadas, mas apenas o título em vez do conteúdo, caso contrário qualquer pessoa poderia aceder a um código que receba por SMS.
Usar um gestor de palavras-passe
Um gestor de palavras-passe é um programa especializado que guarda os nomes de utilizador e as palavras-passe de forma segura e que, adicionalmente, serve como assistente tanto para criar novas palavras-passe como para memorizá-las nas páginas da Internet no momento de acesso.
Há gestores gratuitos e gestores pagos. Eu uso um gestor pago que me custa menos de vinte euros por mês, mas que gere as mais de 250 palavras-passe que tenho e, além disso, de cada vez que crio uma nova palavra-passe recomenda-me chaves muito longas, fortes e com todo o tipo de combinações de letras, números e símbolos.
Um bom gestor permite também autorizar o dispositivo, portanto acrescenta segurança através do sistema de dupla autenticação.
Fica assim claro que usar um gestor tem grandes vantagens, mas também tem um inconveniente. Se alguém obtiver a palavra-passe que usa no gestor, terá acesso a todas as palavras-passe. Outra forma de ver a questão é que, com um gestor, só tem de defender uma palavra-passe. Por isso, deve fazê-lo bem feito!