Com o uso mais frequente de celulares e tablets com touchscreen, hackers têm observado padrões de digitação, para decifrar as senhas que utilizamos. Pesquisadores britânicos da Universidade Newcastle descobriram que, com apenas 5 tentativas, é possível decifrar em até 100% dos casos senhas de 4 dígitos, deixando todos os usuários bastante vulneráveis.
A coautora do estudo, Siamak Shahandashti, revelou como a forma com que mexemos no celular pode ser comprometedora: “Dependendo da forma como digitamos – se você segura o telefone em uma mão e usa seu polegar, se segura com uma mão e digita com a outra, se toca ou desliza – o aparelho vai ser inclinado em certa direção e é muito fácil identificar padrões associados com ‘assinaturas de toque’ que usamos regularmente”.
Os hackers obtêm essas informações a partir de 25 sensores diferentes instalados nos aparelhos, como GPS, câmera, microfone, acelerômetro, entre outros.
“Então, cada sensor interno oferece uma parte diferente do quebra-cabeças”, explica Siamak, mencionando que qualquer movimentação que fazemos com o celular pode indicar um padrão para roubo de senha.
“Apps e websites não precisam pedir permissão para acessar a maioria desses sensores”, disse à BBC Maryam Mehrnezhad, principal autora do estudo. Assim, “programas maliciosos podem ‘ouvir’ secretamente os dados colhidos pelos sensores e usá-los para descobrir uma ampla gama de informações confidenciais sobre você, como horários de ligações telefônicas, atividade física e até todas as teclas que você pressionou, senhas e códigos”.
Hackers podem roubar minha senha?
Em entrevista ao Vix, o especialista em segurança digital Tiago Prado, da empresa de soluções digitais DasBlick, disse que é possível, sim, conseguir uma senha de 4 dígitos a partir de uma combinação de informações coletadas.
“Porém, na prática, são poucas as aplicações que ainda utilizam somente números como senha. Em sua grande maioria, já se usa mais de 4 dígitos, então esse perigo não é tão grande assim”.
Prado sugere uma simulação para entender essa lógica: “Imagine que para combinar as informações dos sensores para obter uma senha de 4 dígitos numéricos seja necessário 10 minutos de processamento, utilizando um PC com processador core i7 com 8GB de memória RAM e 500GB de HD”.
Um equipamento como este tem preço médio de R$ 2 mil, o que já indica um custo elevado.
Prado explicou que a quantidade de informação multiplica quando se quer descobrir uma senha acima de 5 dígitos, por exemplo.
Colocando nesses termos, seria necessário um processador que tivesse pelo menos 16 GB de memória RAM – algo de difícil acesso e muito caro. “Para uma senha de 14 caracteres, por exemplo, usando letras maiúsculas, minúsculas, números e caracteres especiais, esse mesmo PC levaria algumas centenas de anos processando informação”, explica Prado.
Portanto, trata-se de uma questão lógica e econômica. “Uma solução seria utilizar um computador mais potente, mas isso exigiria um alto investimento em hardware. Esse alto investimento compensaria para conseguir senhas? Provavelmente não”, sintetiza o especialista.
Senha do banco no celular
No caso dos aplicativos de banco, geralmente eles pedem o que Prado chama de “segunda camada de autenticação”, como um ‘token’ ou uma senha por SMS. Isso, por si só, dificulta ainda mais o trabalho dos hackers de ter acesso à sua conta bancária.
“O ‘token’ gera um código numérico temporário baseado em um algoritmo. Em teoria é possível decifrar o código do ‘token’ se for conhecido o algoritmo e se tiver uma amostra de códigos”, explica Prado.
“Para isso, seria necessário coletar a digitação do código do ‘token’ por algumas vezes. É importante mencionar que isso seria um processo bastante complexo, trabalhoso e custoso. Na prática, essa segunda camada de autenticação reduz muito o risco de problemas”.
Como se proteger?
A melhor forma de impedir que hackers cheguem às suas senhas é criar padrões difíceis, com mais de 8 caracteres, incluindo letras maiúsculas, minúsculas, números e caracteres especiais (como %&$#;).
“Também é importante usar senhas que não sejam palavras ou frases que façam sentido. Por exemplo, uma senha ‘Jesus’ é muito fácil de ser quebrada, enquanto uma senha ‘G-zuis’ é mais difícil”, recomenda Prado.
O especialista também aconselha a alterar essas senhas periodicamente. “A maioria das pessoas ainda está completamente alheia às questões mais básicas relacionadas à segurança da informação.
É preciso conscientizar as pessoas do básico antes de se falar de conceitos mais complexos”, conclui.