Quando tratamos de segurança no meio corporativo, o ideal é que as senhas de acesso para qualquer serviço ― de um servidor a uma conta no Twitter ― sejam mais seguras que qualquer conta pessoal por aí. Isso porque vários dados sensíveis podem ser expostos caso alguém consiga acesso aos cadastros, incluindo segredos da empresa ou informações de usuários.

Mas normalmente não é isso que acontece: por precisar compartilhar a conta com vários funcionários, muita gente acaba descuidando e não tem ideia da bola de neve que pode se formar com apenas um (ou mais) acessos comprometidos. Pela comodidade, acabamos simplificando o acesso a contas que deveriam ser bem mais seguras do que são.

Conheça alguns erros bem comuns ― e que facilmente poderiam ser evitados caso alguns cuidados básicos tivessem sido tomados.

Palácio do Planalto: senhas publicamente acessíveis

No começo do ano, em um simples tweet com o link errado, o Palácio do Planalto expôs as senhas das contas de redes sociais do Portal Brasil (brasil.gov.br), que reúne informações sobre o Governo Federal. Em questão de segundos, milhares de usuários tiveram acesso a uma planilha no Google Drive que reunia senhas de contas oficiais do Governo no Twitter, Instagram, Facebook e Gmail.

dmjucplg70mvwk3gf2mgmy3ue

Como mostra a imagem acima, haviam várias abas contendo acessos para diversas redes do governo, incluindo as redes oficiais do Planalto, do Portal Brasil e do BrazilGovNews, portal de notícias sobre o governo em inglês. Observe que os cadastros eram simples contas no Gmail e Yahoo, além de conter senhas ridiculamente fáceis, como “acessar planalto” trocando letras por números.

Outro agravante ― como se armazenar as senhas em um documento do Google publicamente acessível por um link não fosse o suficiente ― era a cômica senha “planaltodotemer2016”, que seguia com a observação em vermelho ao lado: NÃO TROCAR A SENHA NUNCA. Agora, porém, já deve ter sido trocada.

Zuckerberg: senha bem fácil e dedutível

Mark Zuckerberg, o dono do Facebook, deve ter uma senha bem segura, né? Bom… Não exatamente. Quando ele teve suas contas do Twitter, Pinterest e LinkedIn (!) invadidas, os hackers revelaram a senha: “dadada”. Sim, essa combinação com seis caracteres em letras minúsculas. Em um ataque de força bruta, demoraria apenas 2 minutos e 41 segundos para a senha ser decifrada.

Bangkok, Thailand - December 19: Wax Figure Of The Famous Mark Z

O engraçado é que muitos sites, por segurança, passaram a não aceitar mais senhas tão simples. Muitos requerem letras em maiúsculo, minúsculo, um número e poucos pedem até um símbolo, como ! ou @. O próprio Facebook, inclusive, não aceitaria “dadada” como senha. Ironicamente, uma página que dá dicas de segurança da rede social chega a recomendar não utilizar a mesma senha em vários sites ― o que o próprio CEO do Facebook fez.

O grupo que invadiu as contas de Zuckerberg, no entanto, descobriu as senhas a partir de um vazamento que aconteceu no LinkedIn em 2012. A partir daí, eles foram testando a senha em outros sites e obtiveram sucesso no LinkedIn e Pinterest. Claro, eram senhas praticamente esquecidas por Zuckerberg ― aposto que a senha do Facebook dele ninguém descobre ― mas não deixa de ser alarmante pela posição de quem foi hackeado e com uma senha tão fácil.

Vazamentos e senhas repetidas

Essa tática de descobrir senhas em vazamentos e testar em outros sites, inclusive, não é nova. Como explica o Ars Technica, essas senhas que são postadas em vazamentos ajudam os hackers serem 6 vezes mais eficientes em descobrir nossas senhas, já que há uma série de dados para serem analisados em e-mails e combinações.

Não são poucos os vazamentos de senhas de grandes serviços, como o DropboxTwitter e LinkedIn. Este último, inclusive, afetou 98% dos usuários que tinham cadastro na rede social em 2012, e só foi revelado por completo no ano passado, em 2016. Foram 164 milhões de usuários afetados (!).

O que fazer?

Por mais que pareçam casos isolados, é bom tomar muito cuidado. Não digo que sua empresa postará todas as senhas em alguma rede social, ou que será invadida por um grupo de hackers comum, mas todo cuidado é pouco. Principalmente quando técnicas de engenharia social são usadas para conseguir acesso a nossas contas digitais. Com uma senha e as técnicas certas, basta uma brecha para que toda a sua vida digital seja acessada.

A maior dica é: não subestime o mundo hacker. Sua senha pode ser simples e você pode achar que está seguro por não ser um Zuckerberg da vida, mas vazamentos enormes como esse mostram que nossos dados podem ficar expostos, à mercê de qualquer um. Este site, inclusive, identifica se o seu e-mail ou nome de usuário foi comprometido em algum vazamento de dados. É bom dar uma checada.

Easy Password concept. My password 123456 written on a paper with marker.

Seguir aquela dica básica do Facebook também é importante: não repetir senhas, nem fazer pequenas variações, como aconteceu nas contas do Palácio do Planalto. Sem contar, é claro, nas senhas mais comuns, listadas neste post da Keeper, uma agência de segurança. É óbvio que 12456 está no topo, mas outras mais embaralhadas como “18atcsdk2w” são comumente usadas: esta ficou na posição 15, na frente de 654321.

Como, então, lembrar de tudo? Com um gerenciador de senhas, como o 1Password ou LastPass. Apps criptografados, eles reúnem suas senhas, conseguem gerar combinações quase impossíveis de decifrar. Além disso, se você precisar mudar a senha por causa de um vazamento de dados, não vai esquecer facilmente com ela registrada por lá.

Existe um debate se os gerenciadores de senhas são realmente seguros, mas com a criptografia envolvida o máximo que pode vazar são os caracteres que armazenam sua senha (hash, no termo técnico), que são usados para criptografar os dados e deixá-los praticamente impossíveis de serem identificados novamente. Alguns têm planos para empresas, então você pode compartilhar com quem precisa usar a senha.

Com ataques virtuais ficando cada vez mais comuns, é bom rever alguns hábitos digitais. Já falamos aqui sobre testes que realizamos, como o teste de penetração (pentest), que podem te ajudar a se manter seguro.

Mas e aí, já realizou algum tipo de teste de segurança em sua aplicação e servidores? Basta enviar um e-mail para bruno.abreu@sofist.com.br ou ligue em (19) 3291-5321 para conversarmos. Será um prazer ajudá-lo! =)