Gerenciamento de senhas on-line

O tema de segurança on-line assusta muitos usuários. Os especialistas do Google, Mark Risher e Stephan Micklitz, conversam sobre o assunto e como levam em consideração esse sentimento ao desenvolver medidas de segurança

Risher, você é diretor de gerenciamento de produtos no Google e trabalha na área de segurança na Internet. Você já foi vítima de um golpe on-line?

Mark Risher: Não consigo me lembrar de um exemplo concreto agora, mas acho que sim. Cometo erros quando navego na Web, assim como todo mundo. Por exemplo, recentemente digitei minha senha do Google no site errado. Por sorte, tenho o plug-in de Alerta de senha do Chrome instalado, que indicou meu erro. Depois mudei minha senha imediatamente, claro.

Stephan Micklitz, diretor de engenharia da equipe de privacidade e segurança do Google: Errar é humano. É muito fácil digitar uma senha memorizada sem prestar atenção no site em que você está.

Risher: Seria ótimo eliminar as senhas de uma vez por todas, mas não é tão fácil.

"Muitas medidas de segurança acontecem nos bastidores."

Mark Risher

Quais são as desvantagens das senhas?

Risher: São muitas desvantagens. Elas são fáceis de roubar, mas difíceis de lembrar. Além disso, gerenciar senhas é entediante. Muitos usuários acreditam que uma senha precisa ser longa e complicada, mas, na verdade, isso aumenta o risco de segurança. Os usuários tendem a usar uma senha complicada para mais de uma conta, o que acentua a vulnerabilidade.

Micklitz: Quanto menos você usar uma senha, melhor. É por isso que não é recomendável entrar e sair várias vezes das suas contas. Com o passar do tempo, você pode deixar de prestar atenção à página da Internet em que está, e isso facilita a vida dos ladrões de senha. Portanto, aconselhamos os usuários a ficarem conectados.

O site do meu banco desconecta automaticamente se eu ficar inativo por alguns minutos.

Micklitz: Infelizmente, muitas empresas ainda seguem regras ultrapassadas. O conselho de se desconectar constantemente vem de um tempo em que as pessoas acessavam a Internet em lan houses ou compartilhavam um computador com outros. Nossa pesquisa mostra que, quanto mais uma pessoa insere uma senha, maior é a probabilidade de ser vítima de um ataque cibernético. Portanto, é mais seguro simplesmente ativar o bloqueio de tela no smartphone ou no computador e usar uma senha segura.

Risher: Isso mesmo. Existem muitos conselhos falsos ou inviáveis em circulação, e isso pode confundir os usuários. No pior dos casos, as pessoas ficam tão inseguras que simplesmente desistem. É tão difícil se proteger que elas param de tentar. É o mesmo que sempre deixar a porta da frente aberta porque você sabe que os ladrões estão nas redondezas.

Mark Risher
USB Sicherheitsschlüssel

Mark Risher é diretor de gerenciamento de produtos de segurança e privacidade do Google. Em 2010, fundou a startup de segurança cibernética Impermium, que foi adquirida pelo Google em 2014. Desde então, Risher trabalha na sede da empresa em Mountain View, na Califórnia (EUA). No lado direito: uma chave de segurança conforme usada no Programa Proteção Avançada. Ela está disponível por uma pequena taxa e pode ser usada em vários sites.

Como o Google garantiria a segurança do usuário se as senhas fossem abolidas?

Risher: Já tomamos várias medidas de segurança nos bastidores. Mesmo que um hacker descobrisse sua senha e seu número de telefone, ainda conseguiríamos garantir uma segurança de 99,9% para a Conta do Google. Por exemplo, verificando em qual dispositivo ou país a pessoa fez login. Se alguém tenta entrar na sua conta várias vezes seguidas com uma senha incorreta, nossos sistemas de segurança disparam alarmes.

Micklitz: Também desenvolvemos a Verificação de segurança, assim os usuários podem conferir as configurações de segurança pessoal na Conta do Google em etapas. E com o Programa Proteção Avançada, damos um passo adiante.

Qual é a ideia por trás do programa?

Micklitz: Originalmente, o programa foi desenvolvido para pessoas como políticos, CEOs ou jornalistas que poderiam ser alvos do interesse de criminosos. Mas agora está disponível para todos que querem mais proteção na Internet. Somente as pessoas com um USB especial ou um dongle Bluetooth podem acessar a Conta do Google protegida.

Risher: A experiência mostrou o quanto esse sistema é eficiente, porque todos os funcionários do Google usam uma chave de segurança para proteger a conta corporativa. Desde o início dessa medida de segurança, não tivemos nenhum caso de phishing que pudesse levar à confirmação de senha. O token aumenta muito a segurança da Conta do Google, porque mesmo quando os invasores sabem a senha, não conseguem acessar a conta sem o token. Em geral, uma conta on-line pode ser invadida de qualquer lugar no mundo. Mas isso não acontece com contas protegidas por um token de segurança física.

