A sua password provavelmente já foi roubada. Saiba o que fazer para estar seguro

28 nov, 2018 - 15:43 • Inês Rocha

O que fazer para aumentar a sua segurança online? Não adianta inventar palavras-passe complicadas. A solução é não as repetir nem as confiar a qualquer um. A tecnologia pode ajudá-lo a lembrar-se de todas as suas “chaves”.
A+ / A-

Sabe aquela password que um dia escolheu para utilizar nas contas que cria na internet? Quantas vezes já a repetiu, associada à mesma conta de e-mail?

Segundo um estudo feito em 2017, nos Estados Unidos, pela Dashlane - uma das principais empresas mundiais na área da gestão de passwords, que abriu, em outubro, um escritório em Lisboa - o utilizador médio tem 150 contas online. Em 2022, a empresa prevê que este número duplicará.

Com números desta dimensão, é praticamente impossível, sem recurso a tecnologia, usar uma password diferente em cada serviço. Mas quando um utilizador repete passwords em vários serviços diferentes, está a tornar-se vulnerável.

Em entrevista à Renascença, Emmanuel Schalit, CEO da Dashlane, explica esta vulnerabilidade com uma analogia: “Imagine que faz 200 cópias das chaves da sua casa. Sempre que alguém vem entregar uma encomenda, dá-lhes uma cópia da sua chave, porque é mais fácil. Isto soa a loucura, nunca ninguém faria isso. Mas isso é o que a maioria das pessoas faz”, explica.

“Quando temos a mesma password em todo o lado, é como se estivéssemos a dar uma cópia das chaves de casa sempre que alguém nos vem entregar algo. É de loucos”, afirma.

Então, o que caracteriza uma boa password? “A resposta é que não existe”, afirma Emmanuel Schalit. “O pior conselho que se pode dar às pessoas é escolher uma password muito complicada que ninguém consiga adivinhar e usá-la em todo o lado. Porque é o mesmo. Não interessa o quão complicadas são as chaves, se der uma cópia a toda a gente, as pessoas têm-nas”, diz.

“A única coisa que melhora a password é que seja diferente em todos os serviços que usamos. É por isso que, no mundo de hoje, já não é possível fazer isso de memória. As pessoas precisam de tecnologia para ajudar a resolver o problema que a tecnologia criou”, afirma o CEO da Dashlane.

O que pode acontecer se der “cópias das suas chaves” a todos os serviços?

Se usar a mesma password para todas as contas que cria online, a probabilidade de alguém conseguir aceder a todos os seus dados e contas – a toda a sua vida, poderíamos dizer - é muito maior. E aqui podem-se incluir serviços que tenham guardado dados dos seus cartões de crédito, por exemplo.

Nos últimos tempos, não faltam exemplos que ilustrem o quão fácil é um intruso aceder aos seus dados. Recorde-se, por exemplo, a falha de segurança que o Facebook divulgou há quase dois meses, que terá afetado entre 30 a 90 milhões de utilizadores.

Cerca de uma semana depois, a Google anunciou algo semelhante, a uma escala mais pequena. Uma falha de segurança que atingiu entre meio milhão a um milhão de utilizadores e levou a que a empresa decidisse fechar o Google+.

“O Facebook e a Google, duas das maiores empresas tecnológicas, começaram este caminho de simplificar a identidade, tentando torná-la mais simples. Agora vemos que é uma má abordagem. Aconteceu e vai acontecer de novo”, afirma Emmanuel Schalit.

Já em fevereiro de 2018, a aplicação MyFitnessPal reportou uma falha de segurança que atingiu aproximadamente 150 milhões de utilizadores; em 2016, “hackers” conseguiram ter acesso aos dados de pelo menos 57 milhões de condutores e utilizadores da Uber. A empresa escondeu a falha de segurança até novembro de 2017 e pagou 100 mil dólares aos intrusos, para que não utilizassem os dados nem revelassem o caso.

Veja se já foi "hackeado"

São muitos mais os casos de falhas de segurança de empresas online. Se quiser assustar-se, pode visitar o site “Have I been pwned”, que lhe diz se o seu e-mail alguma vez esteve envolvido num destes escândalos.

O problema, para o CEO da Dashlane – empresa que, em outubro, abriu um escritório em Portugal - é que este “já não é um problema individual”.

“A internet não pertence a ninguém, pertence a todos. Sempre que alguém é “hackeado” porque usa a mesma password em todo o lado, isso tem um efeito em toda a gente”, afirma.

Emmanuel Schalit lembra o “hack” na eleição presidencial nos Estados Unidos, que teve consequências históricas.

“Estamos a correr na direção de um futuro em que a Internet pode tornar-se tão perigosa e tóxica que pode não funcionar mais”, alerta o especialista em cibersegurança.

Emmanuel Schalit recorre a outra analogia para explicar isto. “É um pouco como reciclar. Se eu vejo que pões todo o lixo no mesmo caixote, isso é mau para ti mas é mau para mim também. É o nosso ambiente, que partilhamos”.

