Até agora, no mês de junho, já foram várias comunidades on-line que sofreram ataques, como as redes sociais LinkedIn e Last.fm, que através de suas contas de Twitter e outros meios, sugeriam a seus usuários que alterassem sua senha, já que esta informação poderia ter sido afetada pelos crackers. Mais uma vez vale a pena perguntar: quão segura é a nossa informação na rede?

Em 1956 foi publicado um dos artigos mais citados na psicologia, escrito por George Armitage Miller, intitulado “The Magical Number Seven, Plus or Minus Two” que, dentre outras coisas, aborda as limitações na quantidade de informação que o ser humano tem para receber, processar e recordar. 26 anos depois, Eliyahu Goldratt escreveu sobre a Teoria das Restrições (TOC - Teoria das Restrições), o que poderia ser sintetizado usando a analogia da cadeia: a corrente é tão forte quanto seu elo mais fraco. Agora, ampliemos a questão inicial: de que forma estes dois acontecimentos históricos, distantes um do outro em um quarto de século, se relacionam com a segurança de nossas informações e os ataques que ocorreram nas últimas semanas?

Dadas as limitações dos seres humanos para memorizar informações, podemos explicar a tendência para utilizar poucas ou uma única senha para todos os sites registrados, e como todos os sites não garantem o mesmo nível de segurança, elas podem ser potencialmente expostas. Em outras palavras, o nível de proteção de um usuário será o mesmo do site que acessa com o menor nível de segurança.

Claramente, o aumento do uso de tecnologias de informação tem aumentado o uso de serviços de rede que requerem alguma forma de autenticação: comércio eletrônico, banco on-line, redes sociais, dentre outros serviços, e a forma mais usada de autenticação é a dobradinha nome de usuário e senha, o que aumenta o número de dados para armazenar conforme aumenta o número de serviços em que o usuário está registrado. Em torno deste problema há tamanho interesse, que tem surgido alguns estudos que procuram identificar as tendências neste sentido, encontrando como uma prática comum a reutilização de senhas. Mais recentemente, professores universitários do Canadá e da Coreia do Sul publicaram artigos analisando o impacto da reutilização de senhas na segurança da informação.

Se continuarmos a amarrar as pontas soltas, em menos de uma semana houve ataques a comunidades online como o LinkedIn, Last.fm e eHarmony, em que foram roubadas senhas de muitos usuários. O que pode sugerir que, ainda que não tenham sido atacadas diretamente as contas do Facebook ou violados os dados de segurança do banco dos usuários, essa informação pode ser obtida caso você reutilize as senhas entre esses serviços.

Existe uma abordagem para descobrir o quão alto é o nível de exposição devido à reutilização de senhas, que nada mais é do que uma relação entre o número de sites onde o usuário está registrado e quantos sites têm a mesma senha. Esta relação assume valores entre zero e um, com zero sendo o melhor caso,  quando cada site tem sua própria senha. Além disso, o pior caso ocorre quando reutiliza-se a mesma senha para todos os sites, sendo o nível de exposição igual a 1. Um valor de exposição intermediária próximo de zero não significa que você não pode ser violad. O risco será obviamente menor, mas ainda é preciso seguir as orientações para a criação de senhas. Além disso, existem aplicativos que auxiliam no gerenciamento seguro de senhas, gerando senhas seguras e as centralizando para utilização.

Finalmente, conforme ataques recentes, confirmamos que a reutilização de senhas pode comprometer seriamente a informação na rede e deve ser lembrado que a exposição ao roubo de identidade não é a única ameaça que uma pessoa pode enfrentar enquanto navega na Internet .

H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research