A Dra. Lorrie Cranor, da Carnegie Mellon University, falou sobre o que a indústria de segurança faz sistematicamente de errado no National Cybersecurity Alliance RSAC Executive Luncheon, realizado em San Francisco em março de 2026.  

Numa discussão abrangente com o especialista em cibersegurança John Elliott, instrutor da iniciativa Cybersecure My Business da NCA, ela explicou como muitos sistemas hoje pedem aos humanos que façam coisas que o cérebro humano literalmente não consegue fazer.  

Quando passamos problemas de segurança para o utilizador, disse ela, "não o passamos ao utilizador de uma forma que ele consiga realisticamente fazer", e mencionou como, durante muitos anos, esperávamos que as pessoas memorizassem dezenas de palavras-passe longas, únicas e complexas.  

Cranor, que é diretora do CyLab Security & Privacy Institute da Carnegie Mellon, tem vindo a bater nesta tecla há muito tempo. Elliott, que disse estar deslumbrado com Cranor, mencionou o livro de 2005 Segurança e Usabilidade: Conceber Sistemas Seguros que as Pessoas Podem Usar. Elliott disse que o livro mudou por completo a sua perspetiva sobre cibersegurança há 20 anos.  

Na discussão, Cranor mencionou várias formas como a indústria leva pessoas comuns ao fracasso e o que pode ser feito a respeito.

1. Pense em tornar a segurança fácil 

Muitas vezes, Cranor acredita que passamos aos utilizadores tarefas de segurança difíceis ou confusas. Ela deu o exemplo dos avisos de certificados do navegador – há 10 anos, era muito normal vê-los mesmo em situações benignas. Como resultado, as pessoas simplesmente "os afastavam todos", disse ela. Também faziam isso durante os raros casos de ataques man-in-the-middle reais. Como exemplo positivo de mudança, observou que isso agora é frequentemente automatizado e já não depende do utilizador.  

Hoje, ela foca-se muito na forma como lidamos com palavras-passe. Referiu que os gestores de palavras-passe são uma solução fácil e escalável: "Eles falham, mas não falham com muita frequência", em comparação com a reutilização de palavras-passe.  

Disse que o objetivo a mais longo prazo é eliminar totalmente as palavras-passe e fazer com que as pessoas usem dispositivos para autenticação (com passkeys, por exemplo): "Devíamos estar fora de uma situação em que precisamos de ter dezenas ou centenas de palavras-passe para memorizar." 

2. A sensibilização continua a ser importante 

Cranor continua a ver muito valor em campanhas de sensibilização, particularmente sobre inteligência artificial (ela não o mencionou, mas um exemplo é a campanha da NCA Enganado pela IA, Mantenha-se alerta). 

"Estamos a entrar agora numa fase em que a IA generativa pode criar emails de phishing muito mais convincentes, bem como vídeo e áudio deepfake", apontou Elliott.  

"O primeiro passo é tornar as pessoas conscientes de que isto está a acontecer e de que a IA é extremamente avançada", respondeu Cranor, mas mencionou que quer que a indústria vá além de mensagens simples do tipo "tenha cuidado". 

"Se eu passar o dia inteiro a ter cuidado, não vou fazer nada", disse ela, acrescentando que gostava da ideia de palavras-código para famílias.  

3. A cibersegurança pode ser divertida 

Embora algumas das suas declarações fossem sombrias e a mudança tenha sido lenta ao longo das décadas, ela ainda vê oportunidades para tornar a cibersegurança divertida. Surpreendeu o público com um vestido com padrão de palavras-passe fracas (como “jennifer”) feito por si mesma – chegou até a fazer um vestido de gala personalizado com palavras-passe fracas! Ela também escreveu um livro para crianças dos 4 aos 6 anos para lhes ensinar noções básicas de privacidade. 

Quando lhe perguntaram qual é a maior forma como a indústria entende mal a segurança, ela disse que “não faz testes de segurança com utilizadores quando testa os produtos com utilizadores ... a segurança é vista como uma pequena parte lateral.” 

"Os humanos cometem erros, mas cometem erros ao fazer coisas que, à partida, não deveriam ter de fazer", opinou ela.  

Para Cranor, a sua esperança é que os sistemas se tornem mais seguros para que os utilizadores tenham de fazer o mínimo possível.