Um especialista em segurança informática, Wing Hao-zheng, aceita uma entrevista com o Boon para partilhar como é que os «cibercriminosos» roubam palavras-passe da rede!

Especialista em segurança informática Weng Hao-zheng aceita uma entrevista com Bo-en e procede a uma análise aprofundada dos actuais problemas de segurança cibernética. Weng Hao-zheng afirma que, com a popularização da inteligência artificial, os hackers já conseguem utilizar ferramentas de automatização para descobrir a lógica e o contexto do pensamento humano e invadir contas, o que coloca as noções tradicionais de defesa em segurança cibernética perante um desafio severo. Ele afirma que a complexidade das palavras-passe já não é importante; o ponto é ser suficientemente “especial”. E, segundo ele, a medida de defesa que até agora tem sido mais útil é usar ferramentas de gestão de palavras-passe com “biometria” ou “encriptação”.

As lâmpadas inteligentes também se vão tornar armas para atacar países?

Num ambiente em que a Internet se tornou amplamente difundida, dispositivos domésticos como lâmpadas inteligentes podem também tornar-se um “ponto de apoio” para os hackers lançarem ataques informáticos em larga escala. Se os utilizadores não alterarem as palavras-passe predefinidas ou utilizarem palavras-passe fracas como “12345678”, os hackers conseguem obter facilmente o controlo através de ferramentas de varrimento automatizadas.

Uma vez que o controlo seja tomado, os hackers não atacam apenas o próprio dispositivo; utilizam-no como base, ocultando a identidade real, para então lançar ataques a alvos importantes como instituições de defesa ou organismos governamentais. Este procedimento fará com que, quando as autoridades de aplicação da lei investigarem os rastos digitais, a investigação aponte directamente para o endereço IP do detentor desse dispositivo de Internet das Coisas, tornando o cidadão comum, involuntariamente, num bode expiatório para as acções do hacker. Como a maioria dos utilizadores não tem cautela quanto à segurança deste tipo de dispositivos domésticos, os dispositivos domésticos inteligentes tornaram-se actualmente um caminho de ataque com uma elevada capacidade de ocultação nos crimes informáticos.

Quanto mais longa for a palavra-passe predefinida, mais avançado e seguro é o sistema!

Weng Hao-zheng critica os sistemas tradicionais de segurança cibernética, especialmente as normas como “alterar regularmente as palavras-passe” ou “incluir obrigatoriamente caracteres especiais”. Ele sublinha que a “extensão” das palavras-passe e a sua “imprevisibilidade” são mais eficazes do que a actual defesa contra os ataques de hackers. O comprimento de palavra-passe recomendado de momento deve situar-se entre 14 e 20 caracteres, ou então usar frases longas em combinação. Se se tratar de um site da era da Internet antiga, os engenheiros limitavam-se a definir a palavra-passe predefinida dentro de 8 caracteres. Quando os utilizadores adoptam padrões fáceis de prever, por exemplo acrescentar um ponto de exclamação de forma incremental no final da palavra-passe original, isto quase não tem capacidade defensiva perante as técnicas modernas de quebra. A principal razão é que os hackers conseguem compreender a lógica dos utilizadores por outras vias; por exemplo, usando apenas 1234567 e acrescentando um símbolo especial, torna-se fácil de calcular.

Ferramentas de gestão de palavras-passe e autenticação multiidentidade podem equilibrar conveniência e segurança

Para proteger contas pessoais, os especialistas defendem o uso de ferramentas de gestão de palavras-passe (Password Manager) e autenticação multi-factor (Multi-Factor Authentication, MFA). As ferramentas de gestão de palavras-passe conseguem gerar milhares de conjuntos de palavras-passe independentes e aleatórias para contas diferentes, evitando o efeito em cadeia que ocorre quando uma única conta é comprometida. Embora hackers de nível avançado possam tentar contornar a autenticação com vários factores, para bloquear ataques automatizados de SIM Swapping “troca de SIM” ou de phishing accionado por IA, a autenticação multi-identidade continua a ser, até agora, o meio mais eficaz para equilibrar conveniência e segurança.

A exaustão mental também causa vulnerabilidades

Enquanto a tecnologia de segurança cibernética continua a evoluir, a negligência humana causada pela exaustão mental permanece como a maior vulnerabilidade. Nos últimos anos, tem-se observado o Push Fatigue Attack “ataque por fadiga de notificações”, que consiste em utilizar hackers para enviar continuamente um grande número de pedidos de verificação de login, tentando fazer com que a vítima, num estado de impaciência ou distração, clique de forma automática em “Concordar” ou “Permitir”. Este tipo de ataque, direccionado às características do comportamento humano, mostra que apenas a defesa técnica não é suficiente.

Ao gerir riscos digitais, os utilizadores devem ter consciência clara. Para contas com maior importância (como bancos online ou correio electrónico), é necessário aplicar as definições de segurança do nível mais alto, em vez de colocar todos os serviços no mesmo patamar de protecção. Os especialistas lembram que existe inevitavelmente uma troca entre segurança e conveniência; a maior ameaça costuma surgir da negligência nas definições do dispositivo ou da dependência excessiva dos processos de operação. Estas fraquezas humanas são o ponto mais fácil de ser ultrapassado por ferramentas de automatização.

Como escolher uma ferramenta de gestão de palavras-passe

De momento, existem várias soluções de gestão de palavras-passe no mercado, incluindo aplicações independentes (como 1Password) e funcionalidades integradas no navegador para armazenamento (como as ferramentas integradas no Google Chrome ou no Firefox). Embora as ferramentas de gestão do navegador ofereçam uma conveniência elevada, se alguém obtiver o controlo físico do computador, existe o risco de fuga das palavras-passe. As ferramentas profissionais de gestão de palavras-passe exigem apenas que o utilizador se lembre de um único conjunto de credenciais forte, a Master Password “palavra-passe mestre”; o resto dos complexos processos de encriptação fica a cargo do software.

Além de guardar palavras-passe, estas ferramentas têm vantagens evidentes na defesa contra phishing (Phishing) na Internet. Quando o utilizador introduz por engano um site fraudulento ou uma página de phishing, a ferramenta de gestão de palavras-passe recusará inserir automaticamente as credenciais devido à não correspondência da URL; isto consegue evitar, de forma eficaz, a divulgação de dados pessoais causada pela incapacidade do utilizador de identificar falsificações de endereços apenas a olho nu. Os especialistas sublinham que, independentemente da aplicação de gestão escolhida, desde que seja de boa reputação, a sua segurança é muito superior ao hábito antigo de reutilizar o mesmo conjunto de palavras-passe simples em vários sítios.

Este artigo: O especialista em segurança informática Weng Hao-zheng, aceite entrevista com Bo-en, partilha como “hackers” irão roubar palavras-passe da Internet! Apareceu pela primeira vez em Cadeia Notícias ABMedia.