Porque não se deve reutilizar uma password

Um pequeno exemplo de como a reutilização de passwords se pode tornar um pesadelo

Ter um nome de utilizador e password únicos para cada website torna-se cada vez mais uma tarefa exaustiva. Embora existam websites que oferecem formas alternativas de iniciar sessão, por exemplo, utilizando chaves OTP (One Time Password) ou medidas complementares ao tradicional par username/password, como a autenticação de 2 fatores (2FA), nem todos são assim.

Quando confrontados com outro website a pedir mais um registo, tipicamente inserimos o mesmo nome ou email. Se o nome é o mesmo em todos os websites, a password também pode ser igual. Infelizmente esta lógica traz o problema de abrir uma porta de entrada a todos os websites em que o login é partilhado, tal como uma chave mestra abriria todas as nossas portas.

Este problema é agravado quando a mesma password é usada para iniciar sessão num serviço de e-mail, que é muitas vezes o lugar privilegiado de acesso à nossa vida digital (pensem numa conta Google ou Microsoft, e a quantidade de informação/dispositivos que está em jogo). Isto significa que se reutilizarmos uma password em todos os websites, basta um deles ser atacado para colocar em riscos os outros. Mas será que isso acontece mesmo?

Passwords reutilizadas e tentativa de extorsão com Bitcoins

Ao vasculhar a minha pasta de spam para confirmar se não foi lá parar nada de importante, deparei-me com um e-mail cujo assunto me despertou a atenção:

Save your life - <password>

Em que password era uma password que utilizava há muitos anos atrás em sites com logins descartáveis (pois, eu também reutilizava passwords no passado :) somos ambos humanos, OK?). Ao aperceber-me da pouca importância da password, o receio inicial deu lugar à curiosidade e lá abri o e-mail. Deparei-me com o típico yada-yada de scam (vou abreviar para minha privacidade e para não aborrecer ninguém com ladainhas):

I know your password is: <password>

I infected you with a malware (...), I have been observing your actions.
The malware gave me full access and control over your system, meaning, I can see everything on your screen, turn on your camera or microphone (...) I have also access to all your contacts, I collected everything private from you, pictures, videos, everything!

Preocupante se fosse uma password mais crítica ou usada no meu computador pessoal. Mas o e-mail não fica apenas por ameaças:

And I MADE A VIDEO SHOWING BOTH YOU (through your webcam) AND THE VIDEO YOU WERE WATCHING (on the screen) WHILE STATISFYING YOURSELF!

I can send this video to all your contacts (email, social network) and publish all your private stuff everywhere!

You can prevent me from doing this!

To stop me, transfer exactly: <1234>$ with the current bitcoin (BTC) price to my bitcoin address.

(...)

My bitcoin adress is: 1HB3KtKoguFuZ4BdmCv9Fc4tYTwDQgmqmW

Resumindo um hacker “espiou” o meu computador e exige o pagamento de uma quantia em Bitcoins. Obviamente que nada disto aconteceu, e muito menos vai sair qualquer cêntimo da minha carteira para a do nosso amigo hacker. Numa rápida investigação, concluímos que não se trata de um caso isolado: existem centenas de pessoas que receberam o mesmo e-mail, embora a password seja personalizada para cada pessoa (provavelmente porque o e-mail estava associado a essa password no website que foi atacado).

Vejam as transações a carteira Bitcoin do hacker. Existem alguns pagamentos de quantias semelhantes às que me foram exigidas no e-mail sugerindo que, ou realmente existem pessoas que estão a pagar, ou o hacker está apenas a criar movimento na carteira para sugerir que existem outras pessoas a pagar e que também o devemos fazer. No Bitcoin Abuse, existem denúncias deste endereço a demonstrar que o scam começou há alguns dias atrás.

O hacker sabe a minha password!

No caso de usarmos a mesma combinação de login para todos os websites, o hacker pode iniciar sessão em qualquer um deles, recolher informações, fazer ações em nosso nome ou simplesmente não fazer nada, esperando pela melhor altura para criar um plano de extorsão. O melhor a fazer nestes casos é não fazer qualquer pagamento e mudar todas as contas onde essa password é usada. Especialmente em sistemas críticos como o e-mail, deve-se usar autenticação de 2 fatores de forma a melhorar a segurança da conta.

Quanto a não reutilizar passwords, essa é uma tarefa mais difícil. A nossa memória não foi feita para memorizar centenas de combinações de números e letras, por isso uma sugestão será usar um gestor de passwords como o Keepass. Também podem seguir a técnica de utilização de frases como passwords, criando desta forma passwords personalizadas para cada website e razoavelmente fáceis de decorar. Continuamos a ter de manter uma lista de passwords de qualquer das formas, mas enquanto não houver uma alternativa viável à utilização de passwords, é a única arma de defesa contra estas situações.