Quando omni flunkus, mortati

Recentemente alguém me comentou que a sua conta de correio no GMail estava a ser acedida a partir dum outro computador e questionou-me sobre a melhor forma de proceder.

Nestas circunstâncias, o melhor que se pode fazer é cortar logo com a situação, mudando imediatamente a palavra-passe.

Se um acesso não autorizado puder ter consequências graves (seja a nível pessoal ou profissional), o melhor a fazer será reportar a situação tanto à polícia (PJ) como à própria Google, os quais terão melhores meios para tratar o assunto.

Como podemos ver se a nossa conta está a ser acedida de algum outro computador?

Para além de actividade estranha (correios apagados, correios enviados sem ser por nós, etc), podemos ir às configurações (ou Settings … eu uso a versão inglesa).

Na parte inferior desta página, vemos a seguinte informação.

Essa linha diz que a última actividade foi há 3 dias atrás, a partir dum computador com o IP 87.xxx.xxx.xxx.

Podemos não saber qual é esse computador, mas podemos auxiliar-nos do seguinte site: http://ip-address-lookup-v4.com/lookup.php?ip=87.xxx.xxx.xxx. (é claro que o ip referido deve ser substituído pelo IP que procuramos, para tal só temos que escrever o IP após o texto “ip=”).

Deveremos ver um resultado como o seguinte.

Esta informação é aproximada, aliás só indica a área geral na qual está a ser usado esse IP. Se estamos em Lisboa e vemos que o acesso está a ser feito de Faro ou de Paris, poderemos estar quase certo que alguma coisa há de errado.

Continuando no site do GMail e ainda no fim da página de configuração, após o IP temos uma ligação “Details”. Se clicamos lá, veremos a seguinte página:

Na tabela de actividade recente nos é mostrada uma lista de acessos recentes.

Na parte superior, neste caso, diz que ninguém está a aceder a esta conta fora da ligação actual (que é bom!).

Mesmo assim, tenho a possibilidade de usar o botão “Sign out all other sessions” para desligar quaisquer outras sessões que ainda pudessem estar activas. Assim, se alguém estiver a tentar aceder terá que preencher a palavra-passe (a qual já deveríamos ter mudado!).

Em resumo, tenham cuidado com as palavras passe usadas. Usem palavras compridas e não evidentes, não usem a mesma palavra para todas as contas, mudem-nas regularmente, e não se esqueçam de garantir que saíram da vossa conta antes de abandonar o computador.

Recentemente tive a necessidade de partilhar documentos com outros através da Internet. Lembrei-me de dois seriços: Google Docs e Office Live.

Google Docs foi o precursor desta tendência. Permite carregar documentos MS Office (compatíveis até a versão 2003?) ou OpenOffice. Para além disso é possível criar e trabalhar os documentos directamente via a interface Web.

Nem tudo podia ser bom, e as imagens e gráficos criados nos documentos MS Office não são importados. Por outro lado, os gráficos que poderemos criar via Web, não são transferidos quando descarregarmos os documentos para o nosso computador em formato  MS Office.

O Office Live, da Microsoft, deveria ultrapassar todos esses problemas, afinal são documentos da própria Microsoft, certo? Bom, sim e não.

Na realidade o Office Live permite o arquivo dos documentos, mas não permite a sua edição com uma interface Web. Os documentos podem ser visualizados, mas essa visualização não é uma cópia fiel com toda a formatação do documento, o que parece estranho quando tudo fica em família … Para os editar, os documentos são descarregados para o computador e editados usando a cópia local do MS Office, sendo as alterações sincronizadas remotamente.

No lado positivo, ao menos as imagens e gráficos são preservados.

Como conclusão, temos que os dois serviços permitem carregar e descarregar documentos e partilhá-los com outros utilizadores, embora esses utilizadores têm que ser membros do mesmo serviço que estamos a usar. Se só vamos usar documentos MS Office, faz sentido usar o Office Live. Se precisamos de suportar mais formatos e queremos a conveniência de criar documentos online, podemos usar o Google Docs (mas sacrificando as vantagens do MS Office).

É de lamentar que uma pessoa seja obrigada a escolher entre os dois serviços (a Microsoft poderia fazer um esforço e ser compatível com mais formatos e permitir a edição via Web, enquanto a Google poderia ter melhorado a sua compatibilidade com os documentos MS Office).

