Gerir palavras-passe online

No que diz respeito à segurança online, muitos utilizadores sentem-se confusos. Mark Risher e Stephan Micklitz da Google conversam sobre a necessidade de ter estas emoções em consideração ao desenvolver medidas de segurança

Sr. Risher, é Director of Product Management na Google e trabalha no domínio da segurança na Internet. Alguma vez foi vítima de um esquema online?

Mark Risher: Não consigo lembrar-me de um exemplo concreto neste momento, mas só posso assumir que sim. Cometo erros ao navegar na Web como qualquer pessoa. Por exemplo, introduzi recentemente a minha palavra-passe Google no Website errado. Felizmente, instalei o plug-in Alerta de palavra-passe do Chrome, que me indicou o erro. Claro que alterei a palavra-passe de imediato.

Stephan Micklitz, Director of Engineering na equipa de segurança e privacidade da Google: Isso faz parte do ser humano. Depois de memorizarmos uma palavra-passe, podemos facilmente introduzi-la sem prestar atenção suficiente ao local onde estamos a fazê-lo.

Risher: Adorávamos deixar de usar palavras-passe, mas infelizmente não é assim tão fácil.

"Muitas medidas de segurança acontecem nos bastidores."

Mark Risher

Qual é a grande desvantagem das palavras-passe?

Risher: Têm muitas limitações. São fáceis de roubar, mas difíceis de memorizar e a gestão das mesmas pode ser monótona. Muitos utilizadores acreditam que uma palavra-passe deve ser o mais longa e complicada possível, embora, na verdade, isso aumente o risco de segurança. Os utilizadores são tentados a usar palavras-passe complicadas em mais de uma conta, deixando-as mais vulneráveis.

Micklitz: Quanto menos vezes introduzir uma palavra-passe, melhor. É por esse motivo que não se deve iniciar e terminar sessão repetidamente nas contas. Ao longo do tempo, esta ação pode resultar na falta de atenção dos utilizadores em relação à página Web em que estão, o que facilita a vida aos ladrões de palavras-passe. Assim, aconselhamos os nossos utilizadores a manterem a sessão iniciada.

O Website do meu banco termina a minha sessão automaticamente se tiver estado em inatividade durante alguns minutos.

Micklitz: Infelizmente, muitas empresas continuam a seguir regras desatualizadas. A recomendação de terminar sessão constantemente tem origem numa altura em que a maioria das pessoas acedia à Internet em cibercafés ou partilhava um computador com outras pessoas. A nossa pesquisa mostra que quantas mais vezes as pessoas introduzem as palavras-passe, maior é a probabilidade de serem vítimas de um ciberataque. Assim, é mais seguro ativar simplesmente o bloqueio de ecrã no telemóvel ou computador e usar uma palavra-passe segura.

Risher: É isso mesmo. Infelizmente, existem imensas recomendações falsas ou impraticáveis em circulação, o que pode ser confuso para muitos utilizadores. No pior cenário, as pessoas ficam com uma sensação de incerteza e acabam por desistir: "Se é tão difícil proteger-me, vou deixar de tentar". É um pouco como deixar sempre a porta da frente aberta, porque sabemos que há ladrões por aí.

Mark Risher
USB Sicherheitsschlüssel

Mark Risher é Director of Product Management da Google na área de segurança e privacidade. Em 2010, fundou a startup de cibersegurança Impermium, adquirida pela Google em 2014. Desde então, trabalha na sede da empresa em Mountain View, na Califórnia. À direita: uma chave de segurança conforme usada no Programa de Proteção avançada. Está disponível mediante uma pequena taxa e pode ser usada em vários Websites.

De que forma pode a Google assegurar a segurança dos utilizadores se as palavras-passe forem abolidas?

Risher: Já temos muitas medidas de segurança adicionais em execução nos bastidores. Um hacker pode ter acesso à sua palavra-passe e número de telemóvel, e mesmo assim conseguimos garantir 99,9% de segurança para a sua Conta Google. Por exemplo, verificamos o dispositivo ou o país a partir do qual alguém está a iniciar sessão. Se alguém tentar iniciar sessão várias vezes seguidas com uma palavra-passe incorreta, isto faz soar os alarmes nos nossos sistemas de segurança.

Micklitz: Também desenvolvemos a Verificação de segurança, que permite aos utilizadores percorrer passo a passo as definições de segurança pessoais na Conta Google. Com o Programa de Proteção avançada, damos mais um passo.

Qual é a ideia base deste programa?

Micklitz: Originalmente, o programa foi desenvolvido para pessoas, como políticos, CEOs ou jornalistas, que podiam constituir um interesse particular para os criminosos. Agora, está disponível para qualquer pessoa que queira proteção online adicional. Apenas quem tiver um dongle USB ou Bluetooth especial pode obter acesso à Conta Google protegida.

