Senha: Abc123

O maior furto de diamantes de que se tem conhecimento aconteceu em um fim de semana discreto. Sem vítimas, sem armas, sem violência e praticamente sem pistas, os ladrões entraram em um prédio cercado de policiais, câmaras e bloqueios de acesso sem deixar registro.

O cofre, à prova de bomba, tinha sensores de calor e movimento, trancas magnéticas, chaves articuladas e senhas complicadíssimas. Seria intransponível não fosse por um fator: o humano.

Analisadas em retrospecto, suas falhas eram óbvias. O cofre ficava em um prédio que alugava escritórios sem grande questionamento, as câmaras de vigilância registravam imagens em fitas guardadas em uma estante, os sensores estavam desatualizados e uma das garagens dava para uma saída fora da vigilância policial.

Para piorar, os vigias guardavam as duas partes da chave do cofre juntas em um armário próximo, e a senha, raramente trocada, estava anotada em um papelzinho. Por mais que sejam surpreendentes, falhas como essas não têm nada de raro.

Ao redor do mundo, guardiões de tesouros diversos tendem a confiar demais em seu esquema de segurança. Para os ladrões, basta um pouco de criatividade, paciência e perseverança.

Na Economia da Informação poucos valores têm a importância dos dados pessoais. Com as chaves certas é possível movimentar fortunas, vigiar ações, destruir legados, copiar pesquisas e sabotar mercados. Financiado por narcotráfico, guerrilha, contrabando e outras indústrias escusas, o hacking não é mais uma brincadeira fútil de adolescentes em seus PCs. Munidos de ferramentas sofisticadas de hardware e software, mas também de aparelhos insuspeitos como celulares com câmaras e antenas bluetooth, cibercriminosos vagueiam livremente pela internet, à espreita de sua próxima vítima.

De nada adianta guiar um carro blindado com a janela aberta. É surpreendente o número de usuários de celulares, tablets e notebooks que saem à rua com seus equipamentos desprotegidos, armazenando neles dados e senhas preciosos. Ou os leva para assistências técnicas baratinhas e suspeitas, abandonando-os por horas ou dias. Não se pode esperar eficiência na segurança de máquinas, redes e serviços de comércio eletrônico quando se deixa a porta aberta. Ou, pior, a chave na porta.

Por uma mistura de praticidade e preguiça, muitos usam a mesma senha para serviços de todos os tipos, permanecendo com ela por muitos anos. Para que não seja esquecida, ela normalmente consiste de números óbvios, como o da carteira de identidade ou CPF, facílimos de se encontrar em qualquer busca na rede. Outros dados comuns são datas de nascimento de membros da família, expostas no Facebook junto a apelidos, nomes de bichos de estimação, times de futebol, hobbies e preferências diversas.

Há senhas de obviedade ululante: nomes de celebridades, atletas e carros; filmes, atores e personagens; brincadeiras de teclado (como QWERTY, ASDFGH, QAWSED); sequências numéricas como 123456 e 7777777; nomes próprios e suas variações (como M@ri@); padrões de sistema como Admin e Default; ícones religiosos; referências nerd como matrix, NCC-1701 ou personagens de games e quadrinhos; o nome do site acessado (usar a senha "GMail" para acessar o GMail, incrível); além das criativíssimas "password", senha123, Abc123 e Teste123.

Nos dispositivos móveis, quando há proteção, raramente ela escapa de quatro números iguais, data de nascimento ou --pior-- a senha do cartão do banco.

Soma-se a isso o mau hábito de armazenar dados, telefones, endereços e até o número do cartão de crédito no browser (ou, pior, em um caderno), e o desastre estará encaminhado. Mesmo os mais conscientes correm o risco de murmurar a senha alto enquanto ela é digitada, acessar pontos gratuitos de rede cuja origem não seja identificada ou ter a tela de seu notebook fotografada por um celular.

Como a ingenuidade com relação à segurança dos dados é muita, a tentação é grande. Por mais que seja improvável a invasão a serviços de grande porte como Amazon, Google, Twitter, Facebook ou o do seu banco, de nada adianta o cuidado se a mesma senha for compartilhada com cadastros de serviços obscuros ou descontinuados.

Os principais métodos usados por invasores são os de codificação por força bruta (que tenta diferentes combinações de caracteres, ideal para senhas curtas) e por dicionários (que testam as palavras mais utilizadas e suas variações). Quanto mais complexa for a senha, menos previsível ela será e mais difícil será a invasão. Por mais que seja chato, é preciso usar letras, números e caracteres especiais nas senhas, tornando-as longas e pouco óbvias. E trocá-las o tempo todo. Mesmo que essa prática não impeça um ataque direcionado, ela pode torná-lo tão trabalhoso a ponto de fazer o invasor perder o interesse.

Como em qualquer crime, o roubo de dados pode parecer algo remoto. Até que seja tarde demais.