CONTAS E SENHAS

A conta de e-mail de uma organização corporativa ou de um usuário do e-mail da organização, também chamado de ―nome de login‖ e username, corresponde a identificação única de um usuário em uma conta de e-mail. É por meio das contas de usuários que é possível identificar unicamente cada usuário, destinar cada e-mail ao departamento de destino na organização e controlar as perdições de acesso. O exemplo é uma organização com vários departamentos como financeiro, administrativo etc., e para cada departamento um e-mail especifico como [email protected]. (CGI.br, 2012).

A conta de acesso de e-mail é de conhecimento geral e é o que permite a identidade do usuário do e-mail. Ela é, muitas vezes, derivada do próprio nome do usuário ou departamento da organização corporativa o que garante que ela seja usada apenas por quem é de origem e, por mais ninguém, é que existem os mecanismos de autenticação.

Como se apresenta no subcapítulo Conceito de segurança da informação, a autenticidade de uma conta é usada no processo de verificação da identidade, assegurando que o usuário é realmente quem diz ser e que possui o direito de acessar o recurso em questão. O mecanismo de autenticação tem três grupos básicos: o que utiliza o que você é como informações biométricas sendo elas a palma da mão, impressão digital. A voz ou o olhar, os dados no qual somente o usuário possui como o cartão de senhas bancárias e, finalmente, o que é de acesso de muitas contas de e-mail, que são aquilo que somente o usuário sabe como perguntas de segurança e suas senhas.

Segundo Ximenes (2000), senha é um gesto, um sinal ou fórmula convencionada para indicar que está a par do segredo de certa ação. Para o Comitê Gestor da Internet no Brasil (2012), senha, ou password, serve para autenticar conta e é um dos principais mecanismos de autenticação usados na Internet devido à praticidade que possui.

Em organização corporativa, a segurança de senha de acesso à conta de e-mail garante confidencialidade, integridade e autenticidade, já que é um local onde se tem muitas informações sigilosas.

A grande maioria de usuários de contas de e-mail pessoal ou de contas organizacional usam senhas de fácil acesso, já que nos dias atuais utilizamos senha para a maioria dos acessos, seja no cartão de credito, no celular, entre outros, o que facilita o uso da mesma senha para diferentes acessos e muitas dessas senhas se referem a uma data comemorativa ou ao próprio número de celular.

Quando a organização passa a senha de acesso, significa que geralmente o administrador também tem acesso e, quando se pede ao usuário para reformular uma senha que não seja de fácil acesso e que não seja óbvia, a probabilidade deste usuário guardá-la em algum dispositivo ou escrita em algum local do escritório, se dá o risco de acesso a pessoas não autorizadas a ler os e-mail, enviar mensagens de spam ou contendo phishing, furto da lista de contatos entre outros dados, colocando em risco a reputação do usuário diante da organização e dependendo os dados da própria organização corporativa.

2.3.1 Gerenciamento de senha

Alguns cuidados devem ser tomados, desde a elaboração da senha até sua alteração, uma senha forte, por exemplo, é aquela que é de difícil descoberta e a fácil de ser lembrada. (CGI.br, 2012).

A CGI.br (2012) especifica algumas sugestões de senhas boas e bem elaboradas para o usuário criar sua senha segura e fácil de memorizar, entre elas estão:

o não utilizar dados pessoas – Nome, sobrenome, número de documentos, placas de carros, datas comemorativas (pois essas informações podem ser facilmente obtidas e usadas por pessoas de mal-fé);

o não utilizar sequências de teclado – Exemplo 12345 ou lqaz2wsx, pois podem ser facilmente observadas ao digitar e são velhas conhecidas do invasor;

o não utilizar nomes de listas favoritas ou repetições de digito ou letra – Evite o nome do seu time favorito, do departamento em que trabalha na organização, ou ainda a repetição D1D2D5, pois já existem programas de quebram senhas combinando e testando palavras;

o utilizar diferentes caracteres – Misturando letras, números, caracteres maiúsculos e minúsculos, quanto mais ―bagunçado‖ for a senha mais difícil será descobri-la.

Nakamura (2007) especifica, em seu livro Segurança de redes, algumas outras sugestões de senhas seguras como:

o redefinir senhas periodicamente;

o nunca escrever a senha ou guardá-la em algum lugar ou até mesmo contá-la a alguém;

o utilizar senhas práticas de fácil digitação.

Além do usuário da organização tomar todos esse cuidados na elaboração de sua senha, ele deve sempre se certificar que não tem ninguém o observando quando ele for acessar à conta de e-mail. O usuário não deve fornecer a senha para qualquer outra pessoa, em hipótese alguma, quando o usuário sai de férias ou algo parecido, o próprio e-mail tem um serviço que direciona o e-mail a outra pessoa responsável e envia também ao remetente de uma mensagem recebida durante esse período, informando, que, por exemplo, ele está de férias retornando em um determinada data e que se a mensagem deve ser enviada ao usuariotal@host, caso o assunto seja urgente. (NAKAMURA, 2007).

