77000 razões para proteger a minha conta com o Steam Guard

A pergunta é muito frequente: Porque devo usar o Steam Guard para proteger a minha conta Steam? Tal como em tudo o que é digital ou online, as protecções por palavra-passe são meras trancas em portas frágeis. Qualquer sistema de compra e venda ou qualquer outra transacção online está sujeita aos piratas informáticos. A plataforma Steam não está isenta de riscos, mesmo que se esforcem numa forte palavra-passe.

Há dias publicámos uma notícia acerca de uma nova medida de segurança imposta pela Valve. A medida visa prevenir o roubo de conteúdos de contas tomadas de assalto (hijacked), por travar o processo de trading (passar um jogo de uma conta para outra de forma gratuita) em 7 dias caso nenhuma medida de segurança esteja activa. Já nessa altura aconselhámos o uso do sistema de duas vias Steam Guard e nunca é demais recomendá-lo. Permite prevenir o furto de contas com recurso a uma app gratuita disponível para smartphones, com uma geração de código. O sistema gera passwords aleatórias que podem ser enviadas para a App do smartphone (com um processo de autenticação) ou, alternativamente, para um email seguro. Podemos optar por fazer isso em cada login (sempre que se entra no Steam) ou apenas quando um novo IP é detectado.

Após esta notícia, falei com diversas pessoas que leram o artigo e perguntaram-me sobre o Steam Guard. Depois de ficar estupefacto pela quantidade de pessoas que não o usam, passei a explicar o que fazer. Claro que pode acontecer que o sistema peça diversas vezes um código de autenticação, sobretudo com routers de IP dinâmico ou em novos PCs ou ligações. Incrivelmente, algumas das pessoas com que falei acharam isto uma chatice a acabaram por desligar novamente o Steam Guard. Excesso de zelo da minha parte?

Esta semana, a Valve voltou a falar do assunto e a explicar o porquê da sua campanha de incentivo para o uso do Steam Guard. Num artigo extenso, a Valve explica que “mais de 77000 contas são tomadas de assalto e pilhadas a cada mês”. E não pensem que são só jogadores casuais com passwords fracas. “São jogadores profissionais de CS:GO, contribuidores do reddit, comerciantes de itens, etc”, explica a Valve. Portanto, estão todos sujeitos. Os PCs são vulneráveis, mesmo com bons anti-vírus e firewalls. “Passar o processo de autenticação para um dispositivo que um hacker não possa aceder, com o vosso smartphone” é o processo lógico. Claro que há quem argumente que não possui um Smartphone para receber a aplicação. Ou então acham que “só acontece ao outro”.

“Nesta altura,” diz o artigo, “a maioria não protegeu ainda a sua conta com este nível de segurança mais elevado. Muitos não acreditam ser um alvo apetecível para um hacker que está à procura de fazer dinheiro”. Mas logicamente que são sempre um alvo, desde que possuam um artigo activado na sua conta. Não ter o tal smartphone também não é grande desculpa, uma vez que, como já disse, se pode activar o Steam Guard para enviar um email com o código de confirmação para uma conta de correio electrónico à escolha (preferencialmente, uma que não seja a mesma conta de email pirateada no Steam).

Claro que o roubo só surte efeito graças à capacidade de efectuar transacções de itens entre contas e ganhar dinheiro com isso no Steam Market e não só. Desconfiem, sempre, de contas que são vendidas com jogos activados. Muitos websites vendem chaves de activação de produto e não há nada de errado neste tipo de vendas. O problema está em sites que vendem não chaves ou jogos em si, mas contas Steam com um ou vários jogos. Pode muito bem ser uma conta furtada ou uma conta criada de propósito para receber jogos furtados de contas tomadas de assalto. Não só podem ficar sem o vosso dinheiro, como a conta pode ser desactivada pela Valve sem aviso prévio e até o próprio pirata pode recuperá-la. Se o fez noutros, porque não fazer neste caso?

Durante esta semana, a Valve implementou ainda mais medidas de segurança. Porque remover o trading não seria justo para os que pretendem legitimamente comprar, vender ou oferecer artigos no Steam e assumindo que nem todos possuem um smartphone para activarem a segurança máxima, a Valve anunciou as seguintes medidas:

• Todos os que irão ceder itens num acto de trading terão de ter o Steam Guard Mobile Authenticator activado na conta há pelo menos 7 dias e habilitado nele a confirmação de trocas. Caso contrário os itens serão bloqueados por 3 dias antes do fim da transacção.
• Se a origem e o destino já forem amigos por pelo menos 1 ano, os artigos são bloqueados apenas por um dia antes do fim da transacção.
• Contas com o Mobile Authenticator activado há pelo menos 7 dias não terão restrição para fazer trading usando um novo dispositivo uma vez que cada transacção nesse dispositivo já será protegida pelo autenticador.

Outras empresas já possuem autenticadores de acesso e processos de segurança para cada transacção. No caso dos jogos da Blizzard, o Battle.net Authenticator é bem mais persistente, pedindo código ao fim de um número determinado de dias, além de cada novo IP a tentar aceder. A Origin também já possui um sistema de autenticação de duas vias com envio de código de autenticação. Mesmo em plataformas sem protecção deste calibre, o Google Authenticator permite usar o seu software para proteger serviços de terceiros e as suas respectivas contas.

A ideia a reter é: se no Steam roubam 77000 contas por mês, é porque se trata de uma prática transversal a todas as demais plataformas. E todos os utilizadores estão sujeitos, tenham um mero jogo, tenham a biblioteca cheia. Sempre que virem uma forma de autenticar a vossa conta com um terceiro dispositivo ou envio de código não hesitem. Lembrem-se que o processo de recuperação de uma conta roubada pode demorar vários dias, semanas ou meses. Evitem as dores de cabeça de ter de passar por isso. A tal “chatice” do autenticador não é assim tão grande.