Uma password deve ser tratada como a nossa escova de dentes: não deve ser partilhada e deve ser mudada de dois em dois meses. Esta é uma das mensagens que costumamos passar quando, em sessões públicas, pretendemos motivar a audiência para a importância das passwords como forma de proteção neste mundo digital em que estamos cada vez mais imersos.

Com efeito, muitos problemas de cibersegurança resultam de um uso descuidado dos meios de autenticação necessários para termos acesso a sistemas informáticos, designadamente passwords fracas, mal guardadas ou cedidas a terceiros.

A transformação digital a que vimos assistindo nos últimos anos veio introduzir alterações ao modo como fazemos muitas das nossas atividades. Algo que se tornou uma atividade frequente na nossa vida quotidiana é a nossa autenticação perante o mundo digital.

A autenticação pode ser feita segundo três paradigmas: algo que eu sei, algo que eu tenho ou algo que eu sou. O conhecido sistema de username/password (nome de utilizador/palavra-chave) insere-se no primeiro paradigma, algo que eu sei. Sei o meu username e a minha password e isso é a minha identidade no mundo digital.

Para podermos ter uma identidade segura, e já que o nome de utilizador que cada um usa é mais ou menos fácil de descobrir, devemos ter passwords fortes, devemos guardá-las com cuidado e devemos proceder à sua alteração com frequência. Dois em dois meses é uma recomendação comum. Para isso a password deve ser longa e não deve ser constituída por nomes comuns, como o nosso nome, de pessoas conhecidas ou de locais geográficos. Deve conter algarismos, caracteres alfabéticos maiúsculos e minúsculos e símbolos especiais (como @,#,=,$,%,&, etc.). Se escolhemos passwords fáceis de descobrir estamos a colocar em causa a nossa identidade digital. Hoje em dia há uma indústria do cibercrime que usa programas muito elaborados para descobrirem passwords, por tentativas e usando computadores rápidos e, assim, poderem aceder ilegitimamente aos sistemas onde nos identificamos digitalmente.

Também não devemos ceder a nossa identidade digital a ninguém, pois é algo que deve ser pessoal e intransmissível, como aliás está em todos os contratos de acesso aos meios digitais. Infelizmente não lemos com a atenção devida estes contratos e isso é um erro grave. Ou lemos e encolhemos os ombros em sinal de menosprezo por aquilo que assinamos.

Um outro meio de autenticação a que estamos muito habituados usa uma combinação dos paradigmas acima indicados e pode ser, em concorrência, o algo que eu tenho com o algo que eu sei. É o caso do uso dos cartões bancários onde tenho um cartão (o paradigma do algo que eu tenho) e insiro o meu PIN (algo que eu sei). Nos contratos a que nos vinculamos quando pedimos um cartão bancário reconhecemos que o cartão e o PIN são pessoais e intransmissíveis e não os devemos ceder a outros. Aqui também é preciso cuidado com eventuais roubos do cartão que podem trazer-nos prejuízos financeiros se tivermos um PIN fácil de adivinhar, tal como o ano em que nascemos, que é fácil de obter pelos gatunos caso nos tenham roubado a carteira com o cartão bancário e a nossa identificação. 

Aliás o uso combinado de autenticação por dois fatores está a ser cada vez mais vulgarizado, por exemplo no sistema bancário, onde para muitas transações para além do username/password (algo que eu sei) nos são ainda pedidos códigos adicionais contidos num cartão que eu tenho (normalmente designado por cartão matriz) ou então é-nos enviado um código para o nosso número de telemóvel registado. O telemóvel é algo que também eu tenho.

Uma outra situação em que a autenticação é concretizada com o paradigma do algo que eu tenho é quando vamos a uma consulta médica onde podemos ver que o terminal usado pelo/a médico/a tem ao lado um leitor onde está inserido o cartão de cidadão deste profissional de saúde. Algo que o médico/a tem. É um método de autenticação mais forte e deve ser usado sempre que possível.

O autor deste artigo escreve ao abrigo do novo Acordo Ortográfico.