Vazamento de dados.

Com a notícia de mais um enorme vazamento de dados na internet, inclusive com senhas, resolvi finalmente ir procurar se alguns dos meus dados tinham acabado expostos por aí. Eu, que tenho orgulho do meu bom senso na hora de permanecer seguro na internet, descobri então que tive dois e-mails meus na lista de vazamentos, inclusive com as senhas. Estava na hora de revisar minhas medidas de segurança…

Por isso, o texto de hoje é basicamente um serviço de utilidade pública. Pra começo de conversa, nada como a prática: o link a seguir compila os grandes vazamentos de dados dos últimos anos. Ele não tem os conteúdos dos vazamentos, mas tem quais e-mails estavam neles. Usar é simples: entre, digite o e-mail que quer saber se está comprometido e torça para não ter acontecido nada.

https://haveibeenpwned.com/

Se um dos seus e-mails está na lista, não precisa entrar em pânico. O volume imenso desses últimos vazamentos te ajuda a se “esconder na multidão”, por assim dizer. Quem usa essas listas no atacado normalmente nem precisa usar todos para conseguir seus propósitos. Existe uma boa chance estatística de não terem feito nada com seus dados (ainda). E podem ter certeza que quem liberou a lista na internet já a tinha faz algum tempo e guardou para si os dados mais lucrativos. Ou seja: se você está na lista pública, é porque não era importante para quem pegou os dados em primeiro lugar.

E mesmo se você teme que alguém use esses dados para ler seus e-mails, não precisa ficar tão desesperado: apesar da lista existir, realmente colocar as mãos nela vai um pouco além das habilidades do cidadão médio (não é difícil, mas não tem um botão chamado “pegar as senhas do João” na internet). Ainda mais considerando que as pessoas estão cada vez mais analfabetas em computadores, preferindo aprender mais sobre celulares. Além disso, não é como se isso permitisse que alguém invadisse o seu computador, seus arquivos que não estão nos e-mails comprometidos continuam mais ou menos tão seguros quanto antes. Ainda sim precisa que alguém que saiba o que está fazendo (uma pequena parcela da humanidade) para usar esses dados vazados contra você.

Seja como for, agora é hora de revisar suas medidas de segurança. Pode não ser muito comum, mas se você está na lista, existe uma chance muito mais real da sua segurança ser comprometida. Vamos passar por algumas questões aqui:

Senhas: se o seu e-mail vazou com a senha, nem preciso dizer que é para mudar, né? Sei que é chato, mas faz parte do jogo. E não vai trocar sua senha “senha123” por “senha321”, porque é basicamente não fazer nada. Se vai trocar uma senha ruim por outra senha ruim, espere ver seu e-mail na lista mais algumas vezes. Apesar de hoje em dia a maioria dos sistemas terem alguma forma de proteção contra tentativas de invasão por força bruta (isso é, quando o invasor “chuta” senhas em alta velocidade até uma pegar), é uma das formas mais básicas de tentar entrar. Quando você usa uma senha feita de sequência de números ou qualquer palavra comum em qualquer língua, as chances da força bruta funcionar aumentam. Toda lista começa com “senha123”, então é provável que entrem de primeira se tentarem isso com você.

Uma senha boa é longa e aleatória, porque isso demora muito mais para ser chutado pelo ataque de força bruta. É complicado lembrar depois, por isso eu sugiro inventar algumas palavras que só você vai conhecer e ir misturando letras e números nela (símbolos também vão bem) até ter algo que faça muito sentido para você, mas só para você. Por exemplo: inventa-se a palavra “guarapsolina”. Não quer dizer nada, mas se você inventou, tem mais chances de lembrar. Aí pode começar a torna-la aleatória: 6uAraP50liN@! – dessa forma parece uma senha segura de fora, mas pra você tem um significado. Claro que vai bem anotar no começo, mas o único lugar seguro mesmo para a senha é sua memória.

Existem vários geradores de senhas aleatórias, existem sistemas que guardam todas suas senhas debaixo de outra (eu acho furada porque é funil de ponto de falha, mas muita gente usa) ou mesmo pen-drives especiais para segurança que servem como validadores de acesso físico. Dê um jeito de fazer uma senha de verdade dessa vez, se a antiga era uma porcaria.

