Ter uma palavra-passe adequada é um muitos dos passos fundamentais para manter as contas seguras. No entanto, à medida que as ameaças do mundo online aumentam e se tornam mais sofisticadas, os maus hábitos de muitos utilizadores continuam a minar a segurança da vida digital.
Para assinalar o Dia Mundial da Password reunimos um conjunto de recomendações deixadas por especialistas da área de cibersegurança, lembrando também os exemplos a não seguir.
Clique nas imagens para ver 4 recomendações essenciais para passwords mais robustas e seguras
Escolha passwords fortes, longas e variadas
As palavras-passe curtas e compostas por sequências simples e números e letras conseguem ser mais facilmente decifradas por hackers. Este é um aviso que tem sido repetido por vários especialistas da área, mas, como mostrou a última edição da lista de passwords mais comuns da NordPass, continua a ser ignorado por demasiados internautas.
Em 2022, além das sequências de números e letras, a lista foi liderada pelo termo “password”, incluindo ainda palavras como “guest” ou “qwerty”. Em Portugal, o destaque vai também para “benfica” ou “sporting”, e nomes próprios e termos como “portugal” e “família”.
Vai mudar a password? Não siga estes exemplos
É recomendável que opte, sempre que possível, por passwords com mais de 12 caracteres. Deve combinar números, letras maiúsculas e minúsculas, assim como caracteres especiais. Usar dados pessoais, datas especiais, nomes de membros da família ou até dos animais de estimação está fora de questão.
Há ferramentas online, incluindo gestores de passwords, que o podem ajudar a gerar palavras-passe fortes, longas e variadas. Se desejar pode também experimentar criar passwords a partir de frases completas, usando maiúsculas e minúsculas, trocando letras, por números e por caracteres especiais.
Não repita nem “recicle” passwords nas contas online
Cada conta online deve ter uma palavra-passe única. Caso contrário, se as credenciais de uma conta caírem nas mãos de cibercriminosos, as restantes estarão em risco. Além disso, não deverá “reciclar” passwords que já utilizou anteriormente, sobretudo se já tiverem sido comprometidas em algum tipo de ciberataque.
Os especialistas recomendam também que mude as palavras-passe das suas contas a cada três meses. Se quer verificar se alguma das suas passwords já foi comprometida em ataques informáticos, pode recorrer, por exemplo, à plataforma HaveIBeenPwned.
Mantenha a privacidade das passwords
Partilhar as suas passwords com outras pessoas não é uma boa ideia. O mesmo se aplica a deixar palavras-passe escritas, por exemplo, em notas Post-It perto do computador ou até em ficheiros.
Se tem dificuldade em manter-se a par de todas as palavras-passe que usa nas contas, o melhor será mesmo optar por um gestor de passwords. Existem várias opções disponíveis na Internet, entre gestores gratuitos e pagos. Neste artigo, e na galeria que se segue, pode encontrar oito propostas.
Clique nas imagens para ver oito propostas de gestores de password
Ative a autenticação de dois fatores nas contas
A autenticação de dois fatores afirma-se como uma camada extra de segurança nas contas, permitindo obter uma confirmação de que foi mesmo o utilizador que inseriu as credenciais no respetivo serviço. Hoje, várias plataformas digitais e redes sociais dispõem desta funcionalidade e é recomendável que a ative, recorrendo ao email ou SMS para confirmara autenticação, ou aplicações como a Authy, Google Authenticator ou Microsoft Authenticator.
As passwords também enfrentam desafios
As passwords pouco seguras não são o único problema. De acordo com dados avançados pela Check Point Research, à medida que as tecnologias evoluem, surgem também novas oportunidades para os cibercriminosos levarem a cabo ataques, fazendo com que passwords que outrora eram consideradas seguras se fiquem em risco.
Por exemplo, as novas gerações de placas gráficas com memória virtual (VRAM), que permitem que dispositivos de hardware processem dados a alta velocidade, também podem ser utilizadas em ciberataques para obter palavras-passe.
