A Dra. Lorrie Cranor, da Carnegie Mellon University, falou sobre o que a indústria de segurança consistentemente faz de errado no almoço executivo da National Cybersecurity Alliance RSAC, realizado em São Francisco em março de 2026.  

Numa conversa abrangente com o especialista em cibersegurança John Elliott, instrutor da iniciativa Cybersecure My Business da NCA, ela explicou como muitos sistemas hoje pedem aos humanos que façam coisas que o cérebro humano literalmente não consegue fazer.  

Quando deixamos questões de segurança para o utilizador, disse ela, "Nós não deixamos isso para o utilizador de uma forma que ele consiga realisticamente fazer," e mencionou como, durante muitos anos, esperámos que as pessoas memorizassem dezenas de palavras-passe longas, únicas e complexas.  

Cranor, que é diretora do CyLab Security & Privacy Institute da Carnegie Mellon, tem batido nesta tecla há muito tempo. Elliott, que disse estar "starstruck" por Cranor, referiu o livro de 2005 Segurança e Usabilidade: Conceber Sistemas Seguros que as Pessoas Podem Usar. Elliott disse que o livro mudou completamente a sua perspetiva sobre cibersegurança há 20 anos.  

Na conversa, Cranor mencionou várias formas como a indústria prepara as pessoas comuns para falharem e o que pode ser feito a esse respeito.

1. Pense em tornar a segurança fácil 

Com demasiada frequência, Cranor acredita que passamos aos utilizadores tarefas de segurança que são difíceis ou confusas. Ela deu o exemplo dos avisos de certificados do navegador – há 10 anos, era muito normal vê-los mesmo em situações benignas. Como resultado, as pessoas simplesmente "afastavam-nos todos", disse ela. Infelizmente, também faziam isso durante um ataque real de man-in-the-middle. Como exemplo positivo de mudança, ela observou que isto agora é muitas vezes automatizado e já não depende do utilizador.  

Hoje, ela foca-se muito na forma como abordamos as palavras-passe. Mencionou que os gestores de palavras-passe são uma solução fácil e escalável: "Eles falham, mas não falham com muita frequência" em comparação com a reutilização de palavras-passe.  

Disse que o objetivo a longo prazo é eliminar as palavras-passe por completo e fazer com que as pessoas usem dispositivos para autenticação (com passkeys, por exemplo): "Devemos sair de uma situação em que precisamos de ter dezenas ou centenas de palavras-passe para memorizar." 

2. A sensibilização continua a ser importante 

Cranor ainda vê muito valor em campanhas de sensibilização, particularmente em torno da inteligência artificial (ela não o mencionou, mas um exemplo é a campanha Enganado pela IA, Fique atento da NCA).

"Estamos a entrar numa fase em que a IA generativa pode gerar emails de phishing muito mais convincentes, bem como vídeo e áudio deepfake," salientou Elliott.  

"O primeiro passo é tornar as pessoas conscientes de que isto está a acontecer e de que a IA é extremamente avançada," respondeu Cranor, mas mencionou que quer que a indústria vá além da simples mensagem de "tenha cuidado".

"Se eu passar o dia todo apenas a ter cuidado, não vou fazer nada," disse ela, mencionando que gostou da ideia de palavras-código para as famílias.  

3. A cibersegurança pode ser divertida 

Embora algumas das suas declarações tenham sido alarmantes e a mudança tenha sido lenta ao longo das décadas, ela ainda vê oportunidades para tornar a cibersegurança divertida. Surpreendeu o público com um vestido com padrões de palavras-passe fracas (como “jennifer”) que ela própria fez – chegou até a fazer um vestido de gala personalizado com palavras-passe fracas! Também escreveu um livro para crianças dos 4 aos 6 anos para lhes ensinar noções básicas de privacidade. 

Quando lhe perguntaram qual é a maior forma de a indústria interpretar mal a segurança, disse que “não faz testes de segurança com utilizadores quando testa os seus produtos com utilizadores ... a segurança é vista como um pequeno elemento acessório." 

"Os humanos cometem erros, mas cometem erros ao fazer coisas que, à partida, não deviam ter de fazer," opinou ela.  

Para Cranor, a sua esperança é que os sistemas se tornem mais seguros para que os utilizadores tenham de fazer o mínimo possível.