A gestão das palavras-passe ou passwords é uma dor de cabeça constante. Temos de nos lembrar delas, escrevê-las de cada vez que nos são pedidas e depois, há uma data de regras … e a tudo isto acrescenta o cuidado de que não as roubem.
A pensar em si, preparámos algumas dicas para lhe facilitar a sua vida digital.
Usar um gestor de palavras-passe profissional
Um gestor é fundamental e faz toda a diferença na segurança. Um gestor de palavras-passe é uma aplicação que armazena as suas credenciais para as diferentes contas de forma segura. Existem versões para uso individual/pessoal e versões para uso numa organização e que permitem colaborar com outras contas. Existem versões puramente locais e as que sincronizam com a nuvem e que são as mais convenientes.
Usar palavras-passe complexas
Palavras-passe complexas usam uma combinação de letras maiúsculas, minúsculas, dígitos e símbolos e possuem comprimentos acima dos 12 carateres. De facto, o ideal é usar os maiores comprimentos possíveis para dificultar a vida aos atacantes. É claro que isso torna quase impossível lembrarmo-nos delas e é por isso que contamos com a ajuda do gestor de palavras-passe.
Usar uma palavra-passe distinta para cada serviço
Não temos qualquer controlo sobre a segurança dos serviços usados. Se um deles filtra dados, estes serão usados para tentar aceder a outros serviços e se usamos a mesma palavra-passe, quem aceder a um acederá ao outro.
Mais uma vez, o gestor de palavras-passe é da maior importância.
Não partilhar palavras-passe “às claras”
Por vezes precisamos partilhar as credenciais com outra pessoa e optamos pela via mais direta como o e-mail, SMS ou Whatsapp. Estes meios têm o inconveniente de colocar todos os dados no mesmo espaço, a informação pode ser intercetada e nunca saberemos quem viu a informação.
Se não houver outra alternativa, podemos optar por enviar os diferentes elementos por meios diferentes, como por exemplo: utilizador por email e senha por SMS. Se um deles é intercetado, quem o fizer não terá todos os dados.
No entanto, a melhor opção é usar ferramentas próprias, como as que podem ser incluídas (adivinhou!) num gestor de palavras-passe.
Ativar sempre MFA nas contas
O segundo fator de autenticação é uma barreira importante para eventuais atacantes e faz toda a diferença.
O segundo fator de autenticação é um código que recebe do serviço a que tenta aceder. Pode ser um código ou pode ser uma autenticação extra num outro dispositivo que já esteja fidelizado ou uma impressão digital, reconhecimento facial, etc.
As instituições bancárias foram das primeiras a implementar este sistema.
Por exemplo, ao tentar aceder à conta de correio com o utilizador e senha (1º fator), pode ser-lhe pedido para digitar um código enviado para o seu telemóvel (2º fator).
Usar passkeys quando possível
Já deve ter ouvido falar e são a última novidade na gestão de acessos.
Uma passkey é uma chave constituído que inclui dois blocos de dados: um privado, que fica consigo e outro público que fica com o serviço ao qual se liga. É semelhante a rasgar uma nota e cada um fica com uma parte: só temos uma nota inteira se as duas partes baterem certo.
Quando nos queremos ligar a um serviço, a parte privada é usada para gerar uma assinatura que o serviço de destino consegue reconhecer usando a parte pública que ficou com ele. Esta passkey é armazenada no nosso sistema e garante a sua confidencialidade através dum outro sistema, como pode ser uma chave biométrica ou usando MFA.
Por exemplo, no Windows, podemos aceder ao computador com um reconhecimento facial (considerado seguro). Com isso o Windows reconhece que fomos nós que iniciamos a sessão. Ao usar o Microsoft Edge, por exemplo, podemos ligá-lo à nossa identidade principal. Depois, podemos usar o Microsoft Edge para nos ligar ao serviço de Google Mail e no processo de autenticação inicial ser-nos-á oferecida a possibilidade de gerar uma passkey para facilitar futuros acessos. Essa passkey fica ligada ao Microsoft Edge, que está ligado ao Windows, que está autenticado mediante reconhecimento facial.
É mais simples do que parece: é uma cadeia de referências, onde uns confiam nos outros desde que cada elo seja suficientemente seguro.
Complicações à parte, se estiver a usar uma passkey o acesso é transparente e não precisa voltar a escrever as suas credenciais.
As passkeys devem vir a eliminar, pelo menos parcialmente, a necessidade de palavras-passe. A principal limitação é a falta de colaboração entre diversos fabricantes, coisa que torna difícil transferir as passkeys entre eles. Por exemplo, podemos ter passkeys no nosso Microsoft Edge no Windows, mas não conseguimos transferir essas mesmas passkeys para o navegador Vivaldi a correr no Android. Os gestores de palavras-passe podem mitigar alguns destes problemas, ao centralizar o armazenamento de credenciais e passkeys.
Mais um apontamento: a passkey é específica duma aplicação e dum serviço. Quer isto dizer que mesmo que num determinado computador Windows tenhamos acesso ao Gmail com o Microsoft Edge, precisaremos duma passkey distinta se usarmos um outro navegador no mesmo computador. Não é nada de mais, mas não fique surpreendido se lhe é pedida uma nova passkey para um mesmo serviço ao qual já tinha acedido com uma outra aplicação.