O problema é que, se os hackers tiverem acedido ao seu “token”, não importa se usa ou não o Facebook Connect. Em teoria, eles podem ter tido acesso a qualquer aplicação que inclua o botão “Entrar com o Facebook”.

“Se o e-mail que usou para criar essa conta é o mesmo que usa em todas as outras aplicações compatíveis, não interessa se usa o Facebook Connect ou não”, explica Emmanuel Schalit. O especialista em cibersegurança recomenda não usar o mesmo e-mail para a conta de Facebook e para as outras aplicações, “pelo menos até eles decidirem parar de ter algo como o Facebook Connect, que é uma ideia terrível”.

Quer estar seguro online? Arranje um gestor de passwords

Emmanuel Schalit considera que, nos dias que correm, é cada vez mais importante que os utilizadores da internet possuam “independência digital”.

“Não podemos contar com governos ou gigantes tecnológicas, temos de possuí-la, temos de gerir a nossa segurança online e usar ferramentas para o fazer”, defende o CEO da Dashlane.

Uma dessas ferramentas é o serviço criado pelo empresário francês – a Dashlane. Mas há outros serviços a trabalhar para o mesmo objetivo, como a LastPass, a 1Password, a KeePassX, a Keeper, a Password Boss e a LogMeOnce. Todos eles são serviços pagos.

O objetivo destas aplicações é dar ao utilizador um “cofre” seguro onde guardar todas as suas informações – nome, morada, número de telefone, cartões de crédito – para tornar essa informação disponível em todos os dispositivos.

No entanto, isto é feito de uma forma descentralizada, ao contrário de serviços como o Facebook ou o Google+. Ou seja, quando o utilizador cria a sua conta, deve utilizar uma password mestra, que é a única que tem de saber. “Esta password mestra tem duas características: primeiro, não há rasto físico dela em nenhum lado no universo, está apenas na cabeça do utilizador. Não queremos sabê-la; segundo, essa password não é usada para autenticar a aplicação da Dashlane no nosso servidor”.

A aplicação gera “passwords” fortes para cada conta, que o utilizador não tem de memorizar. “Aquilo que temos nos nossos servidores para sincronizar entre os dispositivos são dezenas de milhões de ficheiros encriptados. É seguro, porque cada ficheiro encriptado tem uma chave diferente que é única para cada utilizador e que nunca vimos, de forma nenhuma”, explica Emmanuel Schalit.

O empresário garante que, mesmo que a Dashlane, seja “hackeada”, o utilizador estará sempre seguro.

“Se alguma vez formos hackeados, ninguém vai encontrar nada lá. Porque os dados não são legíveis, nem mesmo para nós”, explica o responsável da Dashlane.

Mas não há serviços gratuitos?

Sim. O Google Chrome, por exemplo, oferece, desde setembro, um serviço de gestão de passwords semelhante, em que o utilizador tem apenas uma “chave mestra”, enquanto o browser gera palavras-passe aleatórias para cada página.

No entanto, como explica Emmanuel Schalit, este serviço funciona apenas dentro do browser da Google. Ou seja, se quiser a aceder a determinadas aplicações no telemóvel ou na televisão, estas não poderão aceder às passwords criadas pelo Chrome. Terá de aceder a este site, onde poderá procurar o nome do site e a respetiva password gerada pelo browser.

Além disso, este serviço não está pré-definido. Para o ativar, tem de aceder a esta página, depois de ter feito login na sua conta Google, e em “Automatic passwords generation”, escolher “Enable” ou “By Default” (se quiser que o browser escolha esta opção automaticamente).

Para ativar esta opção na aplicação do Chrome no Android, deve repetir o mesmo processo.

No entanto, Emmanuel Schallit deixa um alerta. “Se pensarmos que o modelo de negócio das grandes empresas tecnológicas é baseado em recolher quantidades massivas de dados dos seus utilizadores, incluindo dados de identidade, centralizar isso numa base de dados que eles tentam salvaguardar (mas como já vimos não têm sucesso) e depois monetizar esses dados, a questão: se queremos dar os nossos dados a uma empresa cujo modelo de negócio é baseado em vender dados ou queremos dá-los a uma empresa que é 100% segura, porque os utilizadores pagam pelo produto?”.

A Google não é a única a oferecer um serviço de gestão de passwords gratuito. Várias outras aplicações, como a Dashlane, a Last Pass, a Myki, a LogMeOnce, entre outros, têm serviços gratuitos, ainda que com algumas limitações (limite de acesso em número de dispositivos, por exemplo).

A Last Pass tem o serviço gratuito mais completo, ainda que a versão paga tenha outras funcionalidades, como passwords partilhadas.

“Solid”, um projeto de Tim Berners Lee, pode salvar a Internet (e retirar utilidade aos gestores de passwords)

Ver fonte