Devora-Me ou Te Decifro
De como a incompetência produz o exato contrário do que a intenção pretendia.
Outrora o Banco do Brasil exigia de seus clientes uma senha numérica de 6 dígitos para suas operações eletrônicas.
Isso dá 1 Milhão de combinações, fazendo da tarefa de se adivinhar a senha bastante difícil, excetuando-se aquelas mais óbvias como a própria data de nascimento, ou dos filhos, ou sequências do tipo 123456. (As primeiras coisas que qualquer um tentaria.)
Muitos anos depois, não satisfeitos com o nível de segurança de seus sistemas, o mesmo Banco decidiu exigir também uma senha alfabética de 3 caracteres. Ora, isso daria 17.576 combinações, o que associadas à já prévia senha numérica, elevaria à possibilidades à mais de 17 milhões, não fosse o fato de que o método de entrada da senha alfabética ser constituído por 3 telas seguidas de 5 opções, o que no final das contas resulta em meras 125 possibilidades.
Mas tudo bem, ainda assim as combinações estariam elevadas para 125 milhões, o que, dividido pelas 3 tentativas permitidas, ainda nos deixaria com 41.666.666... possibilidades.
O Banco Regional de Brasília já havia decidido eliminar o 0 e 1 da senha numérica, para evitar que os usuários colocassem datas (embora apenas umas poucas sejam realmente vulneráveis), o que fez a possibilidade numérica cair de 1 milhão para quase 1/4.
Mas então, um belo dia, após algo que só pode ter sido uma experiência mística transcendental, a inteligentsia do
BB decidiu cortar totalmente a senha numérica! Lindo! Agora são apenas 1 em 125 possibilidades de se acertar a senha no chute, o que dividido por 3, cai para menos de 42!
Ou seja, levando em conta as três chances antes do sistema bloquear o acesso, antes tínhamos:
- Uma chance em 333.333;
- Depois 1 em 41.666.666;
- E, subitamente 1 em 42!
Fantástico! Se você achar um cartão eletrônico qualquer e fizer duas tentativas por dia, prestando bem atenção nas variações das letras na tela, certamente irá descobrir a senha em no máximo 3 meses!
Que nome pode ser dado a uma atitude que vai de um extremo ao outro em tão pouco tempo? Transtorno Bipolar? Psicose Maníaco Depressiva? Esquizofrenia?
Infelizmente, coisas muitíssimo similares vêm acontecendo cada vez mais no universo das senhas de segurança que mais e mais a internet nos obriga a usar. Certamente que sempre foram necessárias medidas para evitar o uso de senhas tolas como o próprio nome ou o literal "senha", mas é notável que está completamente disseminada uma mentalidade que, na tentativa de aumentar o nível de segurança das senhas, consegue fazer o absoluto oposto.
Algumas mentes geniais decidiram que tornar obrigatório o uso de dois algarismos numa senha composta a tornaria mais segura. Mas se pensarmos que uma senha de 8 dígitos por exemplo, que poderia ter números e letras, tem 368, ou seja,
quase 3 trilhões de possibilidades, uma que tenha obrigatoriamente 2 algarismos terá apenas 366 X 100, o que dá pouco mais de 200 bilhões, principalmente levando em conta que a maioria das pessoas coloca os algarismos no final da senha.
Na verdade, tudo isso tem como premissa o fato de que não se deveria usar palavras regulares do idioma, visto que costumam oscilar em cerca de centenas de milhares, uma quantidade de possibilidades que computadores podem cobrir em questão de minutos pelo método sequencial de tentativa e erro de termos do dicionário. Ou mesmo podem testar todas as combinações possíveis de palavras, no método que costuma ser chamado de "Força Bruta", isto é, a que não usa códigos mais complexos para tentar "deduzir" a senha.
Acontece que na maioria esmagadora dos sistemas de segurança é impossível sair testando senhas com tanta facilidade, visto que ou permitem um número limitado de tentativas ou promovem um atraso obrigatório entre uma tentativa e outra, neutralizando o maior trunfo dos programas crackeadores, que é a velocidade.