Risher: A nossa experiência diz-nos quão eficiente é este sistema, uma vez que todos os funcionários da Google usam uma chave de segurança para manter a conta da empresa segura. Desde a introdução desta medida de segurança, ainda não tivemos um único caso de phishing que pudesse ser rastreado até à confirmação da palavra-passe. O símbolo melhora consideravelmente a segurança da Conta Google, porque mesmo que os atacantes saibam a palavra-passe, não conseguem aceder à conta sem o mesmo. Geralmente, uma conta online pode ser pirateada a partir de qualquer parte do mundo. Isto não é uma opção para as contas protegidas com um símbolo de segurança físico.

Micklitz: A propósito, estes símbolos de segurança podem ser usados para muitos Websites e não apenas para o Programa de Proteção avançada da Google. Pode comprá-los à Google ou a outros fornecedores por uma pequena quantia. Pode encontrar todos os detalhes em g.co/advancedprotection.

"Por vezes as pessoas têm alguma dificuldade em avaliar os riscos na Internet."

Stephan Micklitz

Na sua opinião, quais são os maiores perigos da Internet hoje em dia?

Risher: Um dos problemas é a quantidade de listas de nomes de utilizador e palavras-passe que existem online. O nosso colega Tadek Pietraszek e a sua equipa passaram seis semanas a vasculhar a Internet e encontraram 3,5 mil milhões de combinações de nomes de utilizador e palavras-passe. Não são apenas dados de Contas Google pirateadas. Foram roubados de outros fornecedores. No entanto, como muitos utilizadores usam a mesma palavra-passe para várias contas, estas listas também são um problema para nós.

Micklitz: Considero o spear phishing um grande problema. Isto acontece quando um atacante cria uma mensagem personalizada de uma forma tão inteligente que é difícil para a vítima reconhecer a intenção fraudulenta. Estamos a ver hackers a usar cada vez mais este método com êxito.

Risher: Concordo com o Stephan. Além disso, o spear phishing não consome assim tanto tempo como possa parecer. Muitas vezes, são necessários apenas alguns minutos para personalizar um email de spam. Os hackers podem usar as informações que os utilizadores publicam sobre os próprios online. Este é um dos problemas das criptomoedas. Por exemplo, as pessoas que publicitam que têm 10 000 bitcoins não devem ficar surpreendidas se estas informações despertarem a atenção de cibercriminosos.

Micklitz: Era como se eu estivesse no meio de um mercado com um megafone a anunciar o saldo da minha conta bancária. Quem faria isso? Ninguém. No entanto, por vezes as pessoas têm alguma dificuldade em avaliar os riscos na Internet.

Os emails de spam normais continuam a ser um problema?

Risher: A associação de dispositivos e serviços é um grande desafio para nós. As pessoas já não usam apenas portáteis e smartphones para navegarem online. Também usam TVs, smartwatches e altifalantes inteligentes. Várias apps são executadas em todos estes dispositivos, o que dá aos hackers vários pontos de ataque possíveis. Como muitos dispositivos estão agora ligados, os hackers podem usar um dispositivo para tentar aceder às informações armazenadas noutro. Assim, atualmente temos de responder à pergunta: como podemos garantir a segurança dos nossos utilizadores apesar da variedade de novos hábitos de utilização?

Micklitz: Tudo começa ao identificarmos os dados de que precisamos realmente para cada serviço e quais são trocados entre serviços.

De que forma é usada a inteligência artificial para ajudar a proteger os utilizadores?

Micklitz: A Google já usa a inteligência artificial há algum tempo.

Risher: A tecnologia foi incorporada desde o início no nosso serviço de email, o Gmail. A Google chegou mesmo a desenvolver a sua própria biblioteca de aprendizagem automática, designada TensorFlow, que facilita o trabalho dos programadores envolvidos na aprendizagem automática. O Gmail beneficia particularmente do TensorFlow, uma vez que fornece um serviço importante no que diz respeito ao reconhecimento de padrões típicos.

Pode explicar como funciona este reconhecimento de padrão?

Risher: Vamos supor que verificamos atividade suspeita em vários utilizadores que não conseguimos categorizar. Um computador de auto-aprendizagem consegue comparar estes eventos e, no melhor cenário, detetar novas formas de fraude antes de começarem a surgir online.

Micklitz: Porém, há limites. Um computador é tão inteligente quanto a pessoa que o está a usar. Se introduzir dados falsos ou unilaterais no computador, os padrões reconhecidos também serão falsos ou unilaterais. Apesar de todo o entusiasmo à volta da inteligência artificial, a sua eficácia depende sempre da pessoa que a usa. Cabe ao utilizador preparar o computador com dados de alta qualidade e verificar posteriormente os resultados.

Risher: Uma vez, quando trabalhava para outro fornecedor de email, recebi uma mensagem de um funcionário bancário em Lagos. Nessa altura, havia muitos emails fraudulentos a circular, supostamente com origem na Nigéria. O funcionário queixava-se de que os seus emails iam sempre parar à pasta de spam do destinatário, embora trabalhasse para um banco conceituado. Este é um caso típico de falsa generalização no reconhecimento de padrão devido a informações insuficientes. Conseguimos ajudar a resolver este problema ao alterar o algoritmo.

Fotos: Conny Mirbach

Avanços na cibersegurança

Saiba como mantemos mais pessoas seguras online em todo o mundo do que qualquer outra empresa.

Saiba mais