As palavras-passe são altamente necessárias nos dias que hoje vivemos. Contudo, está tudo a tornar-se num complexo e inútil novelo de métodos de segurança. Nesse sentido, a Microsoft repudia a existência de senhas cujo prazo de validade expire. Diz a gigante do software que o método pode mesmo ser perigoso.
Quem verbaliza esta realidade é o principal consultor da empresa, referindo que “se não lhe roubaram a palavra-passe, não precisa de a trocar, nem precisa estar à espera que ela um dia expire para a modificar.”
Trocar de vez em quando as palavras-passe não resulta… diz a Microsoft!
Microsoft renuncia à caducidade das palavras-passe. De agora em diante, não exigirá a sua alteração periódica depois de verificar que é uma medida inútil e até perigosa. Contudo, a medida foi introduzida com a intenção de impedir que uma conta fosse pirateada, mas, segundo Aaron Margosis, principal consultor da empresa, a sua eficácia é nula.
Se uma palavra-passe não foi roubada, não há necessidade de a alterar. E se há evidências de que ela foi roubada, devemos agir imediatamente, sem esperar que expire.
Explica o especialista no blog de segurança da empresa (blog Microsoft Security Guidance).
E como podemos saber se a nossa segurança foi comprometida?
Não há aquele lugar genuíno para saber isso. No entanto, como já se falou por variadas vezes, existem sítios que podem mostrar se certo email, usado para autenticar nalgum serviço, caiu nas mãos de outras pessoas. Embora muito batido, o serviço web “‘;–have i been pwned?” tem já registados mais de 5 milhões de endereços de mail de contas afetadas até ao momento.
O problema está entre o ecrã e a cadeira… ainda!
Seja como for, Margosis reconhece que há problemas no sistema de palavras-passe. De acordo com um relatório recente, apenas 15% dos utilizadores usam métodos seguros de identificação, a maioria usa chaves vulneráveis. Apesar dos muitos avisos, há pessoas que usam senhas com uma sucessão de números, outros que continuam a colocar os seus nomes (data de nascimento), o nome da equipa de futebol ou do grupo de música favorito.
O motivo é a preguiça e a dificuldade das pessoas recordarem os códigos, quando estes são considerados fortes. Inegavelmente, a combinação de letras, números e símbolos, tornam a lembrança mais difícil.
Quando uma pessoa é forçada a mudar a palavra-passe, ela faz pequenas e previsíveis alterações na já usada.
Refere o consultor.
Embora a Microsoft renuncie à caducidade, mantém a recomendação de usar palavras-passe fortes. Além disso, é importante recorrer sempre que possível a processos de verificação em duas etapas (uso de outro dispositivo complementar para garantir a autenticidade do utilizador) ou programas de reconhecimento de dados biométricos, como o rosto ou a impressão digital.
A caducidade periódica da palavra-passe é uma fórmula antiga e obsoleta com muito pouco valor e acreditamos que ela não é válida dentro da nossa política de segurança.
Reconhece Margosis.
Sejamos criativos a dificultar a vida aos criminosos
O Centro de Cibersegurança Nacional do Reino Unido (National Cyber Security Center, NCSC), num relatório apresentado esta semana, mostra que, apesar das repetidas advertências, apenas 15% dos utilizadores utiliza métodos seguros, enquanto mais de 40 milhões de pessoas manter a sua senha do computador que não é mais que uma sequência simples de números (123456), dígitos iguais (111111) ou, pior ainda, as primeiras letras do teclado (QWERTY).
Outros códigos comummente utilizados são o nome próprio, o nome das equipas de futebol, grupos musicais ou personagens fictícias.
Existem ferramentas para tornar as contas mais seguras e a Microsoft incentiva a usá-las. Uma delas é o uso do token eletrónico, um dispositivo que armazena ou gera chaves, assinaturas digitais ou dados biométricos. Os cartões de crédito com leitor de impressão digital começaram a ser usados e também há teclados virtuais que alteram a posição do código cada vez que ele é usado. Além disso, existem programas de gestão de palavras-passe para organizar e proteger as chaves, bem como para as criar aleatoriamente.
Para as empresas e organizações começaram a proliferar serviços de cloud em que a entidade que fornece instalações também assume a segurança, a Microsoft tem o Azure, uma plataforma que não é mencionada a cessação das senhas e, segundo a empresa, usa “multi nível de controlos integrados e inteligência artificial contra as ameaças que evoluem rapidamente.”