Segurança
da informação é mais que um
simples tópico de conversação:
é um importante ramo do conhecimento. Há
centenas de livros publicados sobre o assunto, milhares
de artigos técnicos, dezenas de milhares
de teses e monografias. Todos discutindo aspectos
altamente complexos como implementações
de criptografia, firewalls, o diabo. Ocorre que
nenhuma cadeia é mais forte que seu elo mais
fraco. E, no caso da segurança da informação,
qual seria o elo mais fraco?
Amanhã, no Grand Hall Olympia, Londres, começa
a Infosecurity Europe 2004, nona edição
do mais importante evento sobre segurança
da informação da Europa que se estenderá
até a próxima quinta-feira e espera
receber dez mil participantes para assistir mais
de 65 seminários e palestras e visitar cerca
de 250 estandes de empresas especializadas no assunto
(saiba mais em <www.infosec.co.uk/>).
Entre os preparativos para o evento, seus organizadores
efetuaram uma pesquisa sobre segurança cujos
resultados foram divulgados semana passada. Uma
idéia simples, porém criativa: um
grupo de pesquisadores abordava transeuntes, perguntava
se eram empregados de escritório com acesso
à rede corporativa de suas empresas e, caso
positivo, indagava se estariam dispostos a participar
de uma pesquisa. A primeira pergunta feita aos que
acederam foi se forneceriam sua senha em troca de
uma barra de chocolate.
Foram entrevistados 172 passageiros que transitavam
pela estação Liverpool Street do metrô
de Londres. Surpreendentemente, 37% aquiesceram
sem mais delongas, forneceram a senha imediatamente
e fizeram jus a seu chocolate. Já 34% hesitaram,
mas foram persuadidos a ceder diante do convincente
argumento dos pesquisadores que “provavelmente
seria o nome de seu animal de estimação
ou de seu filho”. No total, 71% (quase três
entre cada quatro entrevistados) forneceram a senha.
Alguns explicaram como ela foi gerada: o nome do
clube de futebol pelo qual torciam, a marca de seu
carro ou o nome de um parente ou amigo (a maioria).
A senha mais comum foi “admin”. Um entrevistado,
que tinha acesso a um sistema que o obrigava a alterar
a senha mensalmente, declarou que no início
isso o incomodava, mas acabou por engendrar um método
mnemônico à prova de falhas: usava
sempre o nome da mulher seguido dos dois dígitos
correspondentes ao mês corrente. Algo tão
infalível quanto inseguro...
Em média cada entrevistado usava quatro senhas
em suas atividades diárias (um dos entrevistados,
administrador de sistema, era obrigado a manter
quarenta delas). A maioria deplorou a enfadonha
obrigação de decorar tantas e mostrou
clara preferência por métodos biométricos
de autenticação de usuário,
como impressões digitais e formato da mão
ou ainda o uso de cartões de identificação
inteligentes (“smart cards”). Mas todos
concordaram com o fato de que ter que decorar senhas
era uma obrigação desagradável
e tediosa.
Nessa altura dos acontecimentos, será que
ainda é preciso explicitar qual é
o elo mais fraco da corrente de segurança
corporativa de dados?
Ou é o elemento humano ou a maioria dos entrevistados
de Londres era composta por chocólatras...
