O Capacete de bicicleta e a autenticação em duas vias no celular: Porquê você não está tão seguro quanto pensa
Eu fui roubado na última sexta. Levaram meu celular na frente do escritório enquanto estava pedindo um Uber, um sujeito de bicicleta.

Reagi com tranquilidade, pensando que é fácil comprar um novo e seguir a vida. Pensei que iam desmontar o telefone e vender as peças, que é o que se ouve por aí. Achei um telefone fixo, pedi para minha companheira bloquear o telefone no Find my iPhone e fui na TIM mais próxima bloquear o chip e comprar um novo.
Só que, como o sujeito pegou o telefone ainda desbloqueado, ele fez um estrago na minha presença digital. O celular é o centro de segurança para autenticações então com acesso a ele se pode desbloquear e trocar as senhas de quase tudo.
Em 20’, antes mesmo de eu conseguir chegar na TIM, ele já tinha desbloqueado o telefone na Apple e acessado a minha conta corrente. Fez um buraco razoável com 5 transações financeiras, nem sei como que conseguiu autenticar. Duas horas depois, quando eu finalmente tinha um novo celular com chip novo, recebo um SMS nervoso dizendo que estava no cheque especial.
Gastei varias horas nesses dias (sendo 6 em uma delegacia para conseguir fazer um BO simples) consertando tudo isso, e me tornei rapidamente um neurótico por senhas.
Qual a relação disso com o capacete de bicicleta? Pessoas de capacete comprovadamente correm mais riscos. É por conta disso que na Holanda, onde a velocidade média na bicicleta é de 10km/h, ninguém usa. O capacete causa uma falsa sensação de segurança. Ah, tranquilo, não vou morrer porque estou com esse pedaço de isopor em uma parte do meu cérebro. Marketing com cores brilhantes.
A mesma coisa acontece com nossos aplicativos de celular. Estão todos passando a mensagem de que “faça isso que estou mandando, e ficará mais seguro”. Coloque o número do celular, outro app para autenticação, use o Facebook para login.
Com isso, ficamos mais complacentes com o que realmente importa: sua senha é única? É recente? Com tantos vazamentos na internet, será que não é fácil descobri-la? Gastamos tanto tempo em decorar uma senha com 8 dígitos, letras, maiúsculas, números e caracteres especiais que esquecemos do mais importante: ela é única? Você vai lembrar dela sem anotar? Ela é nova?
Então, escrevo isso como aprendizado, para desopilar, e para avisar sobre algo que pode acontecer com qualquer um. E quanto mais você conhece do mercado e da Internet, mais você se sente protegido sem proteção.
De agora em diante, seguirei esses princípios:
- Senhas que são capazes de autenticar você em outros lugares devem ser únicas. (Celular, Email, Facebook, Google)
- Senhas de autenticação financeira devem ser trocadas anualmente, e não devem reaproveitar partes de outras senhas. Isso vale ainda mais quando são múltiplas senhas na mesma instituição. Não crie apego emocional pelas senhas…
- Senhas de lugares sem consequência podem ser simplificadas e não precisam ser únicas. (Aquele site que ainda precisa de senha, por exemplo)
- Cuidado com gerenciadores de senha, se o acesso for conseguido todo o castelo cai.
- Segurança em duas vias é importante mas não resolve. Tente fazer cruzando devices que não estejam com você na hora de um roubo potencial.
- Só mantenha aplicativos no celular que você use constantemente.
É isso aí. Que o que aconteceu comigo possa ensinar alguma coisa para os outros.
