A importância (e a dificuldade) de se ter uma boa política de senhas

AGRADEÇA AO AUTOR COMPARTILHE!

Você já deve ter lido em tudo quanto é tipo de site especializado em segurança que uma boa senha deve ter no mínimo 8 caracteres e mistura de letras maiúsculas, minúsculas, números e símbolos especiais. Na teoria, tudo bonitinho mas, na prática, sabemos que isso está longe de se tornar realidade.

Senhas. O maior pesadelo dos usuários – e dos profissionais – de TI. Sua função é nobre: garantir que quem está acessando aquele recurso seja, de fato, quem solicitou acesso mas, na prática, elas se tornam uma tremenda dor de cabeça. Por quê? Porque as pessoas tem aversão a tudo que envolva lembrardecorar ou, em geral, aprender. Grande parte dessa dificuldade é causada, sem surpresas, pela televisão, cuja programação é um total desconvite ao pensamento e à crítica.

Hoje, senhas são mais importantes do que nunca devido a uma única inovação: wi-fi. Internet sem fio, em todo lugar. Uma nova tecnologia e uma nova comodidade que, também, trouxe uma nova preocupação: como manter meus dados seguros e evitar que outros usufruam de minha conexão sem o meu consentimento? A resposta básica para essa pergunta é: através de uma boa política de senhas. Isso é algo novo e quase alienígena para os usuários de internet, afinal, antes da popularização do wi-fi, bastava conectar um cabo de rede e sair navegando. Agora, porém, temos que nos conectar a rede, digitar uma senha e sair navegando.

É aí que mora o problema. Mesmo que o responsável técnico pelo setor de informática tenha uma boa formação – inclusive superior – e um bom conhecimento de segurança, a implementação de uma política de senhas fortes e seguras mais cedo ou mais tarde – e isso certamente significa mais cedo – vai trazer algum problema que o obrigará a jogar seus princípios pela janela.

Peguemos, por exemplo, alguém que esteja trabalhando para uma imobiliária. Essa pessoa configura a rede wi-fi com o nome do estabelecimento e coloca, nela, uma senha forte. Alguns dias depois, chega o dono do local e fala para o nosso técnico algo como: “Sabe como é? Geralmente a gente recebe alguns clientes e parceiros aqui e ficar digitando essa senha que você colocou é um pouco difícil”. O competente técnico tenta explicar sobre a importância da senha sob o ponto de vista da segurança, mas o patrão, que é quem paga o salário, responde: “Eu sei de tudo isso mas, será que não daria para deixar sem senha?” E, sem escolha, lá vai nosso profissional configurar a rede wireless como aberta. Agora, todos estão felizes, pois basta clicar no nome da rede para sair navegando – os crackers que o digam.

Essa situação, apesar de parecer absurda, é real e comum. Há alguns anos, quando eu estava fazendo um cursinho para um concurso, nosso professor de informática conseguiu acidentalmente conectar-se à rede wi-fi do estabelecimento do prédio ao lado, cuja segurança estava aberta.

Pessoas não gostam de senhas, e isso se mostra de várias formas. Nos bancos, a maior parte dos atendimentos ocorrem porque um cliente, geralmente idoso, teve seu cartão bloqueado por ter digitado a senha incorreta três vezes. Uma pessoa que usa uma rede social, ao perder sua senha, em geral, ao invés de seguir os procedimentos padrões de recuperação, preferirá criar outro perfil.

E nas redes internas, também vemos isso. Sabemos que a mais segura configuração de redes para um estabelecimento que tenha uns 5, 10 ou mais computadores seria a configuração de um domínio, o que pode ser feito tanto a partir do Active Directory do Windows Server ou do Samba do Linux, mas a utilização de um domínio, apesar de muito mais eficiente e seguro, exigirá que o usuário digite um nome e uma senha para poder usar seu equipamento. Por isso, muitas empresas que lidam com dados sensíveis, como imobiliárias, escritórios de contabilidade ou de advocacia, escolhem o caminho mais fácil, que é o popular “liga tudo no router”, colocando as máquinas em um reles grupo de trabalho chamado… WORKGROUP(?) Hehehe! Permitindo, assim, que qualquer um possa entrar livremente ali, acessando os documentos mais confidenciais disponíveis.

Outro defeito das pessoas é ter o pensamento de que “se funcionar, está certo”. O maior exemplo disso são os modens e roteadores wireless domésticos que temos no mercado. A maioria deles vem com uma senha para a interface de configuração do tipo admin/admin, admin/senha em branco, root/root ou algo mais simples. Então, o pobre usuário, que já está achando tudo aquilo demasiadamente complicado, segue os passos do manual e, uma vez que esteja conseguindo navegar na internet, deixa o roteador ligado em algum canto da casa e esquece de sua existência.

É óbvio que senhas do tipo admin/admin são colocadas apenas para a comodidade do usuário na hora da configuração e que a mesma deve ser trocada após seu término, bem como a senha da rede wireless que, geralmente, é uma parte do endereço MAC da placa de rede do modem. A falta desse cuidado, bem como a utilização de senhas comuns, é um dos fatores chave que possibilita a invasão tanto de redes quanto de modens e demais equipamentos.

Hoje em dia, é fácil encontrar na internet ferramentas gratuitas, como a distribuição BackTrack, as quais possibilitam que qualquer lammer possa, em questão de minutos, quebrar senhas de rede e acessar dados e computadores sem autorização. Como se não bastasse, websites como o Shodan possibilitam fazer buscas por dispositivos vulneráveis na internet – alguns dos quais já informam a senha padrão em suas páginas de login.

Enfim, os problemas de segurança relacionados à senhas (ou à falta delas) são incontáveis e, certamente, não se resolverão da noite para o dia. São o reflexo de uma sociedade alienada vítima de um governo que, ao invés de investir na melhoria da qualidade da educação, prefere abrir cotas para os menos possibilitados de entrar no ensino superior.

AGRADEÇA AO AUTOR COMPARTILHE!

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">