Nos últimos meses, houve uma sequência constante de sites e serviços online sendo hackeados, seguidos pelos usernames e senhas dos seus usuários sendo distribuídos publicamente na web. É um problema real, e que só vai piorar.
Fato: as pessoas usam a mesma senha em mais de um site. Digamos que uma lista contenha o username hello@gmail.com, com a senha abcd1234. Você sabe que este username e esta senha funcionarão em alguns outros sites; É incrivelmente comum as pessoas terem apenas uma senha, que usam em praticamente todos os sites. Porque as pessoas são idiotas.
Ou talvez seja porque inventar várias boas senhas seja difícil demais. Em um espaço de tempo relativamente curto, nós deixamos de precisar de um punhadinho de senhas diferentes, para sentirmos a necessidade de termos dezenas delas. Pense em todos os logins que você tem. Criar uma senha forte diferente para cada um desses sites é um trabalho que ninguém quer ter. Por isso as pessoas reutilizam senhas.
De fato, pesquisas feitas sobre dois dos maiores vazamentos de senhas recentes (o da Sony e o da Gawker Media, que inclui o Gizmodo e o Kotaku americanos) mostraram que dois terços das pessoas com contas tanto na Sony quanto na Gawker usavam a mesma senha nos dois serviços. Obviamente, essas pessoas muito provavelmente usaram a mesma senha em outros sites e serviços.
Depois do vazamento de senhas da Gawker, muitos lugares tomaram atitudes para tentar proteger os seus usuários expostos. O LinkedIn, por exemplo, cruzou os emails vazados com a sua própria base e desabilitou os encontrados. Mas, é claro, sites preocupados com a segurança dos seus usuários não são os únicos que estão cruzando dados dessa forma – e os outros que estão fazendo isso não têm propósitos tão nobres.
Atualmente, quando você vê um grande vazamento de usernames, não há muita coisa que possa ser feita com isso por um zé mané qualquer. Ele pode tentar alguns dos logins em vários sites, como Gmail ou Facebook, sim, mas isso é como achar uma chave na rua e sair tentando ela de casa em casa no bairro próximo. Sem uma ferramenta automatizada que tente a lista inteira contra vários sites, é uma técnica ineficiente. E, felizmente, essas ferramentas automatizadas não são tão comuns a ponto de qualquer idiota (como eu!) poder casualmente encontrar e utilizar uma delas. Mas isso vai mudar.
Hoje, o LulzSec está só distribuindo gasolina. Logo, logo, alguém vai chegar com um fósforo. Eis o que ainda não aconteceu, mas vai acontecer:
Num futuro não muito distante, alguém vai lançar uma ferramenta muito simples que vai automaticamente cruzar os usernames e senhas contra todos os sites mais populares, ou contra algum site específico – qualquer site que tenha um campo de login e senha. Dessa forma, quando uma lista de credenciais cair na rede, qualquer idiota (de novo, como eu!) será capaz de simplesmente rodá-la contra qualquer site que ele queira, ganhando acesso a contas bancárias e de email, redes sociais, intranets corporativas, qualquer coisa. Instantaneamente. Se fizerem esta ferramenta de modo open-source, ela será impossível de deter.
É até um tanto surpreendente que isso não tenha acontecido ainda, de tão fácil e óbvio que é.
O Firesheep também era peixe pequeno. É uma ferramenta simples que intercepta cookies não encriptados em redes abertas e permite usar estes cookies para ganhar acesso a certos sites. Ele abriu as portas da invasão de contas para as massas, permitido a pessoas que de outro modo não fariam isso invadirem contas do Facebook, Twitter e Dropbox em um impulso.
Imagine um sistema similar, que permita às pessoas ganharem acesso total ao fazer o login de fato, em vez de apenas capturar um cookie de sessão. Um programa que rode automaticamente uma lista de logins contra uma lista de sites faria o Firesheep parecer inofensivo em comparação.
A ideia mais comum que você vê hoje, em termos de proteção pessoal na internet, é usar uma senha única para cada site. A única maneira de fazer isso, claro, é bolar um esquema pessoal de geração de senhas, ou usar um programa de geração e gerenciamento delas, como o 1Password. Mas isso tudo é band-aid.
O que nós precisamos mesmo é que um modo inteiramente novo de apresentar nossas identidades na web. A autenticação de dois fatores do Google é um passo no caminho certo, mas é uma chatice, e a maioria das pessoas não vai se dar o trabalho de se inscrever a não ser que seja forçada. Ideias como logins biométricos, ou provar a sua identidade dentro do próprio navegador estão rolando, mas ainda são sonhos de um ou outro, e ainda não há sinais de adoção em massa de nada nesse sentido.
Nós estamos entrando em um mundo de telas de toque, um mundo cheio de sensores, com câmeras fazendo parte de praticamente tudo. Queremos ver grandes empresas, com dezenas ou centenas de milhões de usuários, como o Google, ou o Facebook, ou a Microsoft, ou a Apple, começarem a encarar este desafio com seriedade. É hora de abandonar as senhas, antes que precisemos trocá-las todas de novo.
Nenhum comentário:
Postar um comentário