“É o mesmo com a Internet. Se fores hackeado porque usas a palavra "password" como a tua password, ou “123456” - estas são as passwords mais comuns - isso vai prejudicar a internet. Não só para ti, mas também para mim”, afirma.

Mas o que aconteceu, afinal, no “hack” do Facebook?

Emmanuel Schalit explica que, há cerca de um ano e meio, um grupo de “hackers” bastante sofisticados conseguiu aceder a algo chamado "tokens de identidade" de um grande número de utilizadores.

O que são “tokens de identidade”? São uma chave que nos permite ligar ao Facebook sem ter de escrever uma password. É o que permite, por exemplo, à aplicação do nosso telefone conectar com o serviço do Facebook.

No entanto, estes “tokens” permitem também conectar a qualquer outra aplicação ou serviço que seja compatível com o “Facebook Connect” – ou seja, permitem aceder a milhões de aplicações e serviços onde se vê o botão "Entrar com o Facebook".

Assim que o Facebook descobriu a falha de segurança, desativou estes “tokens”. No entanto, ninguém sabe a que dados é os hackers tiveram acesso durante estes 18 meses. “O Facebook está a trabalhar com o FBI para descobrir, mas é possível que nunca venhamos a saber”, diz o CEO da Dashlane.

E se não usar o botão “Entrar com o Facebook”? Pode estar vulnerável na mesma

O problema é que, se os hackers tiverem acedido ao seu “token”, não importa se usa ou não o Facebook Connect. Em teoria, eles podem ter tido acesso a qualquer aplicação que inclua o botão “Entrar com o Facebook”.

“Se o e-mail que usou para criar essa conta é o mesmo que usa em todas as outras aplicações compatíveis, não interessa se usa o Facebook Connect ou não”, explica Emmanuel Schalit. O especialista em cibersegurança recomenda não usar o mesmo e-mail para a conta de Facebook e para as outras aplicações, “pelo menos até eles decidirem parar de ter algo como o Facebook Connect, que é uma ideia terrível”.

Quer estar seguro online? Arranje um gestor de passwords

Emmanuel Schalit considera que, nos dias que correm, é cada vez mais importante que os utilizadores da internet possuam “independência digital”.

“Não podemos contar com governos ou gigantes tecnológicas, temos de possuí-la, temos de gerir a nossa segurança online e usar ferramentas para o fazer”, defende o CEO da Dashlane.

Uma dessas ferramentas é o serviço criado pelo empresário francês – a Dashlane. Mas há outros serviços a trabalhar para o mesmo objetivo, como a LastPass, a 1Password, a KeePassX, a Keeper, a Password Boss e a LogMeOnce. Todos eles são serviços pagos.

O objetivo destas aplicações é dar ao utilizador um “cofre” seguro onde guardar todas as suas informações - nome, morada, número de telefone, cartões de crédito - para tornar essa informação disponível em todos os dispositivos.

No entanto, isto é feito de uma forma descentralizada, ao contrário de serviços como o Facebook ou o Google+. Ou seja, quando o utilizador cria a sua conta, deve utilizar uma password mestra, que é a única que tem de saber. “Esta password mestra tem duas características: primeiro, não há rasto físico dela em nenhum lado no universo, está apenas na cabeça do utilizador. Não queremos sabê-la; segundo, essa password não é usada para autenticar a aplicação da Dashlane no nosso servidor”.

A aplicação gera “passwords” fortes para cada conta, que o utilizador não tem de memorizar. “Aquilo que temos nos nossos servidores para sincronizar entre os dispositivos são dezenas de milhões de ficheiros encriptados. É seguro, porque cada ficheiro encriptado tem uma chave diferente que é única para cada utilizador e que nunca vimos, de forma nenhuma”, explica Emmanuel Schalit.

O empresário garante que, mesmo que a Dashlane, seja “hackeada”, o utilizador estará sempre seguro.

“Se alguma vez formos hackeados, ninguém vai encontrar nada lá. Porque os dados não são legíveis, nem mesmo para nós”, explica o responsável da Dashlane.

Mas não há serviços gratuitos?

Sim. O Google Chrome, por exemplo, oferece, desde setembro, um serviço de gestão de passwords semelhante, em que o utilizador tem apenas uma “chave mestra”, enquanto o browser gera palavras-passe aleatórias para cada página.

No entanto, como explica Emmanuel Schalit, este serviço funciona apenas dentro do browser da Google. Ou seja, se quiser a aceder a determinadas aplicações no telemóvel ou na televisão, estas não poderão aceder às passwords criadas pelo Chrome. Terá de aceder a este site, onde poderá procurar o nome do site e a respetiva password gerada pelo browser.

Além disso, este serviço não está pré-definido. Para o ativar, tem de aceder a esta página, depois de ter feito login na sua conta Google, e em “Automatic passwords generation”, escolher “Enable” ou “By Default” (se quiser que o browser escolha esta opção automaticamente).

Para ativar esta opção na aplicação do Chrome no Android, deve repetir o mesmo processo.

