A
computação quântica está chegando para roubar suas senhas — veja o que fazer
antes que isso aconteça.
Futuros hackers podem já estar coletando seus dados — reforce sua segurança antes que seja tarde demais.
Senhas, frases-senha e chaves de segurança mais fortes podem
protegê-lo em um mundo pós-quântico. Poca Wander Stock/Shutterstock
Computadores
quânticos estão sendo desenvolvidos com poder suficiente para quebrar a
criptografia que protege suas senhas, contas bancárias e dados pessoais. Esse
futuro está mais próximo do que a maioria das pessoas imagina; tanto que o
governo federal dos EUA finalizou novos padrões de criptografia em 2024 para se
preparar para ele.
Você não precisa entender de física quântica para se proteger. Soluções como gerenciadores de senhas, frases-senha mais longas e chaves de segurança de hardware já estão disponíveis.
Eis como a ameaça realmente se apresenta e o que fazer a respeito
hoje.
Por que suas senhas estão em risco
Sempre que você acessa o seu banco, o seu e-mail ou o portal dos seus registros de saúde, seus dados são protegidos por criptografia.
Essa
criptografia funciona criando problemas matemáticos que levariam milhares de
anos para um computador comum resolver.
Os computadores quânticos não seguem as mesmas regras.
Eles usam os princípios da mecânica quântica para processar informações de maneiras que tornam certos problemas matemáticos exponencialmente mais fáceis de resolver.
E isso inclui os que protegem suas contas.
Isso não é ficção científica.
Em agosto de 2024, o Instituto
Nacional de Padrões e Tecnologia (NIST) finalizou seus três primeiros padrões
de criptografia pós-quântica e os declarou prontos para uso imediato. Quando o
governo federal age com tanta rapidez em relação a um padrão técnico, a ameaça
que o impulsiona é real.
A ameaça que você nunca ouviu falar: colha agora, decifre depois.
Você pode pensar: "Os computadores quânticos ainda não são
poderosos o suficiente para quebrar minhas senhas, então tenho tempo."
Isso é parcialmente verdade, mas há um porém.
Atores maliciosos já estão executando o que pesquisadores de segurança chamam de ataques de coleta agora, descriptografia depois (HNDL). A estratégia é simples:
·
Recolha agora os dados encriptados (ex.: registos
bancários, registos de saúde, documentos jurídicos, comunicações privadas).
·
Armazene-o até que os computadores quânticos sejam
suficientemente poderosos.
· Decifre-o mais tarde, quando a matemática se tornar solucionável.
Os dados de hoje — os seus dados — podem ser comprometidos daqui a
anos, mesmo que estejam protegidos por criptografia robusta. Informações
confidenciais transmitidas hoje podem já estar arquivadas, aguardando que o
hardware esteja atualizado.
Os profissionais de cibersegurança não estão esperando pelo
"Dia Q" — o momento em que os computadores quânticos poderão quebrar
a criptografia moderna de forma confiável — para começar a agir.
O que isso significa para suas contas do dia a dia
As contas mais expostas às ameaças da era quântica são aquelas em
que os riscos são maiores:
|
Tipo de conta |
||||
|
· Serviços bancários e de corretagem online |
||||
|
· Portais de declaração de impostos (IRS, TurboTax) |
||||
|
· Registros de saúde e portais de seguros |
||||
|
· Contas de e-mail |
||||
|
· Redes sociais com informações de pagamento salvas PORQUE ESTÁ EM RISCO?
|
As contas que você protege de forma frágil hoje são as que mais
sofrerão se ataques do tipo "coletar agora e descriptografar depois"
compensarem mais tarde.
3 coisas que você pode fazer agora mesmo
Simplesmente esperar que os bancos ou as empresas de tecnologia
atualizem sua infraestrutura não é uma boa estratégia.
Em vez disso, considere estas medidas para melhorar sua segurança
imediatamente e se posicionar melhor à medida que a ameaça quântica evolui.
1. Mude para frases-senha em vez de senhas.
A melhoria mais simples que você pode fazer é aumentar o comprimento da senha.
Uma senha curta e complexa como Tr0ub4dor&3 é muito
mais fraca do que uma frase longa e fácil de lembrar como
correct-horse-battery-staple-74.
Por que o comprimento importa:
Evite frases retiradas de músicas, livros ou filmes.