Como ninguém se dará ao trabalho de mover recursos extremos para quebrar a maioria das senhas existentes, não há o menor cabimento em querer exigir de usuários comuns cuidados maiores com suas senhas do que os que o simples bom senso pode deduzir, cuidados esses que podem ser resumidos em poucas dicas.
Assim, senhas de uso comum na internet só costumam ser capturadas por malfeitores quando há um deslize do usuário. O problema é que as medidas de segurança que tem se tornado mais e mais comuns terminam por provocar exatamente isso, não deixando aos usuários outra opção a não ser lançar mão de recursos cada vez mais vulneráveis.
Como quase qualquer sitezinho miserável agora exige cadastramentos para se fazer comentários ou mesmo acessar conteúdos triviais, os usuários se vêm cada vez mais obrigados a ter dezenas de senhas. Eu pelo menos, por mais que tente evitar, não consigo ter menos de 30! E isso porque me recuso a me cadastrar em praticamente qualquer lugar.
Não sendo savants, a maioria das pessoas não tem opção a não ser anotar as senhas, violando um dos primeiros mandamentos da segurança, não raro tendo que fazê-lo no próprio computador, tornando-se muito mais vulnerável. Ou então começam a repetir senhas, o que tem o resultado temível de possibilitar aos administradores de cada site onde o usuário está cadastrado, descobri-la e tentar usá-la em outros sites que o usuário frequenta.
Mas nada disso se compara ao supremo recurso que os próprios sites tiveram que lançar mão devido ao fato de ser cada vez mais impossível lembrar as pencas de senhas que somos obrigados a decorar. Não bastasse os Lembretes de Senha, que muitas vezes são muitíssimo mais fáceis de serem descobertos do que simplesmente tentar acertar no chute uma senha qualquer, ainda temos o absolutamente terrível envio de senha por e-mail para o caso do "Esqueci minha senha"!
Com isso, tudo que o mau elemento tem a fazer é descobrir uma única senha, a do e-mail, que é das mais vulneráveis, principalmente num mundo repleto de sistemas operacionais que fazem o favor de memorizá-las. De posse da conta de e-mail, o malfeitor só precisa ir ao site desejado e dizer que esqueceu a senha, ganhando-a generosamente por e-mail.
E isso porque algumas sumidades em matéria de segurança já tiveram a fantástica idéia de enviar as senhas para o telefone celular! Aquele maravilhoso objeto que as pessoas vivem esquecendo em qualquer lugar e praticamente todas as outras tem acesso.
E nem vou falar do absoluto pesadelo que são os sistemas de seguranças que muitas empresas, tanto públicas quanto privadas, forçam seus usuários a utilizar.
Em síntese: Tais medidas em nome da segurança podem até ter sido bem intencionadas (Ou foram inventadas por crackers para facilitar seus crimes?), mas têm como resultado o exato contrário! E isso e muito mais comum do que deveria, passando por atitudes do dia a dia até leis, programas de governos e políticas internacionais.
A solução é obvia, ou deveria ser. Primeiro é preciso parar com essa tendência de qualquer site de lojinha mixuruca pedir cadastros. Segundo, é preciso conscientizar as pessoas sobre os métodos de quebra de senha, e não ficar empurrando pseudo soluções que demonstram que é o administrador que não tem idéia de como eles funcionam, para que os próprios usuários decidam se preferem ter senhas mais fortes ou mais fáceis de lembrar. Dever-se-ia limitar também os recursos de memorizar senhas dos sistemas operacionais, pois eles só tem como resultado fazer os usuários esquecê-las, e possibilitar terceiros utilizá-las.
Mas provavelmente é pedir demais. Fato é que nenhum contexto, nenhuma cultura, ninguém está a salvo dos extremos da mente humana. Que são a Inteligência e a Incompetência.
Marcus Valerio XR
21 de Setembro de 2010
|