O G1 publicou na semana passada uma notícia sobre a invasão do Twitter realizada por um hacker francês. O mais interessante sobre o caso é que o ataque foi possível graças ao recurso de &ldquoresposta secreta&rdquo, usado para recuperação de senhas. O malfeitor conseguiu descobrir a resposta para o acesso à conta Yahoo do funcionário do Twitter, resetou a senha e, entre as mensagens na conta de e-mail, encontrou as informações para acessar a administração do serviço de microblog.

No ano passado, a mesma função de recuperação de senha do Yahoo foi usada para invadir a conta de e-mail da candidata derrotada à vice-presidência dos Estados Unidos Sarah Palin. O invasor conseguiu achar a resposta &ldquosecreta&rdquo para a pergunta configurada por Palin com uma simples pesquisa na web.

Em janeiro de 2005, a vítima foi a socialite Paris Hilton. Hilton configurou o nome do seu cão como resposta para resetar a senha no site da operadora de telefonia móvel T-Mobile. A invasão deu acesso às da socialite.

Não é difícil perceber que a &ldquoresposta secreta&rdquo é, na maioria das casos, simplesmente uma má ideia. Entenda por que na coluna de hoje, e saiba como não depender de uma &ldquoresposta&rdquo secreta para recuperar sua senha.

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

>>> Por que respostas secretas são inseguras

Invasor conseguiu acessar as mensagens de Paris Hilton porque a socialite usou o nome do cachorro para resetar senha da conta do celular (Foto: Dan Steinberg/AP)

É importante não confundir as respostas secretas com frases secretas (&ldquopassphrases&rdquo). As respostas secretas são comumente configuradas no cadastramento de uma conta em um serviço na internet para serem usadas como forma de recuperação (&ldquoreset&rdquo) da senha no caso de esquecimento. As frases secretas são apenas senhas longas.

Quando possível, a resposta secreta tem sido substituída pelo envio de e-mail. O internauta clica no botão para recuperar a senha e um e-mail é enviado, já contendo a senha (em sistemas menos seguros) ou com uma solicitação de confirmação para redefinir a senha (em sistemas com segurança melhor).

Porém, um serviço de e-mail não pode depender de outro endereço de e-mail. É preciso que um mecanismo alternativo exista senão, será um problema de causa e consequência circular, ou seja, 'ovo e galinha'. Qual e-mail será usado para recuperar a senha se você não tem nenhum endereço ainda?

As respostas secretas nem tentam ser seguras. Muitas vezes não é possível configurar a pergunta, o que obriga o usuário a responder a uma das poucas questões disponíveis no cadastro. Essas 'perguntas' são normalmente pessoais e com respostas fáceis de lembrar – 'qual o nome do seu primeiro professor', 'qual sua cor favorita' – justamente aquilo que não funciona como senha.

Se algo não é indicado nem para o uso como senha, por que seria adequado para resetar por completo a mesma? Conveniência. A resposta secreta é apenas um meio barato (e extremamente inseguro) de cortar custos no atendimento aos clientes.

Vale mencionar que cada vez mais temos nossas informações pessoais publicadas na internet. Temos blogs e perfis em redes sociais. É possível até mesmo identificar quem são os nossos amigos. Um indivíduo mal-intencionado pode facilmente descobrir algumas respostas apenas pesquisando, ou ainda entrar em contato com conhecidos para extrair outras informações e então obter a resposta necessária. Não são apenas famosos que estão vulneráveis, embora eles sejam os alvos mais comuns.

>>> Se a resposta secreta for obrigatória, o que fazer?

'Resposta secreta' do e-mail da candidata à vice-presidência dos EUA foi facilmente encontrada na internet. Mensagens de Sarah Palin vazaram na rede. (Foto: AP)

Ás vezes é impossível escapar da resposta secreta: você é obrigado a criar uma. Nesses casos a solução é usar a criatividade.

O especialista em segurança Bruce Schneier digita qualquer coisa, sem olhar o teclado, para inutilizar completamente a resposta secreta. Com isso, o eventual esquecimento da senha irá gerar um grande incômodo, e a equipe de suporte do serviço terá de ser acionada. Mas, se você seguir as dicas da coluna, não deverá passar por esse problema.

Nos casos em que é possível configurar a pergunta, você pode usá-la como lembrete da senha. Pode ser criado um código, relacionado com uma de suas senhas (que você anotou). Esse código é colocado no 'lembrete' para registrar qual senha foi usada, sem revelar nenhuma informação adicional. Lembre-se de considerar que o 'lembrete' é público – não coloque nenhuma informação que possa ser útil para outras pessoas!

Alternativamente, você pode fazer uma pergunta e responder outra. Por exemplo, você pode configurar a pergunta 'Qual o nome da minha mãe?', mas responder algo sem nenhuma relação óbvia (digamos, a primeira frase de um livro que sua mãe indicou ou deu de presente).

De qualquer forma, não use o recurso de pergunta e resposta secreta da maneira 'correta', escolhendo uma pergunta e respondendo-a fielmente. Você estará criando uma vulnerabilidade, uma 'senha' mais poderosa, mas mais fraca, que sua senha normal.

A coluna de hoje fica por aqui. Na quarta-feira (13) é dia de pacotão de respostas, no qual são respondidas dúvidas dos leitores. Deixe sua pergunta ou sugestão de pauta nos comentários, abaixo. Até lá!

* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna 'Segurança para o PC', o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.


Fonte: G1

Notícias