O Google está lançando sua útil ferramenta de Verificação de Senha para um público mais amplo, porque vamos ser honestos: quão bom são as suas senha? Se você compartilha suas credenciais de login, reutiliza senhas entre contas (considere-as você ou não como de baixo risco) ou usa senhas fáceis de adivinhar para qualquer uma de suas contas, a resposta é: provavelmente elas não são tão seguras quanto você pensa.
Erros comuns com senhas, que podem permitir que até invasores não sofisticados acessem suas contas, são os motivos pelos quais o Google introduziu nesta semana uma ampla distribuição de uma extensão do Chrome que foi lançada em fevereiro: Verificação de Senha.
Manter a segurança da sua conta pode ser uma tarefa árdua – quem tem tempo para verificar regularmente o Have I Been Pwned em busca de possíveis vulnerabilidades? – e o Google espera que eliminar as suposições de uma forte proteção de senha ajude a melhorar a segurança de seus usuários.
A Verificação de Senha funciona da seguinte forma: quando você faz login na sua conta – digamos, do banco ou Netflix – a extensão verifica essas credenciais com mais de 4 bilhões de nomes de usuário e senhas que foram expostos em uma violação de dados (que, infelizmente, são extremamente comuns), de acordo com o Google.
Caso a ferramenta identifique que essas credenciais de login foram expostas, ou se são particularmente fracas ou foram reutilizadas em outras contas, ela sinalizará um aviso para alterar sua senha.
A partir de quarta-feira (2), e como parte do Mês Nacional de Consciência em Segurança Cibernética, o Controle de Senha será incluído no Gerenciador de Senhas das Contas do Google dos usuários para permitir que eles executem uma verificação em suas credenciais com um clique – sem a necessidade de baixar a extensão. No final deste ano, ele será inserido diretamente no Chrome, permitindo que credenciais potencialmente problemáticas sejam sinalizadas em tempo real.
Antes de seu lançamento para um público mais amplo, o Google fez uma parceria com a Harris Poll para explorar os hábitos comuns de segurança de senha de 3.419 adultos dos EUA que colocam esses usuários em risco.
O que o Google descobriu foram alguns fatos “deprimentes” e “angustiantes” sobre protocolos de senha entre os americanos, disse Mark Risher, diretor de segurança de contas do Google, na semana passada, durante um evento para a imprensa na sede da empresa em Nova York. Por exemplo, quase um em cada quatro americanos usava senhas frequentemente sinalizadas como comuns e fracas (por exemplo, “111111”, “123456”, “Iloveyou” ou qualquer outra variação fácil de lembrar).
Sessenta e seis por cento dos entrevistados relataram usar a mesma senha para mais de uma conta, segundo a pesquisa da Harris, um hábito que pode comprometer várias contas simultaneamente, no caso de uma pessoa ser exposta a uma violação. Apenas 37% dos usuários usavam autenticação multifatorial, segundo a pesquisa, e apenas 15% usavam um gerenciador de senhas – duas medidas de segurança que são essenciais para uma boa manutenção das senhas.
Risher disse que os americanos tendem a categorizar suas credenciais em três camadas principais: altamente sensíveis (por exemplo, contas bancárias), médias (como email) e não importantes (Netflix, Seamless, etc.). Mas Risher acrescentou que somos péssimos nessa categorização – nossas palavras, não dele – e acabamos reutilizando senhas quando não deveríamos.
Em um mundo perfeito, todas as contas teriam uma senha longa e complexa que um usuário não se lembra nem precisa saber porque um gerenciador de senhas faz isso por elas, e essa senha só precisa ser alterada no caso de uma violação de segurança, conforme recomendado pelo Instituto Nacional de Padrões e Tecnologia. Mas como a segurança é frequentemente negligenciada em favor da conveniência, como sugere a pesquisa da Harris e como todos nós sabemos lá no fundo em nosso coração que é verdade, o Google está tentando intervir.
Por fim, o Google disse que está tentando refrear maus hábitos e informações erradas sobre protocolos de senha, como o equívoco de que escrever uma senha fisicamente é uma prática ruim. (De fato, como vimos recentemente, escrever senhas e armazená-las com segurança pode ser bastante eficaz na proteção contra invasores.)
Compartilhar credenciais para contas consideradas de baixo risco, como Netflix ou Hulu, também é ruim, principalmente caso a senha dessa conta seja semelhante ou igual à de outra conta. (De acordo com as descobertas da Harris Poll, 27% dos americanos tentaram adivinhar a senha de outra pessoa e, desse número, 17% o fizeram com sucesso).
Questionado pelo Gizmodo sobre como o Google reúne seu banco de dados de mais de 4 bilhões de senhas exclusivas, Risher disse que a maioria dessas informações é coletada pelo rastreamento da web aberta e de seu próprio mecanismo de pesquisa. Mas, assim como, digamos, a empresa do seu cartão de crédito, o Google também rastreia a dark web para procurar nomes de usuário e senhas expostos, de acordo com o diretor do Google.
Essa ferramenta visa mostrar comportamentos recorrentes, problemáticos ou de risco para pessoas que talvez ainda não estejam tomando as medidas necessárias para proteger os dados da conta. (Use um gerenciador de senhas logo!) Mas ainda pode ser útil para o especialista em segurança que já está tomando as medidas necessárias para proteger suas informações.
Se, por exemplo, as credenciais de login de uma conta antiga ou esquecida foram violadas e você de alguma forma não percebeu, o Verificação de Senha do Google pode lembrá-lo de atualizar o nome de usuário e a senha dessa conta. Além disso, ele também funcionará em conjunto com os gerenciadores de senhas que talvez você já utilize.
Para acessar a Verificação de Senha, basta acessar sua Conta do Google, ir para Segurança e depois para o Gerenciador de Senhas (na parte inferior da página). Ou, apenas clique aqui.