Hackers podem usar tática para invadir e-mails e outras contas. Participe da coluna enviando perguntas sobre segurança na web

O G1 publicou na semana passada uma notícia sobre a invasão do Twitter realizada por um hacker francês. O mais interessante sobre o caso é que o ataque foi possível graças ao recurso de ?resposta secreta?, usado para recuperação de senhas. O malfeitor conseguiu descobrir a resposta para o acesso à conta Yahoo do funcionário do Twitter, resetou a senha e, entre as mensagens na conta de e-mail, encontrou as informações para acessar a administração do serviço de microblog.

No ano passado, a mesma função de recuperação de senha do Yahoo foi usada para invadir a conta de e-mail da candidata derrotada à vice-presidência dos Estados Unidos Sarah Palin. O invasor conseguiu achar a resposta ?secreta? para a pergunta configurada por Palin com uma simples pesquisa na web.

Em janeiro de 2005, a vítima foi a socialite Paris Hilton. Hilton configurou o nome do seu cão como resposta para resetar a senha no site da operadora de telefonia móvel T-Mobile. A invasão deu acesso às mensagens do celular da socialite.

Não é difícil perceber que a ?resposta secreta? é, na maioria das casos, simplesmente uma má ideia. Entenda por que na coluna de hoje, e saiba como não depender de uma ?resposta? secreta para recuperar sua senha.

Por que respostas secretas são inseguras

É importante não confundir as respostas secretas com frases secretas (?passphrases?). As respostas secretas são comumente configuradas no cadastramento de uma conta em um serviço na internet para serem usadas como forma de recuperação (?reset?) da senha no caso de esquecimento. As frases secretas são apenas senhas longas.

Quando possível, a resposta secreta tem sido substituída pelo envio de e-mail. O internauta clica no botão para recuperar a senha e um e-mail é enviado, já contendo a senha (em sistemas menos seguros) ou com uma solicitação de confirmação para redefinir a senha (em sistemas com segurança melhor).

Porém, um serviço de e-mail não pode depender de outro endereço de e-mail. É preciso que um mecanismo alternativo exista; senão, será um problema de causa e consequência circular, ou seja, ?ovo e galinha?. Qual e-mail será usado para recuperar a senha se você não tem nenhum endereço ainda?

As respostas secretas nem tentam ser seguras. Muitas vezes não é possível configurar a pergunta, o que obriga o usuário a responder a uma das poucas questões disponíveis no cadastro. Essas ?perguntas? são normalmente pessoais e com respostas fáceis de lembrar ? ?qual o nome do seu primeiro professor?, ?qual sua cor favorita? ? justamente aquilo que não funciona como senha.

Se algo não é indicado nem para o uso como senha, por que seria adequado para resetar por completo a mesma? Conveniência. A resposta secreta é apenas um meio barato (e extremamente inseguro) de cortar custos no atendimento aos clientes.

Vale mencionar que cada vez mais temos nossas informações pessoais publicadas na internet. Temos blogs e perfis em redes sociais. É possível até mesmo identificar quem são os nossos amigos. Um indivíduo mal-intencionado pode facilmente descobrir algumas respostas apenas pesquisando, ou ainda entrar em contato com conhecidos para extrair outras informações e então obter a resposta necessária. Não são apenas famosos que estão vulneráveis, embora eles sejam os alvos mais comuns.