Por outro lado, os serviços são grátis, e só precisamos de ter uma conta Live ou Gmail e subscrever o respectivo serviço de documentos.

Eu provavelmente acabarei por usar o Office Live, pois preciso de garantir que gráficos e imagens são preservados nos documentos MS Office e, ainda, os utilizadores com quem irei partilhar documentos são na sua maioria utilizadores do Messenger.

Quem anda na Net passa regularmente pela experiência de encontrar um sítio que fornece alguma coisa que nós queremos (artigos completos, serviço de correio electrónico, descarregar certos programas), mas que requer o nosso registo e identificação.

O aumento de sítios e a nossa vontade de querer estar em todos eles aumenta o número de registos e contas e palavras-chave que devemos criar, repetir e lembrar. Depressa acabamos com um monte de identidades que controlar. Muita informação duplicada e muito tempo perdido.

E como solucionamos o problema? Ou guardamos todas essas identidades em listas no nosso computador (quê acontece quando estamos fora de casa e não temos o nosso computador connosco? Não nos lembramos de como aceder a alguma das nossas contas …) ou bem usamos o mesmo utilizador e palavra-chave em todos os sítios. Deveria ficar claro que esta última opção, embora legítima, simples e funcional, tem grandes riscos de segurança. Imaginem que usamos o mesmo utilizador e palavra-chave para o nosso serviço de correio ou de homebanking num sítio controlado por gente … digamos … menos de fiar. Alguém com poucos escrúpulos pode usar essa identidade para tentar aceder aos sítios mais populares e tomar controlo de todos os nossos dados e comunicações.

Existe uma “nova” solução: OpenId. Esta é uma iniciativa que pretende fornecer as bases para um sistema de identificação descentralizado (não é obrigatória uma base de dados central) e que permita o uso de essa identidade em qualquer sítio que requeira autenticação.

O sítio da OpenId é http://openid.net/ (na Europa: http://www.openideurope.eu/ ), e a descrição: “OpenId é uma maneira gratuita e simples de usar uma única identidade digital na Internet”. O processo para usar este novo método passa por escolher um fornecedor de OpenId onde registar todos os nossos dados, ir a qualquer um dos sítios que suportem o OpenId e indicar o endereço com a nossa identidade (durante este processo teremos que nos autenticar no nosso fornecedor de OpenId, mas só temos que nos lembrar de uma conta e não de muitas, que é o problema que se tenta resolver).

O seguinte endereço http://openid.net/get/ mostra uma lista de fornecedores actuais, onde nos podemos registar para obter um OpenId. Deste lado do Atlântico provavelmente o que mais confiança inspire seja Yahoo ou Blogger. Mas a Microsoft há de entrar no jogo com o seu Windows Live ID, levando o projecto a ganhar massa crítica para o seu sucesso. Ainda, em Portugal o Sapo tem um serviço experimental em http://openid.sapo.pt/ para o seu uso livre. Para saber se o serviço é suportado, procure pelo logo algures na caixa de login:

Pelo seu lado, a Google resolveu fazer o papel da Microsoft (é esta uma mudança de atitude para o futuro?) e deu as boas-vindas ao projecto para logo a seguir alterar as regras do jogo e introduzir incompatibilidades no esquema adoptado. Desta forma, em lugar de usar um endereço (URL) pretender usar o email. Para tal usa o peso da quantidade de utilizadores que tem e a popularidade dos seus serviços, pretendendo forçar a fundação OpenId a mudar as suas especificações. O sítio Facebook fez uma jogada similar, mas não é tão popular por este lado.

Quem quiser pode implementar um fornecedor próprio de OpenId. Esta opção faz sentido para quem não quiser confiar em terceiros para ter todos os seus dados ou para quem se sentir um bocado “geek”. Também faz especial sentido para empresas, que tenham vários serviços pouco integrados entre eles. Nessas situações os colaboradores são forçados a usar diversas contas para diferentes serviços. Um fornecedor OpenId interno faz todo o sentido para criar um único ponto de identificação.

Um servidor OpenId é phpMyID (http://siege.org/projects/phpMyID/), que suporta um servidor único e privado para quem não quer complicações.

Mas há muitos mais no seguinte endereço: http://wiki.openid.net/Run_your_own_identity_server.

Não se perde nada por experimentar, e se está a fornecer serviços, talvez seja o momento para implementar uma funcionalidade que os utilizadores hão de agradecer.