Cautela e canja de galinha...

Pegando um “gancho” na postagem da última quinta-feira, vale lembrar a todos que o uso de "senhas fortes" é essencial na prevenção de crimes virtuais – tais como fraudes bancárias e roubos de identidade –, até porque as senhas mais comumente escolhidas pela esmagadora maioria dos usuários podem ser rapidamente descobertas por um cracker experiente. É uma tendência natural procurarmos criar senhas associadas a algo fácil de lembrar, mas isso as torna igualmente fáceis de ser adivinhadas ou decodificadas por programas específicos (que testam uma vasta gama de senhas possíveis, à razão de dezenas de milhares delas por segundo). Especialistas em segurança ensinam que quanto maior a senha (oito ou mais caracteres), mais segura ela será. No entanto, uma combinação de 8 letras minúsculas pode ser quebrada em cerca de dois dias, ao passo que uma senha com o mesmo número de caracteres combinando letras maiúsculas e minúsculas com números e símbolos levaria cerca de 200 anos para ser testada em todas as suas possibilidades.
Ao criar suas senhas, fuja da obviedade (data de nascimento, número de telefone, placa do carro, etc.) e evite palavras “reais”, registradas nos dicionários (alguns programinhas são capazes de checar milhões de palavras em poucos segundos). Ainda segundo os especialistas no assunto, a própria palavra “password” e suas variações (password1, passwd, p@$$w0rd ou drowssap, por exemplo), são amplamente utilizadas e, conseqüentemente, as primeiras possibilidades testadas pelos crackers. E o mesmo vale para seqüências como 123456, abc123 ou padrões como ioioioi ou querty, por exemplo, obtidos a partir de teclas contíguas.
Considerando que o maior problema das senhas fortes não está em criá-las, mas sim em lembrá-las (nem pense em escrevê-las num post-it e colá-lo na moldura do monitor), uma boa idéia partir de frases fáceis de memorizar. A título de exemplo, aproveitando as primeiras letras de “batatinha quando nasce se esparrama pelo chão", alternando maiúsculas e minúsculas e substituindo a letra “e” por “&”, teremos BqNs&PC (para testar a segurança de suas senhas, visite The Password Meter).
Alguns sites e web services que exigem login costumam disponibilizar uma “tábua de salvação” para os esquecidos (Automated Password Resetting), enviando-lhes por e-mail a senha cadastrada mediante a resposta correta a uma “pergunta secreta” previamente estabelecida. No entanto, é bom tomar cuidado com perguntas elementares (como seu time de futebol preferido ou o nome de seu bicho de estimação), já que as respostas podem ser facilmente descobertas por pessoas mal intencionadas.
Convém ter em mente que nem a mais forte das senhas oferece proteção adequada se não for mantida em segredo (se for realmente necessário escrever suas senhas, assegure-se de codificar as informações e/ou guardá-las num local ao qual ninguém mais tenha acesso). Demais disso, procure modificar as senhas regularmente (tanto mais freqüentemente quanto maior a importância dos dados que ela se destina a proteger), e evite utilizar a mesma combinação para diferentes finalidades (webmail e acesso ao net banking, por exemplo), porque sua descoberta dará ao cracker a chave para todas as portas que você pretendeu trancar.
Conforme a quantidade de senhas aumenta, torna-se cada vez mais difícil administrá-las "de memória", de modo que, nesse caso, a solução contar com a ajunda de programinhas que, mediante uma senha (a única que será preciso memorizar), gerencia todas as demais. Um bom exemplo é o  RoboForm (gratuito para uso não comercial), que gerencia senhas e informações de login, preenche informações exigidas pelos sites e serviços e ainda oferece um gerenciador de anotações, um gerador de senhas e um mecanismo de busca. Outra opção interessante é o  KeePass, também é gratuito, que dispensa instalação (roda direto de um pendrive ou de uma pasta no HD) e protege suas senhas com criptografia de 256 bits.
Vale lembrar que você deve redobrar os cuidados se costuma usar computadores públicos (em cybercafés e afins), devido à grande possibilidade crackers instalarem keyloggers (mais detalhes na postagem de amanhã) para capturar informações confidenciais dos incautos. Cautela e canja de galinha...
Bom dia a todos e até a próxima.

AINDA SOBRE A SEGURANÇA EM ÉPOCA DE ISOLAMENTO

QUANTO MENOS ALGUÉM ENTENDE, MAIS ESSE ALGUÉM QUER DISCORDAR.

Quando ouvimos falar em “senha”, logo nos vêm à mente aqueles asteriscos, bolinhas ou estrelinhas exibidos na tela conforme inserirmos a sequência de caracteres alfanuméricos que nos identifica/autentica quando nos logamos no Windows, realizamos uma transação bancária no caixa eletrônico ou pagamos as compras no supermercado, na farmácia, enfim... 

