Entenda por que seus dados nem sempre estão protegidos pela senha
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quintas-feiras.
Quando guardamos algo em uma gaveta que necessita de uma chave, ou dentro de um cofre que exige uma combinação, entendemos que só é possível obter o que está ali dentro tendo a chave ou sabendo a combinação, ou então danificando de alguma forma o cofre ou a gaveta. Na segurança de muitos dados hoje, porém, esse não é o caso. Informações são sempre salvas sem proteção alguma, e a senha é uma mera formalidade para dar acesso a essas informações.
Na semana passada, uma ex-funcionária do Facebook, Katherine Losse, revelou que a rede social dispõe de uma "senha mestra" que dá acesso a qualquer informação, de qualquer usuário. Embora Losse talvez tenha entendido que isso é algo "anormal", na verdade essa é a exatamente a forma que boa parte dos sistemas informatizados funciona: as senhas são uma mera formalidade, e o que vale é o controle de acesso.
Um exemplo: o login do Windows. Embora o uso do computador esteja protegido pela senha do seu usuário do Windows, os dados armazenados pelo computador na verdade não dispõe de proteção alguma. Se o computador for iniciado com outro sistema operacional por meio de um CD, ou o disco rígido for instalado em outro computador, todas as informações poderão ser lidas, sem a necessidade de utilizar senha alguma.
Outro caso: em 2011, uma falha de segurança no serviço de armazenamento em nuvem Dropbox permitia que qualquer conta fosse acessada mesmo sem a senha correta. Isso porque o sistema simplesmente não estava verificando a senha, dando acesso aos dados.
O acesso a sistemas informatizados, seja sua conta no Facebook ou os arquivos armazenados em seu computador, é feito de uma forma menos "dura" e a autorização para o acesso é puramente lógica. Funciona da seguinte forma: quando você digita seu usuário e senha, o sistema verifica se as credenciais estão corretas e a quem pertence essas credenciais. Uma vez identificado o usuário, o sistema cria uma "sessão de acesso", que define quais dados serão acessados.
Iniciada essa sessão, a senha já não mais importa.
Em sites de internet, a página de login informa ao navegador um identificador de sessão. Esse identificador é reenviado pelo navegador ao site em cada acesso, permitindo que o site associe uma sessão autorizada com aquele acesso e apresente os dados corretos. Esse identificador de sessão é normalmente armazenado nos chamados "cookies" do navegador, que são meramente dados que o navegador guarda a pedido do site reenvia a cada acesso.
Isso significa que é possível obter acesso a uma conta sem jamais roubar a senha, usando apenas o roubo do identificador de sessão. E isso já ocorreu diversas vezes, devido a falhas que, por algum motivo, vazaram esse identificador de sessão de alguma forma.
Os cookies também podem ser lidos diretamente, de modo que, caso alguém tenha acesso a seu computador e leia os cookies do seu navegador, talvez ele possa acessar o serviço ao qual você está logado, especialmente se você usou a opção "lembrar de mim". Na verdade, em muitos sites o "lembrar de mim" armazena um identificador de sessão fixo, ou seja, um cookie roubado nesse caso continuará funcionando mesmo após você clicar em "logout" ou "sair".
Felizmente, muitos serviços incluem algumas proteções, como impedir o cookie de ser usado a partir de um endereço diferente (o que significa que você precisa refazer login quando viaja), ou incluem alguma verificação do navegador utilizado.
A única forma de proteger uma informação verdadeiramente com senha é usando criptografia. Esta coluna já ensinou a usar o TrueCrypt e a criptografia básica do Windows, enquanto a coluna Tira-dúvidas, também do G1, mostrou como usar o BitLocker, disponível em algumas versões do Windows.
Também o Mega, novo serviço de armazenamento do Kim Dotcom, fundador do Megaupload, utiliza uma criptografia associada à sua senha. Isso significa que a senha está realmente atrelada ao acesso ao site. Prova disso é que não é nem sequer possível mudar uma senha esquecida: se você esqueceu sua senha, perdeu seus dados.
De uma forma ou de outra, a lição importante é lembrar que a proteção dos seus dados hoje em muitos casos não depende da senha, e sim do sistema responsável pelo gerenciamento das sessões de acesso. Se esse sistema tiver uma falha (como aconteceu no Dropbox) ou puder ser burlado (como acontece no login do Windows), a senha se torna rapidamente irrelevante. Considere isso quando pensar na proteção dos seus dados.