Artigo escrito por Zacarias Benta, Systems Administrator / Software Developer na INCD - Infraestrutura Nacional de Computação Distribuída
Todos temos uma lista ilimitada de serviços online, que utilizamos diariamente. O correio eletrónico pessoal e da empresa, o homebanking, o serviço de streaming, a plataforma de compras online…
Para cada um destes serviços temos um username e uma password para memorizar e guardar na nossa mente. A password deve ter no mínimo 10 caracteres, ser composta de letras maiúsculas e minúsculas, números e caracteres especiais.
Isto por si só já torna complicado o seu processo de criação; agora se multiplicarmos esta tarefa por cada serviço que temos, acabamos por nos perder ou cair no erro de criar uma super password e usar sempre a mesma em todas as aplicações. Afinal de contas quem é que vai adivinhar “Aminhasuperpassword123.”?
O problema não está em adivinhar a password, está sim no número de serviços nos quais a mesma é utilizada, e se um estiver comprometido, então, todos os outros também estarão.
ALGORITMO DE GERAÇÃO DE PASSWORDS
Um dos métodos que recomendamos é criar uma password é a utilização de uma passphrase, ou seja, ter uma frase como ponto de partida.
Por exemplo a frase «Ó mar salgado, quanto do teu sal São lágrimas de Portugal!», pode transformar-se na password «0msalgadoqtdtsalsaolagrimasdePortugal!». Temos números, porque substituímos o «Ó» por «0», minúsculas e maiúsculas, um caracter especial «!» e um comprimento maior do que 10.
UMA PASSWORD POR SERVIÇO
Agora que temos uma passphrase definida, e encontrámos a base para criar uma password por serviço, falta definir qual o algoritmo que vamos usar. Temos várias opções, mas o ponto de partida é sempre o serviço em questão.
Temos a opção de colocar o nome do serviço que estamos a usar, mas isso torna-se mais fácil adivinhar qual a password de outras aplicações. Por exemplo, usar a nossa passphrase acima e colocar à frente ou atrás o serviço para o estamos a definir a password.
«Facebook0msalgadoqtdtsalsaolagrimasdePortugal!»
Ou
«0msalgadoqtdtsalsaolagrimasdePortugal!Facebook»
Podemos usar as últimas letras do nome de cada serviço; por exemplo para Facebook usar «ok» para o NetFlix «ix», para o homebanking «ng».
E criar uma password única para cada serviço:
«0msalgadoqtdtsalsaolagrimasdePortugal!ok»
«0msalgadoqtdtsalsaolagrimasdePortugal!ix»
«0msalgadoqtdtsalsaolagrimasdePortugal!ng»
Assim, se uma das passwords for comprometida as outras, ainda poderão estar protegidas. Claro está, que se os piratas descobrirem uma password, podem gerar variações dela e tentar aceder a outros serviços.
Se escolher este método parar criar as passwords, ficará, sempre, melhor servido do que com uma password do tipo:
«123456», «quertyuiop», «password», «iloveyou», «1q2w3e4r5t6y»
GESTORES DE PASSWORDS
Uma outra solução, são os gestores de passwords, que nada mais são do que um software que gera passwords aleatórias, de acordo com as especificações de complexidade que pretendemos, e que nos permitem guardar as mesmas na cloud. São uma ferramenta muito útil que permite ter as nossas passwords, sempre acessíveis. Porém, mesmo este tipo de software está sujeito a um risco; as passwords estão seguras por uma password mestra. Se a password mestra for descoberta, todas as outras ficam desprotegidas.
AUTENTICAÇÃO MULTIFATOR
Algumas das aplicações que utilizamos já permitem a autenticação multifator.
Perguntam, vocês, e muito bem, em que é que consiste esta opção?
A autenticação multifator consiste na utilização de mais do que uma forma de validação da nossa entidade. Normalmente temos um username e uma password, mas no caso do multifator podemos ter inúmeras formas de validação complementares como um código enviado por sms para o nosso telemóvel ou um cartão matriz, do qual no será pedido uma combinação de caracteres inscritos. Também podemos optar por recorrer à nossa impressão digital ou um token rsa, uma aplicação geradora de códigos no telefone…
QUAL A MELHOR OPÇÃO PARA MIM?
A opção mais eficaz é a autenticação multifator, mas nem sempre esta está disponível nos serviços que utilizamos. Num mundo ideal não seria necessário termos que utilizar passwords, mas como o mundo está longe de ser ideal, a solução passa por, sempre que possível, utilizarmos autenticação de vários fatores.
A solução perfeita seria autenticação através de algo que sabemos (nome de utilizador e password) em conjunto com uma característica física (dados biométricos) e, ainda algo que possuímos (token físico). Desta forma, mesmo que dois dos fatores fossem comprometidos teríamos sempre um terceiro que impediria o acesso de intrusos ao serviço.
COMO POSSO APLICAR ESTAS RECOMENDAÇÕES?
Na minha opinião, a melhor forma de manter as suas credenciais seguras, passa por utilizar um gestor de passwords open-source (KeePassXC / KeePass), juntamente com uma palavra passe mestra e uma chave física (yubikey).
Para que tenha acesso às suas passwords em todos os seus dispositivos, recomendo a utilização de um serviço de cloud (Nextcloud / Google Drive) onde possa guardar a sua base de dados de passwords e que sincroniza as alterações para cada uma delas.
Para além destes cuidados com as suas credenciais, deverá, sempre que possível, ativar a autenticação multifator em todos os serviços que disponibilizam essa opção, acrescentando mais uma camada de segurança aos seus acessos.
EM RESUMO
A gestão das nossas credenciais de acesso é uma necessidade cada vez maior. Com o aumento de subscrições de serviços e aplicações; sem as quais a maior parte de nós não consegue desempenhar a atividade profissional; encontrar uma forma segura e fiável de gerir e armazenar os nossos dados de acesso é urgente.
Neste artigo deixamos algumas sugestões para que possa gerir as suas credenciais.
É claro que tudo isto pode ser feito com papel e caneta, mas, e se nos roubam o papel ou este se deteriora?
Esperamos que tenha ficado com algumas ideias de como criar passphrases, noções de outros métodos de autenticação e ferramentas que podem ajudar nesta gestão.
Caso tenham alguma dúvida ou sugestão basta entrar em contacto connosco.