Combinações
aleatórias de palavras são mais eficazes.
2. Use um gerenciador de senhas
Reutilizar senhas é um dos hábitos mais perigosos em termos de
segurança pessoal. Se uma conta for comprometida, todas as contas com a mesma
senha também serão.
Um gerenciador de senhas confiável :
- Gera senhas únicas e
fortes para cada conta individual;
- Armazena as credenciais de
forma criptografada para que você não precise memorizá-las; e
- Reduz drasticamente a sua
superfície de ataque antes mesmo da computação quântica entrar em cena.
Procure por gerenciadores que utilizem criptografia de
conhecimento zero, o que significa que nem mesmo o provedor consegue ver suas
senhas.
3. Adicione uma chave de segurança de hardware para contas de alto
risco.
Uma chave de segurança de hardware é uma chave física — um pequeno dispositivo que se conecta à porta USB ou ao telefone por meio de comunicação por campo de proximidade (NFC).
É a forma de autenticação mais durável
disponível atualmente.
Essas chaves utilizam o padrão FIDO2/WebAuthn, que:
- É resistente a phishing
(verifica o site real, não apenas o formulário de login);
- Não transmite uma senha
que possa ser coletada ou interceptada; e
- É significativamente mais
resistente à decriptografia quântica do que o login baseado em senha.
As principais plataformas, incluindo Google , Microsoft, GitHub e muitas instituições financeiras, oferecem suporte a chaves de hardware.
As chaves de
hardware podem ser usadas para suas contas mais sensíveis: e-mail, bancárias e
de corretagem.
O que está por vir das instituições — e o que ainda não está.
Bancos, prestadores de serviços de saúde e empresas de tecnologia
eventualmente migrarão para padrões criptográficos pós-quânticos. Os algoritmos
finalizados pelo NIST em 2024, incluindo o ML-KEM para estabelecimento de
chaves e o ML-DSA para assinaturas digitais, fornecem às instituições um
roteiro.
Mas a migração institucional leva anos.
Você não pode controlar
quando seu banco fará a atualização. Você pode controlar a robustez da sua
própria camada de autenticação agora mesmo.
Perguntas frequentes sobre computação quântica e segurança de
senhas
Quando os computadores quânticos serão
realmente capazes de quebrar minhas senhas?
Ninguém sabe a data exata, e as estimativas variam bastante, de 10 a 20 anos ou mais para um computador quântico "criptograficamente relevante".
No entanto, a ameaça de coletar agora e descriptografar depois significa que os dados sensíveis transmitidos hoje já estão em risco de serem descriptografados no futuro.
Agir agora protege as informações vulneráveis que existem hoje.
Usar um gerenciador de senhas significa colocar todos os meus ovos
na mesma cesta?
Pode parecer assim, mas gerenciadores de senhas confiáveis usam criptografia de conhecimento zero, o que significa que suas senhas são criptografadas antes mesmo de saírem do seu dispositivo.
Se a empresa sofrer uma violação de segurança, os invasores obtêm dados criptografados que não conseguem ler.
O risco de reutilizar senhas fracas em diferentes contas é
muito maior do que o risco de usar um gerenciador de senhas bem seguro.
Vale a pena o custo das chaves de segurança de hardware?
Um YubiKey básico custa entre US$ 25 e US$ 50.
Comparado ao custo de uma conta bancária comprometida, resolução de roubo de identidade ou recuperação de fraude fiscal, que podem chegar a milhares de dólares e centenas de horas, o investimento é mínimo.
Eles são particularmente valiosos para
e-mail, serviços bancários e qualquer conta vinculada a informações financeiras.
Será que minha autenticação de dois fatores (2FA) atual resistirá
a ameaças quânticas?
A autenticação de dois fatores (2FA) via SMS já é frágil pelos padrões atuais e não resistirá a um ambiente pós-computação quântica.
A 2FA baseada em aplicativos autenticadores (como o Google Authenticator ou o Authy) é uma opção melhor.
Chaves de segurança de hardware que utilizam FIDO2 são a opção mais robusta.
Se você utiliza 2FA via SMS atualmente, migrar para um
aplicativo autenticador pode ser uma atualização significativa que você pode
implementar imediatamente.
Nenhum comentário:
Postar um comentário