Mas, então isso quer dizer que eu tinha senhas ruins? Afinal, eu começo o texto dizendo que tive dois e-mails comprometidos! Não. Eu quase sempre uso senhas seguras para minhas contas. Mas sinto informar que hoje em dia isso não é mais suficiente. O papo da senha é para gerar um bom costume em você, evitar que alguém tente te atacar pessoalmente chutando suas senhas, e principalmente para te dar mais chances de escapar do verdadeiro grande perigo da internet. Quando falamos de vazamentos, o buraco é mais embaixo…

Vazamentos assim acontecem porque algum dos sites que pedem suas senhas para te autenticar foram comprometidos: nesses casos a culpa é do site. O invasor consegue pegar o banco de dados do site onde você colocou sua senha e copia os dados de lá. Não deve ter sido o caso, mas por exemplo: se o Gmail for invadido por um hacker e ele conseguir copiar os dados que o Gmail tem que ter sobre a sua senha (afinal, ele tem que saber qual é para te deixar entrar!), sua senha podia ser “senha123” ou uma sequência aleatória de 30 caracteres.

Só que obviamente o Gmail não simplesmente coloca sua senha num arquivo de Word e deixa num computador. Existem diversas medidas de segurança implementadas por empresas minimamente decentes em questão de segurança que impedem que invasores saibam sua senha mesmo se tiverem acesso aos computadores deles. Não é como se um funcionário da Google pudesse descobrir sua senha quando quisesse… existem proteções sim. Mas, essas proteções normalmente estão relacionadas com criptografia.

O que quer dizer que tecnicamente o Google (ainda estamos falando de um exemplo, não acho que vazou do Google) tem sua senha, mas ela fica embaralhada nos computadores dele. Agora, para que o sistema todo funcione, existe uma forma do seu computador conversar com o deles e desembaralhar isso imediatamente, por isso não é segredo o tipo de criptografia que eles usam, todo mundo tem que saber, e é aí que entra o ponto de falha da senha ruim: se quem roubasse o banco de dados de senhas quisesse desembaralhar isso tudo, teria que quebrar a criptografia, mas como ela é conhecida, é mais questão de processar tudo isso (eu sei que é mais complicado que isso, mas tenho que ser didático). E aí que ter uma senha boa te ajuda. É mais fácil processar senhas conhecidas e simples do que sopas de letras e números bizarros.

Portanto: senha segura. Os argumentos técnicos são válidos, não tem nada de frescura. Às vezes você vai perder mesmo fazendo isso, mas a chance fica muito menor. E, vamos para um segundo ponto: nem todo site é feito com a mesma segurança… acho até válido confiar que o Google ou mesmo o Facebook vão tornar quase impossível para um invasor ou funcionário mal intencionado roubar sua senha na força bruta (sim, mesmo o Face, não foram senhas que vazaram nos escândalos recentes), mas não compare gigantes que gastam milhões e milhões com segurança com aquele site de jogos online que você entra de vez em quando… e com certeza não com aquele site onde você baixa programas e filmes piratas!

Um dos problemas mais sérios de segurança além de senha fraca são combinações de usuário e senha repetidas entre diversos sites. Se você usar o mesmo e-mail e senha num site super seguro como o Gmail e um tosco de baixar filme, sua senha acaba do Gmail acaba vazando. É que nem colocar uma foto comprometedora sua dentro de um cofre e uma cópia dela no chão de um bar. Se a foto aparecer por aí, de onde você acha que pegaram? Normalmente as pessoas só tem um e-mail, eu já sou paranoico e uso uns 8 diferentes para compartimentar minha presença online, por isso tive dois e-mails comprometidos, mas não estou me preocupando com nada no momento. Ajuda ter identidades diferentes, uma para cada coisa que você costuma fazer na internet.

Mas se você não for maluco como eu, não tem problema, só lembra de ter mais que uma senha, e NUNCA repetir a senha do seu e-mail para qualquer outra coisa. O seu e-mail é o lugar onde qualquer um pode resetar suas senhas em outros sites, então ele merece uma senha única. Ligar aquela proteção pelo celular também é uma boa para garantir uma camada extra de proteção, mesmo que seja mais chato. Hoje em dia é tão comum sites pedirem confirmação no celular justamente porque funciona que é uma beleza para evitar que o Zé Ruela da “senha123” não esteja sempre sendo invadido.

Senha segura, senha ÚNICA para seu e-mail e autenticação pelo celular. Faça isso e a tendência é que você não tenha problemas. Não existe segurança 100% na internet, mas não precisa desistir só por causa disso. Quem consegue roubar seus dados mesmo com essas medidas de segurança faria de qualquer jeito, então nem faz sentido tentar se proteger desse nível de hacker para o cidadão comum (e nenhum cidadão comum costuma ser alvo, quando você for presidente de algum país ou controlar bilhões de dólares, aí sim comece a se preocupar). Agora, da maioria absoluta dos outros que tentam, dá sim.

Fica a dica.

Para me chamar de nerd de araque, para tirar onda por não ter sido comprometido, ou mesmo para dizer que se quiserem ver suas contas e e-mails de ex-namorados/as babacas que se divirtam: somir@desfavor.com