E há também o resto de nós, aqueles que selecionam senhas curtas, conhecidas e fáceis de lembrar. E as mantêm para sempre.

No passado eu me sentia envergonhado por não respeitar as normas de seleção de senhas - mas isso passou. Os especialistas em segurança da computação dizem que escolher senhas difíceis de adivinhar na verdade propicia pouca segurança. As senhas não nos protegem contra roubo de identidade, não importa o quanto sejamos espertos ao selecioná-las.

Esse seria o caso mesmo que respeitássemos mais as instruções. Pesquisas demonstram que temos muito apego a velhos favoritos como "123456", "senha" e "queroentrar". O problema subjacente, porém, não está em sua simplicidade, mas no procedimento mesmo de acesso, sob o qual vamos parar em uma página de web que pode ou não ser aquilo que diz, e digitamos uma série de caracteres para autenticar nossa identidade (ou usamos nossos software de administração de senhas para fazê-lo em nosso lugar).

Esse procedimento, que agora nos parece perfeitamente natural porque fomos treinados a fazê-lo por meio de incessante repetição, é uma má idéia, que nenhum especialista em segurança que eu tenha consultado se dispôs a defender.

O acesso por senha é suscetível a ataques de diversas maneiras. Considerem uma única delas, a dos praticantes do phishing, que iludem usuários e nos levam a visitar sites que imitam sites legítimos a fim de recolher nossas informações de conexão. Assim que somos atraídos a um desses sites e nossa senha é recolhida, ela pode ser tentada em outros sites.

A solução recomendada pelos especialistas é o abandono das senhas - e a adoção de um modelo fundamentalmente diferente, no qual os seres humanos teriam pouco ou nenhum papel a desempenhar. Em lugar disso, máquinas estabeleceriam uma conversação cifrada que determinaria a autenticidade de ambas as partes, usando chaves digitais que nós, como usuários, nem precisaríamos ver.

Em resumo, o sistema de acesso passaria a depender de criptografia e não de nossa memória.

Como usuários, substituiríamos senhas pelos chamados cartões de informação, ícones em nossas telas que selecionaríamos com um clique para acesso a um site. O clique daria início a um contato entre máquinas. O software necessário a criar esses cartões de informação existe em apenas 20% dos computadores pessoais, ainda que isso represente grande alta ante os 10% de um ano atrás. As máquinas que operam com o Windows Vista dispõem desse tipo de recurso automaticamente, mas as máquinas que operam com Windows XP Mac OS e Linux precisam de downloads.

E isso é apenas metade da complicação. Os sites anfitriões também precisam ser convencidos a aceitar a tecnologia dos cartões de informação, para acesso.

Não conseguiremos grande progresso quanto a isso no futuro próximo, porém, devido ao desperdício de energia e atenção causado por uma grande distração, a iniciativa OpenID. A idéia é "acesso unificado", ou seja, basta se logar em um site, com uma senha, e isso possibilitará acesso a todos os sites que aceitem o sistema Open ID.

O sistema oferece na melhor das hipóteses uma modesta conveniência, e ignora a vulnerabilidade inerente a digitar uma senha em site alheio. Mesmo assim, a intervalos de alguns meses surgem novas empresas grandes aderindo ao OpenID. Representantes do Google, IBM, Microsoft e Yahoo anunciaram que apoiariam esse padrão. No mês passado, quando o MySpace anunciou sua adesão, a OpenID.net, a fundação sem fins lucrativos que administra o sistema, se vangloriou porque o "número de usuários que poderão usar o OpenID" havia ultrapassado os 500 milhões e que era "evidente que estamos apenas começando a ganhar terreno".

Mas o apoio à iniciativa é conspicuamente limitado. Cada uma das grandes potências que teoricamente apóia o OpenID está disposta a criar um nome de acesso e senha OpenID para acesso ao seu site por seus usuários, mas não a aceitar nomes e senhas conferidos por outros integrantes do sistema. Não se pode usar uma OpenID da Microsoft no Yahoo, e nem vice-versa.

Por que não? Porque as empresas percebem as muitas formas pelas quais o processo de acesso por senha, gerido por outra empresa, poderia ser comprometido. Elas não desejam assumir a responsabilidade por enfrentar as conseqüências de traquinagens originadas de sites alheios.

A Microsoft e o Google também estão entre as seis empresas fundadoras da Information Card Foundation, criada para promover a adoção dos cartões de informação.

O único inconveniente dos cartões de informação é que, em ambientes de trabalho, por exemplo, um computador deixado ligado poderia ser usado para acesso por pessoas não autorizadas, que conseguiriam se conectar a qualquer site usando cartões. Mas isso pode ser contornado pelo uso de uma senha simples para acesso ao cartão. Essa senha não causa problemas porque fica sempre na máquina. Não há acesso a ela por sistemas externos.

Desaprender o hábito de digitar senhas em uma página da web talvez demore demais, mas precisamos disso para nossa proteção. O acesso a sites deveria ser mediado por contato criptografado entre máquinas, o que impediria que sem querer nós revelássemos senhas ou códigos.

Ninguém mais precisaria confiar naquela venha companheira, a senha "queroentrar".

Tradução: Paulo Migliacci ME

The New York Times