Citando dados de um recente relatório da Hive Systems, os investigadores indicam que o tempo que os hackers demoram a decifrar palavras-passe em ataques de força bruta varia entre instantes, para passwords pouco seguras, e 438 mil milhões de anos, para credenciais mais robustas.
Em apenas um ano, estes números viram os seus tempos de vulnerabilidade possíveis reduzidos em até 90% e a Check Point Research realça que, com a entrada de novos agentes como os serviços na cloud ou a inteligência artificial, a redução poderá ser ainda maior.
"Todos os dias, os cibercriminosos criam novos ataques destinados a roubar as palavras-passe dos utilizadores”, afirma Rui Duro, Country Manager da Check Point em Portugal.
“Técnicas como phishing conseguiram violar milhares de serviços através do roubo de credenciais, especialmente aqui em Portugal, onde, em média, as organizações foram atacadas 1.065 vezes por semana no primeiro trimestre do ano", realça o responsável.
Em linha com o Country Manager da Check Point em Portugal, Marc Rivero, Senior Security Researcher da Kaspersky, realça que “o risco é permanente e cada vez maior, uma vez que os ataques para obter passwords se tornaram mais avançados e variados nos últimos anos”.
“Os ataques a serviços, a criação de diferentes programas maliciosos ou os websites de phishing podem ser utilizados para roubar passwords fracas ou inclusive atacar os serviços de armazenamento de credenciais de acesso. Os dados roubados podem, então, ser vendidos na dark web, afetando tanto a vida digital como a vida real das pessoas”, indica.
Por outro lado, "este risco pode ser facilmente remediado através do estabelecimento de palavras-passe seguras, tornando muito mais difícil para os cibercriminosos adivinharem estas combinações, garantindo o mais alto nível de segurança para os nossos dispositivos", afirma Rui Duro.
A caminho de um futuro sem passwords
Apesar de serem um instrumento crítico de segurança, as passwords também estão suscetíveis às dinâmicas do fator humano e às tendências do cibercrime. A indústria tecnológica tem vindo a reunir esforços para criar tecnologia de autenticação que seja mais segura e conveniente e, no ano passado, a Google, Apple e Microsoft anunciaram que iam passar a disponibilizar suporte aos padrões de autenticação FIDO sem palavra-passe.
Através deste sistema, os equipamentos dos utilizadores, como smartphones, passam a armazenar uma uma credencial FIDO, ou passkey, que é usada para desbloquear as contas. Para iniciar sessão num website ou aplicação basta desbloquear o smartphone, através de um pin, de impressão digital, ou reconhecimento facial.
Para assinalar o Dia Mundial da Password em 2023, a Google anunciou que começou a disponibilizar o suporte às passkeys nas contas dos seus serviços. Anteriormente, a empresa já tinha detalhado os passos que estava a tomar tendo em vista ao suporte a este método de autenticação no Google Chrome, assim como no sistema operativo Android.
De acordo com a gigante de Mountain View, esta experiência de autenticação com passkeys já começou a ser implementada por plataformas como PayPal, Shopify, Kayak e ainda na versão japonesa do Yahoo. Já no que toca à Google, a opção de autenticação sem password vai estar disponível para os utilizadores a partir de agora, sendo possível ativá-la através da secção de definições da conta.
Recorde-se que, a Microsoft também já disponibiliza a opção de iniciar sessão nas suas contas sem precisar de usar uma password e, com o lançamento do iOS e iPadOS 16.1, a Apple estreou o sistema de segurança de navegação sem palavras-passe no Safari.
Pergunta do Dia
Veja também
Em destaque
-
App do dia
Teste os seus conhecimentos sobre a música e cultura rap com esta app gratuita -
Site do dia
LFG é um Spotify de viagens com “placelists” para descobrir e partilhar sítios a visitar -
Multimédia
NASA lança uma espécie de “corrida mais louca do mundo” mas para rovers lunares -
How to TEK
Como separar (ou juntar) as contas do Facebook e Instagram
Comentários