As palavras-passe são omnipresentes na nossa vida digital. Elas asseguram que apenas nós (ou aqueles a quem damos permissão) consigamos aceder às nossas informações e bens privados, quer se trate do dinheiro no banco ou da nossa identidade nas redes sociais. No entanto, muitas vezes, negligenciamos a sua importância, utilizando a mesma palavra-passe em diversos locais, simplesmente porque é mais fácil de memorizar.
Embora muitos aplicativos e serviços tenham aprimorado a sua segurança, os hackers também evoluíram de forma significativa. A utilização da mesma palavra-passe em várias plataformas coloca-o em risco de se tornar um alvo preferencial de ataques cibernéticos. Existem ainda outras desvantagens, menos evidentes, associadas a esta prática.
A seguir, apresentamos alguns motivos pelos quais deve redobrar a atenção ao escolher uma palavra-passe.
1. Ataques de preenchimento de credenciais
Quando se trata de utilizar a mesma palavra-passe repetidamente, saiba que não está sozinho. De acordo com o site NordPass, muitas pessoas optam por palavras-passe fáceis de adivinhar, como “convidado” ou “palavra-passe”. Esta é uma prática extremamente perigosa, uma vez que essas palavras-passe aparentemente inofensivas podem ser descobertas em questão de segundos.
Ao utilizar uma palavra-passe fraca como estas em todas as suas contas, torna-se um alvo perfeito para um ataque de preenchimento de credenciais. Este tipo de ataque cibernético consiste em acumular uma grande base de dados de palavras-passe ou nomes de utilizador roubados em diversos sites. Se a sua palavra-passe reciclada for comprometida numa fuga de dados, várias das suas contas poderão ficar em risco.
2. Colocar as suas contas corporativas em risco
Em 2012, a Dropbox sofreu uma violação de dados que afetou 69 milhões de utilizadores. Segundo o jornal The Guardian, a intrusão ocorreu devido a um funcionário da Dropbox ter reutilizado a mesma palavra-passe que utilizava anteriormente no LinkedIn. Quando a sua conta do LinkedIn foi invadida, os hackers também obtiveram acesso à rede corporativa da Dropbox.
Isto significa que, ao reutilizar as palavras-passe das suas contas corporativas, estará também a colocar-se a si próprio e à sua empresa num grande perigo. É exatamente por esta razão que muitas empresas do setor tecnológico estão a adotar gestores de palavras-passe. Estes gestores permitem armazenar e gerar palavras-passe seguras.
Ao adicionar um funcionário ou colaborador ao gestor de palavras-passe, este terá acesso a todas as contas cujas palavras-passe se encontram armazenadas na aplicação, simplificando o processo de autenticação e eliminando a necessidade de partilhar palavras-passe diretamente com o mesmo.
Palavras-passe reutilizadas, ou mesmo palavras-passe semelhantes, são pouco seguras, não são únicas e são facilmente previsíveis. Os hackers podem facilmente quebrar estas palavras-passe com o auxílio de ferramentas de inteligência artificial (IA). Até mesmo a versão gratuita do ChatGPT pode ser utilizada para tentar adivinhar estas palavras-passe:
Se o pedido acima for demasiado simples para decifrar a sua palavra-passe, os hackers podem contornar as restrições do ChatGPT e tentar criar um pedido mais personalizado para descobrir as suas palavras-passe.
Por exemplo, imaginei um cenário fictício onde escrevi uma história sobre um personagem chamado Adam (qualquer semelhança com pessoas reais é mera coincidência), onde hackers estão a tentar aceder à sua conta do Facebook:
Observe como o ChatGPT gerou uma lista de palavras-passe que esta pessoa poderia estar a utilizar:
Algumas destas palavras-passe podem parecer ridículas, mas na realidade tendemos a escolher palavras-passe fáceis de memorizar (pessoas e coisas com as quais nos preocupamos). Assim, quanto mais os hackers souberem sobre nós (o que não é difícil, uma vez que partilhamos informações nas redes sociais), maiores serão as probabilidades de adivinharem a nossa palavra-passe com sucesso.
E as ferramentas avançadas de quebra de palavras-passe com IA encontram-se noutro nível. Elas testam palavras-passe comuns, utilizando variações de palavras ou palavras-passe encontradas em fugas de dados.
