Depois da confusão causada ontem, a comunidade para compartilhamento de internet sem fio Fon veio a público esclarecer se usa ou não táticas inseguras para armazenar senhas de usuários. Uma representante da empresa no Brasil me mandou uma mensagem avisando que a Fon publicou uma resposta às críticas no blog oficial dela.
“Aqui na Fon nós levamos segurança muito a sério e mantemos todas as informações de nossos clientes armazenadas de forma segura todo o tempo”, começa a mensagem para quem estava preocupado se a Fon usa texto puro (o plain text) para manter as senhas no servidor, conforme acusava um desenvolvedor da Escócia, no Reino Unido.
A Fon afirma que não armazena a senha de todos os seus usuários no mundo – mais de 6 milhões, de acordo com os números mais recentes liberados por eles. Boa parte desses bancos de dados na verdade são gerenciados pelas empresas parceiras da Fon, em especial as operadoras. Cá no Brasil, a Oi recentemente começou a oferecer roteadores da marca Fonera compatíveis com a tecnologia da Fon no Rio de Janeiro, mas não tenho informações sobre quem gerencia os dados dos usuários – eu imagino que seja a operadora.
“Quando esse é o caso, a Fon não tem nenhum acesso às senhas, na medida em que elas não estão salvas no banco de dados da Fon.”
Para as senhas que estão armazenadas pela Fon há várias “plataformas e estruturas” diferentes, para que as informações não fiquem todas armazenadas no mesmo lugar. Eles dizem utilizar hashes e digests por essa ser uma das melhores práticas, embora admitam que nem todas as senhas estejam armazenadas nesse formato.
A Fon diz que essa tática funciona “melhor do que encriptar as senhas”. Bom, eu sempre entendi que o emprego de hashes e digests fazia parte da criptografia como um todo, sendo integrante da coisa, mas a Fon diz que é ainda melhor. Então aí está posição deles.
Reparei que, em nenhum momento, a Fon afirma na mensagem publicada por eles que não utiliza o plain text. Ou isso é óbvio demais, ou estão omitindo a informação. Torço pela primeira opção.
Ainda nesse assunto, recomendo ler: 5 maneiras de se manter seguro na internet. Para quem já leu vale mandar para as titias e vovós que estão aprendendo a usar o computador só agora.