AINDA SOBRE A AUTENTICAÇÃO EM DUAS ETAPAS

AO MEDO DOS PODERES INVISÍVEIS, INVENTADOS OU IMAGINADOS A PARTIR DE RELATOS, CHAMAMOS RELIGIÃO. 

Windows, Gmail, Facebook, WhatsApp, Telegram e mais uma vasta gama de apps e webservices se tornam mais seguros com a autenticação em dois fatores, que exige comprovação de identidade por mais de um método. Com ela, além de descobrir sua senha principal, um invasor precisará do token (código numérico gerado automaticamente e vale para um único acesso) que é enviado para o seu celular, endereço de email ou outro método secundário de autenticação que você definiu durante a ativação da 2FA.

Observação: Clique aqui para saber como ativar a dupla autenticação no WhatsApp; no Telegram, em Configurações, selecione Privacidade e Segurança > Verificação em duas etapas > Configurar senha adicional, defina uma senha de acesso, toque no botão exibido na parte de cima da tela para avançar, confirme a senha, crie uma dica de senha, informe um endereço de email (para facilitar a recuperação da senha) e, na tela seguinte, digite o código que lhe foi enviado por email (para confirmar que você tem acesso a ele) e toque novamente no botão com ícone de visto na parte de cima.

Receber o token via SMS é prático, mas “torpedos” são facilmente interceptáveis. Aliás, causa espécie a insistência das empresas em mandar dados importantes por SMS, considerando a quantidade de falhas conhecidas da rede SS7 (Sistema de Sinalização 7), utilizada para gerenciar ligações telefônicas e mensagens de texto, e o fato de que a maioria delas não foi corrigida pelas operadoras. E como tanto o iPhone como os smartphones Android podem exibir notificações de mensagens na tela de bloqueio, recomendo enfaticamente desativar essas notificações. Veja como:

- No iPhone, para impedir a visualização de notificações na tela sem que seja preciso desbloquear o aparelho, toque em Ajustes > Notificações > Mostrar Pré-visualizações e mude a configuração de “Sempre” para “Quando desbloqueado” ou “Nunca”. 

- No Android, o caminho pode variar um pouco conforme a versão, mas, em linhas gerais, basta tocar em Configurações > Notificações > Mensagens e explorar as opções disponíveis.

Para ativar, alterar ou desativar o PIN do SIM no iPhone, toque em Ajustes > Telefone > PIN do SIM; se o sistema do seu aparelho for o Android, toque em Configurações > Segurança > Bloqueio do cartão SIM e siga as instruções (pode haver variações conforme a versão do Android). Se você não souber o PIN, não tente adivinhá-lo. Depois de 3 tentativas incorretas (o número de vezes pode ser maior, dependendo da operadora), o chip é bloqueado e só será liberado mediante o PUK, que funciona como uma “chave-mestra”. 

O SIM Card vem num cartão de papelão onde constam algumas informações, dentre as quais PIN e o PUK. Como a gente nem sempre guarda esse cartão em local certo e sabido, nem sempre o encontra se e quando precisa usar o PUK para destrancar o PIN (convém anotar o número em outro local). 

O PIN — de Personal Identification Number — é uma senha de 4 dígitos que bloqueia ou desbloqueia o SIM Card. Por padrão, a Claro usa 3636; a Oi, 8888; a TIM, 1010, e a Vivo, 8486. Para prevenir acessos não autorizados, convém substituí-lo por uma senha pessoal, também de 4 dígitos. 

O PUK (de Pin Unlock Key) é a "chave" que "destrava" o SIM Card se o PIN for digitado incorretamente três vezes seguidas. Em alguns casos, os quatro primeiros dígitos servem de senha para outros recursos (como acesso à caixa postal, por exemplo), e se houver PUK 1 e PUK 2, o primeiro desbloqueia o PIN 1 e o segundo, o PIN 2. 

O PIN 1 é a senha principal de acesso ao telefone e que bloqueia ligações, SMS e chamadas de emergência; o PIN 2 costuma servir de alternativa e também para bloquear determinados serviços oferecidos pela operadora.