Se utilizar uma palavra-passe como “qwerty”, as ferramentas de quebra de palavras-passe demorarão menos de um segundo a descobrir. Acrescentar números e alterar para “qwerty12345” não torna a tarefa mais difícil. Muitas ferramentas procuram padrões, e números óbvios precedidos de frases ainda mais óbvias são os padrões mais comuns.
4. Partilhar palavras-passe torna-o mais vulnerável
Reutilizar as suas palavras-passe é uma má prática, mas partilhar essas palavras-passe reutilizadas é ainda pior. Por mais confiança que tenha na pessoa com quem está a partilhar a palavra-passe, não a poderá responsabilizar por fugas de dados ou ataques cibernéticos. A sua conta corre ainda mais risco se a pessoa com quem partilhou os dados da conta tiver o seu dispositivo comprometido ou roubado.
Uma vez que um hacker consegue aceder a um dispositivo, todas as contas e dados ficam facilmente disponíveis. Por exemplo, imagine que partilha uma conta da Netflix com alguém. Se o computador portátil dessa pessoa for pirateado ou roubado, e alguém aceder à conta da Netflix, os dados do seu cartão de crédito estarão imediatamente em risco.
Portanto, em primeiro lugar, utilize palavras-passe fortes e difíceis de adivinhar. Em segundo lugar, utilize a autenticação de dois fatores ou um gestor de palavras-passe para partilhar uma palavra-passe em segurança com amigos e familiares, minimizando o risco.
5. Ataques de engenharia social
A engenharia social é o ato de manipular pessoas para roubar as suas informações privadas. Não se trata de uma habilidade técnica, mas sim de uma manobra psicológica. Os links de phishing são o exemplo mais comum desta prática.
Já não é tão simples como um link de phishing que o leva a uma página de autenticação falsa do Facebook ou do Instagram. Os hackers fingirão ser amigos, colegas ou organizações de confiança para o induzir a clicar em links que comprometem as suas contas.
Assim, o hacker pode solicitar que se inscreva num novo serviço de arranque, apenas para ver qual a palavra-passe que utiliza. Em alguns casos, poderão contactá-lo através da conta de um amigo que foi comprometida – a maioria de nós não desconfia quando abre links de amigos, sendo esta uma armadilha fácil de montar.
Como é provável que reutilize uma palavra-passe de outro local para se inscrever nesse serviço, eles tentarão usar essa palavra-passe em todas as suas contas conhecidas. Se utilizar a mesma palavra-passe para a sua aplicação bancária, é provável que tenha sérios problemas.
Na maioria dos casos, esta técnica funcionará.
6. Aumento do risco de ataques internos
A reutilização da mesma palavra-passe em diversos locais aumenta o risco de ataques internos. Imagine que um funcionário que conhece a palavra-passe abandona a sua organização. Se a palavra-passe não for alterada, o ex-funcionário terá acesso fácil a todos os seus dados confidenciais.
Se um “insider” conhecer uma palavra-passe que foi utilizada em diversos lugares, todas as suas aplicações e serviços estarão em risco imediato. Poderá utilizar essas credenciais para realizar atividades fraudulentas, explorar vulnerabilidades ou danificar sistemas informáticos. Estas pessoas podem ainda fazer-se passar por funcionários e manipular colegas para que partilhem informações confidenciais.
Da mesma forma, se a mesma palavra-passe for utilizada em vários sites, seria difícil identificar o “insider” no caso de alguma atividade indesejada ou maliciosa. Pode reduzir os riscos de ataques internos através da adoção de práticas de segurança robustas. Um bom ponto de partida seria fornecer credenciais personalizadas a todos os seus funcionários.
Seja criativo, discreto e rigoroso com as palavras-passe
Independentemente de outras medidas de segurança que possa adotar, a sua presença online estará sempre em risco se reutilizar a mesma palavra-passe em diferentes plataformas. É certo que as palavras-passe reutilizadas são mais fáceis de memorizar, mas irá arrepender-se dessa conveniência se as suas contas forem invadidas.
Felizmente, poderá não precisar de usar palavras-passe no futuro. Serviços como o Apple PassKeys utilizam a autenticação biométrica, como o FaceID ou o TouchID, para iniciar sessão em contas. Isto elimina a necessidade de uma palavra-passe, uma vez que o serviço utiliza uma chave criptográfica. À medida que outras empresas começarem a adotar esta tecnologia, as palavras-passe poderão tornar-se uma coisa do passado.