Tempos atrás, quando a internet era novidade, a senha mais popular era “12345”. Hoje, ela é um dígito mais longa, mas dificilmente mais segura: “123456”. Apesar de todos os relatos de brechas de segurança na rede nos últimos anos, incluindo os recentes ataques ao serviço de e-mail do Google, muitas pessoas reagiram às invasões com indiferença. Segundo o estudo recente, um em cada cinco usuários ainda usa o equivalente digital a deixar a chave da casa embaixo do capacho. Eles escolhem senhas simples e fáceis de adivinhar, como “abc123”, “iloveyou” ou até mesmo “password” (“senha” em inglês) para proteger os seus dados.

"Acho que deve ser uma falha genética da humanidade”, diz Amichai Shulman, chefe da área de tecnologia da Imperva, empresa que produz software para bloquear a ação de hackers. “Nós vemos os mesmos padrões desde os anos 90.” Shulman e sua equipe examinaram uma lista de 32 milhões de senhas que um hacker desconhecido roubou em dezembro da RockYou, uma companhia que faz aplicativos para redes sociais como Facebook e MySpace. A lista foi postada na web, e ficou brevemente no ar, o que permitiu que pesquisadores e hackers tivessem acesso a ela. (A RockYou, que já vinha sendo amplamente criticada por práticas relaxadas demais na proteção à privacidade, aconselhou seus clientes a mudar suas senhas, já que o hacker havia tido acesso também às contas de e-mail.) O incidente providenciou uma janela bastante detalhada dos hábitos dos usuários na criação de suas senhas. Em situações normais, apenas agências do governo americano, como o FBI ou a Agência Nacional de Segurança (NSA, responsável pelo monitoramento das comunicações digitais do próprio governo) têm acesso a listas tão grandes. “É a mãe de todas minas de dados”, diz Matt Weir, doutorando do laboratório de crimes digitais e investigação tecnológica na Florida State University, onde pesquisadores também estão examinando os dados.

A Imperva descobriu que aproximadamente 1% das 32 milhões de pessoas estudadas usavam a senha “123456”. A segunda mais popular as “12345”. Outras entre as 20 mais comuns incluíam “qwerty”, abc123” e “princess”. Mais perturbador ainda, diz Shulman, é o fato de que cerca de 20% dos usuários do RockYou escolheram senhas num conjunto relativamente pequeno de 5 mil palavras-chave.

Essa “coincidência” sugere que hackers poderiam facilmente quebrar a segurança de muitas contas apenas testando as senhas mais comuns. Com a prevalência de computadores rápidos e redes velozes, eles podem disparar centenas de tentativas por minuto. “Nossa tendência é pensar que adivinhar senhas é um ataque que consome muito tempo, tentando um grande número de combinações entre nomes e senhas”, diz Shulman. “A verdade é que você pide ser muito eficiente se escolher um pequeno número de senhas comuns.”

Alguns sites tentam atenuar os ataques congelando uma conta por um certo período caso muitas senhas incorretas se­­jam digitadas. Mas experts di­­zem que os hackers simplesmente aprendem a enganar o sistemas, fazendo tentativas em uma taxa aceitável, por exemplo. Outros, como o Twitter, impedem as pessoas de escolher se­­nhas óbvias. Ainda assim, dizem os pesquisadores, redes sociais e sites de entretenimento frquentemente tentam deixar a vida do usuário mais simples e relutam em colocar controles de­­mais. Mesmo sites comerciais, como a eBay, devem pesar as consequências do congelamento de contas – um hacker poderia, digamos, tentar vencer um leilão on-line congelando as contas de outros concorrentes.

O uso excessivo de senhas simples não é um fenômeno novo. Uma pesquisa similar examinou senhas de computador usadas em meados dos anos 90 e revelou que as mais populares naquela época eram “12345”, “abc123” e “password”. Por que, então, tanta gente continua a usar expressões fáceis, mesmo com tantas advertências em relação ao risco?

Experts em segurança sugerem que nós estamos simplesmente sobrecarregados pela enorme quantidade de coisas que temos de lembrar nessa era digital. “Hoje em dia nós temos provavelmente dez vezes mais senhas do que tínhamos há dez anos.”, diz Jeff Moss, fundador de uma conferência sobre haking que é agora membro do Conselho Consultivo de Segurança Doméstica – um órgão consultivo ligado ao ministério de Segurança Doméstica, criado pelo governo Bush depois dos ataques terroristas de 11 de setembro de 2001. “Senhas para correio de voz, código de segurança de caixas automáticos, senhas para a internet... é muito difícil lembrar-se de tudo”, comenta.

Em um mundo ideal, defendido pelos especialistas, as pessoas teriam senhas diferentes para cada website que visitam, e todas elas seriam guardadas no lugar mais seguro – as suas próprias cabeças. Se fosse absolutamente necessário, eles poderiam estar também em um pedaço de papel. Mas, curvando-se às necessidades de nossos superlotados cérebros, eles sugerem que cada um escolha pelo menos duas senhas diferentes. Uma delas seria mais complexa, para usar onde a segurança for vital, como bancos e e-mail; e uma mais simples, para lugares onde não há tanto a perder, como redes sociais e sites de entretenimento. Moss confia em senhas que tenham pelo menos 12 caracteres, observando que elas fariam do usuário um alvo mais difícil do que os milhões de pessoas que escolhem palavras de cinco ou seis toques. “É como aquela piada em que dois alpinistas fogem de um urso na floresta, e o que sobrevive é o que consegue ultrapassar o colega”, diz Moss. “Você só precisa ser um pouco mais rápido.”

Tradução: Franco Iacomini