No entanto, Emmanuel Schallit deixa um alerta. “Se pensarmos que o modelo de negócio das grandes empresas tecnológicas é baseado em recolher quantidades massivas de dados dos seus utilizadores, incluindo dados de identidade, centralizar isso numa base de dados que eles tentam salvaguardar (mas como já vimos não têm sucesso) e depois monetizar esses dados, a questão: se queremos dar os nossos dados a uma empresa cujo modelo de negócio é baseado em vender dados ou queremos dá-los a uma empresa que é 100% segura, porque os utilizadores pagam pelo produto?”.

A Google não é a única a oferecer um serviço de gestão de passwords gratuito. Várias outras aplicações, como a Dashlane, a Last Pass, a Myki, a LogMeOnce, entre outros, têm serviços gratuitos, ainda que com algumas limitações (limite de acesso em número de dispositivos, por exemplo).

A Last Pass tem o serviço gratuito mais completo, ainda que a versão paga tenha outras funcionalidades, como passwords partilhadas.

“Solid”, um projeto de Tim Berners Lee, pode salvar a Internet (e retirar utilidade aos gestores de passwords)

O britânico Tim Berners-Lee, criador da World Wide Web, criou um projeto open-source, chamado “Solid”, que, uma vez posto em prática, pode retirar utilidade às ferramentas de gestão de password como a Dashlane.

O “Solid” pretende descentralizar a Web, alterando o modelo atual em que os utilizadores têm de entregar informação pessoal às gigantes tecnológicas. O utilizador tem assim a oportunidade de escolher onde é que a sua informação é guardada e que pessoas ou grupos têm acesso a certos tipos de dados.

Emmanuel Schalit elogia a visão do criador da internet. “Tim Berners Lee é uma figura incrível. Ele tem a visão certa, o que não é surpreendente. É a ideia de que algures no futuro, a identidade vai funcionar de forma diferente daquilo que funciona hoje. Vais dar todos os teus dados de identidade àquilo que chamamos um ‘fornecedor de identidade digital’ e é aí que todos os serviços com que interages vão buscar os dados. E vais ter total controlo sobre eles”, explica.

Sobre a possibilidade de esta criação vir retirar utilidade a serviços como a Dashlane, o CEO diz não estar preocupado, já que considera que vai “demorar muito tempo” até que o “Solid” seja implementado.

“Se Tim Berners Lee tivesse tido essa ideia quando criou a Internet, isso não seria um problema hoje e a internet seria muito melhor do que é. Mas a criação ultrapassou o criador, e agora a internet é demasiado grande”, diz.

“O Solid hoje não tem utilizadores nem serviços implementados, e o desafio é escalar as montanhas nos dois lados ao mesmo tempo”, afirma Schalit. “As empresas não vão adotá-lo até a plataforma ter utilizadores e os utilizadores não vão adotá-lo até as empresas o terem adotado”, considera.

A Dashlane tem, portanto, uma vantagem: “pode ser usada hoje”. É útil neste momento de transição em que o “Solid” ainda não funciona na sua totalidade. E para o seu CEO, o processo vai demorar bastante tempo.

Dashlane abriu escritório em Lisboa (e está a contratar)

Em outubro, a Dashlane abriu o seu terceiro escritório. Depois de Paris e Nova Iorque, a cidade escolhida foi Lisboa.

Emmanuel Schalit explica que a escolha de Portugal passou pela localização – estrategicamente situada entre os dois escritórios da empresa, portanto com um fuso horário favorável – mas também por ser uma “capital em crescimento em termos de tecnologia”, com “muito talento tecnológico” e “uma cultura maravilhosa”.

“Eu fiquei maravilhado com o nível de talento que encontrei em Portugal”, afirma Schalit, que considera que os portugueses “são muito internacionais”.

A empresa planeia contratar 40 a 50 pessoas, nos próximos 12 meses, para trabalhar no escritório situado no Atrium Saldanha, em Lisboa.

“Estamos à procura de candidatos muito qualificados - temos uma fasquia alta, mas estamos confiantes que vamos encontrar”, diz o CEO da empresa.

As primeiras vagas abertas são para a área do apoio ao cliente, mas a Dashlane vai também contratar pessoas na área do design e engenharia de produto, até ao início do próximo ano.

Alguns dos candidatos aprovados podem mesmo ser funcionários da empresa a trabalhar noutras cidades.

“Quando anunciamos internamente que íamos abrir um escritório em Lisboa, tivemos muita gente de Paris e Nova Iorque a querer mudar-se para cá. Fiquei muito surpreendido, é uma cidade muito atrativa”, conta Emmanuel Schalit.

Comentários
Tem 1500 caracteres disponíveis
Todos os campos são de preenchimento obrigatório.

Termos e Condições Todos os comentários são mediados, pelo que a sua publicação pode demorar algum tempo. Os comentários enviados devem cumprir os critérios de publicação estabelecidos pela direcção de Informação da Renascença: não violar os princípios fundamentais dos Direitos do Homem; não ofender o bom nome de terceiros; não conter acusações sobre a vida privada de terceiros; não conter linguagem imprópria. Os comentários que desrespeitarem estes pontos não serão publicados.