Por padrão, o PIN do SIM vem desativado, e há quem o deixe assim para não ter o trabalho de digitar o código sempre que ligar ou reiniciar o telefone — ou quando transferir o chip para outro dispositivo. No entanto, além de impedir o uso do aparelho por terceiros, essa camada adicional de proteção evita que pessoas não autorizadas visualizem tokens de verificação em duas etapas enviados via torpedo (SMS). Para não ingressar no lado negro das estatísticas, sugiro habilitar esse recurso. 

Observação: Após 10 tentativas incorretas de digitar o PUK (ou menos, conforme a operadora), o SIM Card é bloqueado definitivamente, e o jeito será adquirir um novo chip numa loja credenciada pela operadora — isso se você quiser manter o mesmo número de telefone; do contrário, caso sua linha seja pré-paga, basta comprar um chip (com outro número) em qualquer loja que comercialize celulares e acessórios.

Lembre-se: A segurança é um hábito, e como tal deve ser cultivada.

AINDA SOBRE PRIVACIDADE, SEGURANÇA DIGITAL E QUESTÕES CORRELATAS

ONDE TODO MUNDO PECA, NINGUÉM FAZ PENITÊNCIA.

Computadores, tablets e smartphones são repositórios de dados que, se acessados por pessoas não autorizadas ― ou se o aparelho cair nas mãos de pessoas mal intencionadas ―, podem dar muita dor de cabeça aos usuários. Mesmo assim, há quem não se dê ao trabalho de protegê-los com senha, PIN, impressão digital/facial ou outra medida de segurança que tal. E deixar o sistema desprotegido é como largar o carro na rua com os vidros abertos e a chave no contato.

Se você preza sua privacidade, o Google Alerts pode ser uma mão na roda. Basta fazer o cadastro para o serviço mantê-lo informado sempre seu nome o nickname aparecer em resultados de buscas (voltarei com mais detalhes numa próxima postagem).

Facebook, Twitter, Instagram, comunidades na Web e outros serviços ― como webmail, netbanking etc. ― oferecem a opção “mantenha-me conectado”, dispensando a inserção de nome de usuário e senha sempre que o serviço for acessado. No entanto, convém você fazer o logoff (ou logout, como queira) ao encerrar a sessão, mesmo se estiver navegando do seu próprio aparelho ― com máquinas de terceiros, como do trabalho, da escola, de lanhouses e cibercafés, então, nem se fala. Além de impedir que outras pessoas usem o logon salvo, esse cuidado fará com que você seja menos rastreado na Web.

Fuja de “programas de fidelidade” oferecidos por lojas virtuais e assemelhados. Eles prometem cupons, vales-compras, descontos e outras “vantagens”, mas pedem seu nome, endereço, email, telefone e outros dados pessoais ― em alguns casos, até o número do cartão de crédito. A maioria desses engodos inclui uma cláusula que diz que os dados poderão ser usados pela empresa como e quando ela bem entender, e você estará concordando com isso, expressa ou tacitamente, assim que se filiar ao troço. Será que vale a pena correr o risco?

Serviços como Gmail, Facebook e Twitter permitem ativar a autenticação em dois passos. Com ela, seu celular passa a funcionar como um token de segurança; se alguém tentar acessar sua conta a partir de um dispositivo desconhecido, só conseguirá fazê-lo se, além da senha, informar o código que é enviado por mensagem de texto para o número cadastrado.

Outra boa ideia é recorrer a VPNs (redes virtuais privadas) para mascarar seu endereço IP, que pode ser usado por sites e provedores para rastrear sua navegação na Web. A conexão fica um pouco mais lenta, mas segurança não costuma ser sinônimo de comunidade.

Eu já tratei desse assunto em outros posts (para conferir, clique aqui e aqui), mas farei uma rápida revisão depois de detalhar melhor o Google Alerts.

Visite minhas comunidades na Rede .Link:

http://informatica.link.blog.br/

http://cenario-politico-tupiniquim.link.blog.br/

http://acepipes-guloseimas-e-companhia.link.blog.br/