2018/01/24

41% dos utilizadores guardam as passwords de forma insegura


As passwords são uma das "pragas" da actualidade, mas uma grande parte dos utilizadores continua a facilitar e a deixá-las em risco.

Se é certo que a tecnologia deveria facilitar a vida às pessoas, por outro lado também nos complica a vida ao exigir a utilização de passwords para aceder a todo o tipo de serviços - e como consequência, tem feito com que muitas pessoas facilitem e as deixem em risco. Um estudo da Kaspersky Labs revela que 41% dos utilizadores guarda as passwords de forma insegura, e que 21% chega mesmo a escrevê-las num bloco de notas.

Muitos utilizadores têm consciência da importância das passwords seguras, com 59% dos inquiridos a reconhecerem a necessidade delas para proteger serviços como o acesso às contas bancárias. No entanto, a utilização de passwords complexas e difíceis de memorizar também gera o receio dos mesmos perderem o acesso às suas contas - fazendo com que muitos outros optem por passwords mais simples... e mais vulneráveis. Segundo a Kaspersky Labs, 10% dos utilizadores continuam a usar uma única password para todos os serviços que utilizam!

Se a utilização de um gestor de passwords é uma das soluções possíveis, estes resultados poderão também indicar que estaria na hora de muitos serviços reconsiderarem formas de autenticação alternativas às passwords. Por exemplo, quem quer utilizar o Slack pode simplesmente introduzir o seu email e receber no email um link de autenticação e validação válido para uma única utilização... e o mesmo processo poderia ser aplicado a muitos outros serviços, libertando o utilizador da necessidade de se lembrar de uma password.


Uma coisa é certa: nunca - mas nunca - utilizem apenas uma única password (ou passwords idênticas) em diferentes serviços! Pode ser algo que por agora vos facilite a vida mas que, quando inevitavelmente uma delas for apanhada num leak, tornará toda a vossa presença digital num verdadeiro pesadelo!

3 comentários:

  1. As senhas estão mais seguras em papel que no computador... mesmo em gestores de senhas, já que assim poderão ser todas mais facilmente furtadas de uma só vez.
    Por outro lado o ideal é algo do género FIDO U2F ou uma versão do SQRL mas este último só se for num dispositivo físico dedicado. Em ambos estes casos FIDO U2F e SQRL utilizam chaves públicas/ privadas sendo muito mais seguros. No caso do SQRL como este usa a curva Ed25519 deverá ser mais seguro que o FIDO U2F que utiliza aquelas curvas elípticas que os especializados na área não consideram seguras. O SQRL ainda têm a vantagem de permitir recuperar o acesso às contas online mesmo que furtem a chave privada.

    É que insinuar que mandar uma mensagem de e-mail pode ser algo seguro é ser muito brincalhão/ muito ignorante... que o e-mail não foi e continua a não ser algo seguro. Mesmo o DIME (Dark Internet Mail Environment) que pretende ser uma espécie de e-mail mas mais seguro, só o é quando o cliente recebe a mensagem numa aplicação no seu próprio dispositivo. Quanto muito, actualmente, enviar a mensagem para um programa mensageiro como o Threema em que as chaves pública/ privada são criadas no próprio dispositivo, e independentes de tudo o resto, e por tanto as mensagens realmente beneficiam de confidencialidade entre o servidor e o dispositivo do utilizador... mas mesmo isto implica que o dispositivo do utilizador não está contaminado e tal é muito difícil de ter a certeza já que muitos dispositivos já vêm contaminados de fábrica e outros são facilmente infectados pelas próprias pessoas ou através de falhas nos sistemas operativos/ aplicações.
    Logo algo dedicado como o FIDO U2F ou SQRL num dispositivo dedicado só para isso e de preferência de especificações abertas e confirmáveis é a forma ideal para proteger contas online.

    ResponderEliminar
    Respostas
    1. Pode-se considerar o email inseguro... mas por outro lado, servindo o email para fazer a recuperação de contas de todos os serviços em que se usam passwords... acaba por se poder considerar o "elo" que não se consegue evitar; daí que, se confias nele para fazer a recuperação da conta, também me parece lógico que se "tenha" que confiar nele para qualquer tipo de login 1-time.
      (Não esquecer que sendo "1-time" inviabiliza quem o tentar utilizar posteriormente; ao mesmo tempo que sinalizaria o utilizador legítimo de forma imediata, caso alguém o tivesse interceptado, indicando que já estava a ser utilizado)

      Eliminar
  2. Existem password managers em que se pode determinar que não se pretende adicionar novos browsers e/ou dispositivos. Assim determina-se que os dispositvos/browsers existentes na base de dados são de confiança, excluindo a necessidade de pedir novos PINS, e tudo o resto não é aceite.

    ResponderEliminar