Micklitz: Por falar nisso, esses tokens de segurança podem ser usados para vários sites, e não só no Programa Proteção Avançada do Google. Eles podem ser comprados de nós ou de outros provedores por uma pequena taxa. Veja todos os detalhes em g.co/advancedprotection.

"Às vezes, as pessoas acham difícil avaliar riscos na Internet."

Stephan Micklitz

Na sua opinião, quais são os maiores perigos da Internet hoje?

Risher: As várias listas de nomes de usuário e senhas que existem on-line são um problema. Nosso colega Tadek Pietraszek, junto com a equipe dele, passaram seis semanas analisando a Internet e encontraram 3,5 bilhões de combinações de nome de usuário e senha. Não são dados de Contas do Google invadidas, foram roubados de outros provedores. No entanto, como várias pessoas usam a mesma senha para diversas contas, essas listas também são um problema para nós.

Micklitz: Vejo o spear phishing como um grande problema. Isso ocorre quando um invasor elabora uma mensagem personalizada tão inteligente que fica difícil para a vítima reconhecer a intenção de fraude. Vemos os hackers empregarem esse método cada vez mais, e com sucesso.

Risher: Concordo com o Stephan. Além disso, o spear phishing não consome tanto tempo quanto parece. Muitas vezes, leva somente alguns minutos para personalizar um e-mail de spam. Os hackers usam as informações pessoais publicadas pelos usuários na Internet. Isso é um problema no caso das criptomoedas. Por exemplo, pessoas que divulgam que têm 10 mil bitcoins não podem ficar surpresas se essa informação chamar a atenção de cibercriminosos.

Micklitz: É como se eu entrasse em um mercado com um megafone e anunciasse o saldo da minha conta bancária. Quem faria isso? Ninguém. Mas às vezes as pessoas acham difícil avaliar riscos na Internet.

Os e-mails de spam regulares ainda são um problema?

Risher: A vinculação de dispositivos e serviços é um grande desafio para nós. As pessoas não usam somente laptops e smartphones para acessar a Internet. Elas também usam TVs, smartwatches e alto-falantes inteligentes. Vários apps funcionam nesses dispositivos e representam diversos possíveis pontos de ataque diferentes para hackers. E como hoje vários dispositivos estão conectados, os hackers podem usar um deles para tentar acessar as informações armazenadas em outro. Portanto, agora precisamos responder à pergunta: como garantir a segurança dos usuários mesmo com a grande variedade de novos hábitos de uso?

Micklitz: Primeiro precisamos nos perguntar de quais dados realmente precisamos para cada serviço e quais dados são trocados entre os serviços.

Como vocês usam a inteligência artificial para ajudar a proteger os usuários?

Micklitz: O Google usa inteligência artificial há um bom tempo.

Risher: A tecnologia foi incorporada ao nosso serviço de e-mail, o Gmail, desde o início. O Google até desenvolveu uma biblioteca própria chamada TensorFlow, que facilita o trabalho dos programadores envolvidos no aprendizado de máquina. O Gmail, em específico, colhe os benefícios do TensorFlow, porque oferece um serviço valioso quando se trata de reconhecer padrões típicos.

Vocês podem explicar como funciona o reconhecimento de padrões?

Risher: Observamos as atividades suspeitas entre vários usuários que não podemos categorizar. Um computador de autoaprendizado compara esses eventos e, no melhor caso, detecta novas formas de fraude antes mesmo que elas comecem a se espalhar pela Internet.

Micklitz: Mas existem limites. Um computador é tão inteligente quanto a pessoa que o usa. Se eu alimentar um computador com dados falsos ou parciais, os padrões reconhecidos também serão falsos ou parciais. Apesar de toda a propaganda sobre a inteligência artificial, a eficiência dessa tecnologia depende da pessoa que usa. É o usuário que decide treinar o computador com dados de alta qualidade e verificar os resultados depois.

Risher: Uma vez, quando eu trabalhava para outro provedor de e-mail, recebi uma mensagem de um funcionário de banco em Lagos. Na época, existiam vários e-mails fraudulentos em circulação, supostamente enviados da Nigéria. O homem reclamava que os e-mails dele sempre caíam na pasta de spam do destinatário, muito embora ele trabalhasse em um banco conceituado. É um caso típico de generalização falsa no reconhecimento de padrões devido a informações insuficientes. Conseguimos resolver esse problema mudando o algoritmo.

Fotos: Conny Mirbach

Inovações em segurança cibernética

Nós protegemos mais pessoas on-line no mundo como ninguém.

Saiba mais