Tem um gerenciador de senhas? Bom, mas você está usando errado
Publicados: 2022-01-29Parabéns! Você seguiu nosso conselho e instalou um gerenciador de senhas! Talvez você até tenha treinado para lembrar de todas as suas senhas. Mas você substituiu as senhas ruins por senhas únicas e fortes? Você protegeu todas essas senhas com uma senha mestra forte que ninguém mais poderia adivinhar? Resumindo: você está usando seu gerenciador de senhas corretamente?
Stuart Schechter, Palestrante e Líder do Curso para a faixa Usable Privacy and Security da UC Berkeley, se preocupa que você não esteja. Tanto que ele incentivou seus alunos de pós-graduação a descobrir exatamente o que você está fazendo. Na conferência virtual de segurança RSA de 2021, Schechter e o estudante de pós-graduação David Ng revelaram suas descobertas.
A senha está morta, viva a senha
Schechter se apresentou como aquele cara que estava usando uma máscara N95 no RSAC do ano passado, um excêntrico entre um mar de rostos nus. Ele observou que isso não se deve a nenhum tipo de presciência sobre a pandemia de coronavírus, mas sim a uma aversão a fazer suposições otimistas na ausência de dados. Da mesma forma, sem nenhum dado, ele não pode assumir que os consumidores estão usando os gerenciadores de senhas como deveriam.
Schechter voltou a uma previsão de 2004 de Bill Gates, que disse que usaríamos cada vez menos senhas. “A Microsoft falou em erradicar as senhas, como se fossem uma doença, como a varíola”, disse Schechter. “Mas um campo separado aposta na multiplicação das senhas, não no desaparecimento.” Ele mergulhou profundamente na evolução dos gerenciadores de senhas, juntamente com eventos como o lançamento do CardSpace da Microsoft em 2006, que pretendia acabar com as senhas (não acabou), e sua declaração de que o Windows 10 significava o fim das senhas (não acabou).
Usar um gerenciador de senhas tem um risco intrínseco – você colocou todos os ovos na mesma cesta. No caso improvável de uma equipe de hackers quebrar seu gerenciador de senhas, você está com problemas. Os benefícios de usar um gerenciador de senhas são inúmeros, entre eles a proteção contra golpes de phishing.
“Você confia em seu gerenciador de senhas para digitar uma senha que você nem conhece. Se você acessar um site de phishing, o gerenciador de senhas não o preencherá”, disse Schechter. “Você terá que procurar no gerenciador de senhas, e isso por si só é uma grande pista de que você está sendo phishing.”
Nossos principais gerenciadores de senhas
Em um estudo anterior, Schechter e um colega avaliaram a capacidade dos indivíduos de lembrar senhas fortes. As boas notícias? Eles determinaram que quase qualquer pessoa pode memorizar uma senha muito forte. A má notícia, porém, é que isso exigia de 20 a 30 sessões de treinamento com pelo menos meia hora de intervalo, e que a senha poderia ser esquecida se não fosse usada regularmente.
Todos os benefícios de usar um gerenciador de senhas dependem de três suposições: Assumimos que os usuários memorizarão uma senha forte; que eles contarão com a capacidade do gerenciador de senhas de gerar senhas aleatórias; e que eles alterarão todas as senhas fracas, reutilizadas ou comprometidas. Mas essas suposições são corretas? Em vez de optar pelo otimismo na ausência de dados, Schechter incentivou seus alunos de pós-graduação a buscar a verdade.
Dados, dados, dados
O estudante de pós-graduação David Ng entrou em grandes detalhes sobre como o grupo encontrou seus participantes, reduzindo um grupo inicial de quase 2.500 pessoas para cerca de 100 que usaram um gerenciador de senhas por mais de cinco meses; gerenciou pelo menos cinco senhas; e estavam dispostos a fornecer uma captura de tela do painel de segurança do gerenciador de senhas.
Então, os participantes usaram uma senha mestra forte? Muito poucos fizeram o gerenciador de senhas gerar um que eles memorizaram. Um grupo muito maior elaborou uma senha usando um dispositivo mnemônico, como nós da PCMag costumamos sugerir. Infelizmente, o maior grupo admitiu reutilizar uma senha familiar como chave mestra para seus gerenciadores de senhas.
Você pode usar um gerenciador de senhas para salvar as teclas digitadas, deixando todas as suas senhas definidas como 12345678 ou alguma outra senha terrível. O uso adequado, é claro, requer que você altere essas senhas fracas para algo gerado pelo utilitário de senha. O estudo descobriu que apenas um quinto daqueles que confiam no gerenciador de senhas integrado do Chrome já o deixaram gerar senhas. Cerca de metade dos que dependem de utilitários de terceiros aproveitou esse recurso.
O estudo passou a examinar como (e se) os participantes usaram a capacidade do recurso de painel de segurança para identificar senhas fracas, duplicadas e comprometidas. Os resultados foram desanimadores. Mesmo os participantes que concordaram que a ferramenta de senha identificava corretamente as senhas que precisavam ser substituídas geralmente não faziam nada sobre o problema. Os motivos incluíam que era muito trabalho ou que eles se preocupavam que atualizar a senha pudesse causar um problema.
Não assuma que as pessoas sabem o que estão fazendo
Ng encerrou a apresentação com um aviso aos especialistas e indivíduos em segurança. Só porque as pessoas têm gerenciadores de senhas não significa que elas estejam totalmente protegidas.
"Não presuma que as pessoas vão escolher senhas mestras fortes", disse ele. "Não presuma que eles usarão senhas criadas pelo gerenciador de senhas. E não presuma que elas substituirão senhas fracas, reutilizadas ou quando lembrado.”
Recomendado por nossos editores
Como fazer as senhas corretamente
Você viu que muitas pessoas instalam um gerenciador de senhas e não fazem uso adequado dele. Não seja como eles! Deixe os erros deles se tornarem seus momentos de aprendizado.
Comece com essa senha mestra. Como observado, ele protege seu tesouro de credenciais de login, portanto, deve ser algo que você possa lembrar, mas que ninguém adivinhe. Siga nosso conselho para transformar um poema ou música favorita em uma senha, ou escolha algo inimaginável de sua vida pessoal.
Não pare por aí! Aumente a proteção de suas senhas preciosas habilitando a autenticação multifator. Todos os melhores gerenciadores de senhas têm. Agora mesmo um malfeitor que roube sua senha inimaginável não pode entrar, porque só você tem o outro fator de autenticação. Esse fator pode ser biométrico ou pode funcionar por meio de um aplicativo no telefone no seu bolso (e de mais ninguém).
Muitos gerenciadores de senhas classificam suas senhas salvas, sinalizando aquelas que são ruins, que você usou várias vezes ou que foram expostas em uma violação de dados. Eu sei que é tedioso, mas você deve trabalhar com eles e substituí-los por novas senhas longas e fortes. Comece com as piores e faça algumas de cada vez, até que todas as suas senhas estejam perfeitas. Você não precisa pensar nessas novas senhas; seu gerenciador de senhas irá gerá-los para você.
Talvez você tenha resistido a usar senhas complexas porque não quer digitá-las no minúsculo teclado do seu telefone? Não resista mais! Instale o aplicativo móvel do seu gerenciador de senhas e vincule-o à sua conta. Agora, fazer login no telefone é um piscar de olhos.
Aceite o desafio e aprenda a usar seu gerenciador de senhas corretamente. Se muitos de vocês fizerem isso, talvez o próximo estudo mostre que algumas pessoas são inteligentes o suficiente para obter todos os benefícios desses programas úteis.