Os Desafios de um Armazenamento Correto e Seguro de Senhas
O processo de recuperar o acesso a uma conta on-line pode ser um tanto incômodo. Às vezes, você precisa entrar em contato com um agente de suporte que fará todo tipo de perguntas antes de finalmente fornecer um link com o qual você pode criar e atribuir uma nova senha para a sua conta.
Com alguns serviços (não muitos), no entanto, recuperar uma senha é bom e fácil. Você clica em um botão 'Esqueceu a senha' e um computador ou uma pessoa envia um e-mail com a senha que você esqueceu. Você pode estar se sentindo feliz com a conveniência de um sistema que funciona assim. E, de fato, é conveniente. O que você pode não perceber, no entanto, é que o dito sistema está manipulando a sua senha de uma maneira extremamente insegura.
Primeiro de tudo, o e-mail não é a forma mais segura de comunicação. Existem exceções, mas a maioria dos provedores convencionais de e-mail não criptografa as informações nas mensagens, o que significa que elas podem ser roubadas em trânsito. Esse não é o único problema.
O fato da senha ser enviada para você em texto simples significa que ela provavelmente é armazenada em texto simples também. E isso significa que, se os hackers puserem as mãos nisso, não haverá nada que os impeça de assumir a sua conta. Sua senha também pode ser armazenada de forma criptografada, mas isso também não é uma boa prática. Se estiver criptografada, ela poderá ser descriptografada com chaves que podem ser expostas. E você nunca sabe quando um funcionário insatisfeito vai decidir que você é o motivo da infelicidade dele.
Portanto, os provedores de serviços não devem armazenar as suas senhas em texto simples e não devem criptografá-las. Qual é, então, a maneira correta de mantê-las seguras?
Como os provedores de serviços responsáveis armazenam as suas senhas?
Os donos de sites de operações matemáticas devem usar o chamado hashing. Uma função hash converte a sua senha em uma cadeia ilegível de caracteres (chamada de valor hash ou, simplesmente, um hash) que não tem semelhança visual com a senha real. Por exemplo, se você usar o algoritmo de hash SHA1 (é um algoritmo antigo que não é muito seguro, mas estamos usando para fins ilustrativos), o valor de hash de "password" é "5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8". O hash é então armazenado em um banco de dados e comparado a um hash da senha que você insere quando está efetuando login.
A criptografia também transforma a sua senha em uma cadeia ilegível de caracteres, mas, desde que as chaves de decodificação estejam presentes, a senha criptografada pode ser facilmente convertida em senha simples. O hash deve ser uma ação unidirecional, o que significa que, se o algoritmo de hash for bom o suficiente, até mesmo as ferramentas automatizadas em execução em um hardware poderoso precisarão de muito tempo para quebrar o hash e recuperar a senha. Como resultado, nem os funcionários infelizes nem os hackers poderão ver a sua senha.
O problema é que a mesma senha produz o mesmo hash sob o mesmo algoritmo, e como muitas pessoas usam "123456" para proteger suas contas, uma senha pode ser adivinhada com base no hash. É por isso que os provedores de serviços também devem salt a sua senha. Salt efetivamente significa que eles estão adicionando uma sequência de caracteres (por exemplo "QxLUF1bgIAdeQX") ao final da sua senha antes de fazer o hashing dela. Cada usuário deve ter o seu próprio e único significado, significando que, mesmo se a sua senha for a mesma que a senha de, digamos, o seu vizinho, os hashes serão completamente diferentes. Isso não significa que o uso de senhas comuns ou simples seja bom, mas o hash e salt adequados tornam o trabalho dos hackers mais difícil.
Naturalmente, há muito mais do que isso, mas o que você acabou de ler deu a você uma compreensão básica de quais passos os proprietários de sites e provedores de serviços devem seguir ao configurar os seus sistemas de autenticação. Infelizmente, o fato das contas online serem comprometidas todos os dias significa que nem todas aderiram a esses princípios básicos de segurança. E infelizmente, não há nada que você possa fazer sobre isso.
Depois de fornecer a sua senha a um site, você confia nas pessoas que estão por trás dele para manter os seus dados seguros. Você não tem controle sobre o que acontece a seguir. O que você pode controlar, no entanto, é como você armazena as suas próprias senhas.
Como você deve armazenar suas senhas?
Obviamente, salvá-las em um documento do Microsoft Office não é uma opção. É muito arriscado, e o mesmo vale para escrever as suas senhas em pedaços de papel amarelos e colá-las no monitor. O hashing está fora de questão também. Mesmo se você tiver as ferramentas e os conhecimentos necessários para isso, precisará usar as suas senhas.
A criptografia, então, é a sua melhor aposta. Os dados não estão disponíveis de forma simples e, no entanto, sempre que você precisar, poderá usá-los.
O Gerenciador de Senhas do Cyclonis oferece uma maneira conveniente de fazer isso. Primeiro, ele criptografa os seus dados com o AES-256, um algoritmo de criptografia usado por organizações financeiras e militares de todo o mundo. A descriptografia só é possível com a sua senha mestra e, como só você deve poder ver os seus dados, o Gerenciador de Senhas do Cyclonis não armazena ou transmite a sua senha mestra de nenhuma maneira.
É como 'matar um coelho com uma cajadada só. As suas senhas são mantidas longe dos olhares indiscretos e, no entanto, quando você precisar delas, poderá usá-las. Além disso, o Cyclonis Password Manager é totalmente gratuito.