Outro assunto importante é certificar-se que realmente saiu da conta de e-mail. Use a opção de sair (login), pois, dessa forma, o usuário evita que as informações sejam manipuladas e alterar senhas sempre que julgar necessário.

2.3.1.1 Alteração de senhas

O usuário da conta de e-mail da organização deve fazer a alteração de senha imediatamente sempre achar necessário ou desconfiar que ela pode ter sido descoberta ou que o computador utilizado tenha sido invadido ou infectado.

Segundo o CGI.br (2012), que trata muito bem esse conteúdo, especifica algumas situações em que o usuário ou a organização deve alterar sua senha de acesso à conta de e- mail rapidamente, são elas:

o se o computador onde a senha esteja armazenada tenha sido furtado, pois, em alguns casos o usuário grava o seu login e senha ao acessar à conta e esses dados são armazenados no cookies que podem ser indevidamente coletados, permitindo que outra pessoa se autentique pelo usuário;

o se o usuário utilizar a mesma senha em mais algum lugar que dá acesso a qualquer informação da organização e desconfiar que ela tenha sido descoberta em alguns desses lugares, a senha deve ser alterada em todos os lugares no quais era usada.

Segundo Nakamura (2007), na forma de assegurar a confidencialidade, é importante que a organização tenha uma política de senha, incluindo a alteração regular dessas senhas, não tem como definir um período ideal para a troca de senha no acesso a conta de e-mail, isso vai depender diretamente de quanto ela é boa e quanto o usuário se expõe.

Para a organização, isso vai depender de cada caso, pois períodos muito longos (mais de uma ano) podem causar grandes dados, caso a senha tenha sido descoberta.

O usuário, ao alterar a senha, não deve reutilizar senhas, pois acessar deferentes contas com a mesma senha pode ser bem arriscado.

O usuário ou a organização não deve deixar que seus usuários salvem a senha de acesso da conta de e-mail no navegador Web, pois essa prática coloca em risco a organização, caso a senha não esteja criptografada com uma chave mestre, como vimos na subseção 3.7.1, elas podem ser acessadas por códigos maliciosos ou atacantes de mal-fé, tornando a conta de e-mail mais uma vez vulnerável. (NAKAMURA, 2007).

2.3.1.2 Recuperação de senhas

A organização deve manter uma boa política de senha, pois, além de auxiliar na escolha de uma senha segura, ela garante que as informações secretas da organização não sejam descobertas, reduzindo custos e aumentando a produtividade do usuário. (NAKAMURA, 2007).

Quantos usuários de conta já esqueceram a senha, mesmo que a organização junto ao usuário tome os cuidados para elaborar a senha de acesso, mesmo utilizando mecanismos de gerenciamento, podem ocorrer, por inúmeros motivos, do usuário perder a senha. (CGI.br, 2012). Restaurá-la em algumas contas de e-mail é fácil, já que alguns provedores disponibilizam recursos como:

o permitir que a organização ou o usuário responda uma pergunta de segurança previamente definida pela organização ou o usuário;

o recuperar senhas, enviando a senha, atual, ou uma nova, para o e-mail de recuperação previamente definido pela organização ou usuário;

o confirmar dados cadastrais, como data comemorativa, país de origem, números de documentos, etc.;

o apresentar uma dica de segurança previamente estabelecida pela organização ou usuário;

o enviar uma mensagem de texto para um número de celular previamente cadastrado pela organização ou usuário.

Todos esses recursos, segundo a CGI.br (2012), podem ser de fácil acesso e muito útil, desde que a organização e o usuário os utilizem cuidadosamente, pois, assim, como permitiu que eles recuperem o acesso , também, pode permitir que o atacante que queira usar a conta da organização ou do usuário tome a mesma atitude.

No entanto, sempre que for necessário utilizar a recuperação de senha, a organização assim como seu usuários deve tomar cuidados como:

o cadastrar dicas de segurança vagas, para que ninguém além da organização ou usuário consiga entendê-la;

o ao usar as redes sociais, a organização e o usuário devem tomar cuidado com as informações disponibilizadas, pois podem ser usadas por atacantes para tentar confirmar dados, descobrir dicas e responder perguntas de segurança;

o ao receber senhas por e-mail, a organização deve alterá-las o mais rápido possível, o mesmo a organização deve solicitar ao usuário que esqueceu sua senha, já que muitos dos provedores enviam as senhas em texto claro, ou seja, sem usar nenhum tipo de criptografia;

o a organização deve cadastrar um e-mail de recuperação que vá direto para o departamento de TI ou do administrador, para não ter problema de esquecer esta senha também, assim fica mas fácil o gerenciamento de acesso as contas de e-mail e a frequência com que acontecem os esquecimentos de senha, podendo, assim, gerar novas políticas de senha.