Mas engana-se quem pensa que as senhas passaram a fazer parte do nosso quotidiano quando começamos a usar computadores, cartões de com chip e outras tecnologias digitais. O Antigo Testamento — em Juízes 12: 1-15 — registra que a palavra “xibolete” (do hebraico שבולת, que significa “espiga”) funcionava como “senha linguística” para identificar um determinado grupo de indivíduos, e séculos depois, durante o massacre das Vésperas Sicilianas (1282 d.C.), os franceses eram reconhecidos pela forma como pronunciavam cìciri (grão de bico no dialeto siciliano).

No universo digital, as senhas correspondem às fechaduras e chaves que usamos no mundo real para trancar a casa, o carro, e por aí afora. Se não é boa prática deixar a chave na fechadura, no mundo real, tampouco o é, no ambiente virtual, escrever as senhas num post-it e grudá-lo na moldura do monitor, por exemplo (e tem gente que faz isso!).

Para que possam prover segurança responsável, as senhas deve ser fortes (isto é, difíceis de “quebrar”) e “trancadas a sete chaves” (com o devido perdão do trocadilho). Afinal, noivados são rompidos, casamentos acabam em divórcio (e nem sempre de forma civilizada), amizades são desfeitas, e segredo entre três, só matando dois.

A segurança das senhas deve ser compatível com a importância daquilo que elas devem proteger. Supondo que você more sozinho e ninguém mais utiliza seu PC, uma senha de quatro algarismos é mais que suficiente para o logon no Windows, embora seja considerada “fraca” se for usada para acessar o serviço de Webmail ou fazer logon em redes sociais e que tais. Nesses casos, as senhas devem “fortes”, ou seja, combinar 8 ou mais letras (maiúsculas e minúsculas) com algarismos e/ou caracteres especiais (%, $, #, @, *, &, por exemplo).

O xis da questão é que senhas fortes tendem a ser difíceis de memorizar, já que obviedades (placa do carro, data de nascimento, número do telefone ou de documentos, p. ex.) devem ser evitadas e aplicações distintas pedem senhas diferentes. Assim decorar uma dúzia de bizarrices como 7&tBaº§5YaH7b1%$, por exemplo, não é para qualquer um (talvez por isso as combinações mais usadas — e que devem ser evitadas — são “123456”, “password”, “senha”, “admin”, “qwerty”, “abc123” etc.). 

Para criar senhas seguras e fáceis de memorizar, eu sugeria partir de uma frase, estrofe de uma canção ou verso de um poema e aproveitar as sílabas iniciais de cada palavra, alternando letras maiúsculas e minúsculas e entremeando algarismos e outros caracteres. Então, partindo de “batatinha quando nasce se esparrama pelo chão”, teríamos “bAquaNnaSsEeSpEchA”, ou então “bA1quaN2naS3sE&ampeS#pE@chA”, por exemplo. Mesmo assim, seria preciso anotar as senhas e guardar num local seguro, mas de fácil acesso, porque dificilmente alguém conseguiria memorizar esse troço.

Observação: De novo: se ninguém além de você usa seu computador, configure o navegador para salvar as senhas e fazer o logon automaticamente nos sites e serviços; se você compartilha a máquina com alguém, o jeito é recorrer a um gerenciador de senhas, definir a senha-mestra (a única que será preciso memorizar) e deixar o resto a cargo da ferramenta. Há dezenas de opções disponíveis na Web, tanto pagas quanto gratuitas.O RoboForm (gratuito para uso não comercial) gerencia senhas e informações de login, preenche informações exigidas pelos sites e serviços e ainda oferece um gerenciador de anotações, um gerador de senhas e um mecanismo de busca.

Continua no próximo capítulo.

DIA MUNDIAL DA SENHA

CHORAR SOBRE AS DESGRAÇAS PASSADAS É A MANEIRA MAIS SEGURA DE ATRAIR OUTRAS.

Há outras maneiras de comprovar que somos quem dizemos ser no mundo digital, mas as senhas ainda são a modalidade mais popular, mesmo que sua eficácia dependa de diversos fatores (uma senha numérica de quatro dígitos só oferece proteção quando utilizada em conjunto com um token, por exemplo). 

O problema é que a dificuldade natural de memorizar dezenas de combinações alfanuméricas complexas nos leva a optar por senhas “fracas” ou criar uma senha robusta e transformá-la numa espécie de chave-mestra — para se desbloquear o smartphone, acessar o Windows no PC, confirmar a identidade no WhatsApp, fazer logon em redes sociais, serviços de webmail, e por aí afora).

 

Devido a sua relevância, as senhas já foram alvo de dezenas de postagens (que você pode conferir inserindo a palavra “senha” na caixa de buscas, na coluna à direita, e clicando em Pesquisar). No entanto, como hoje é o Dia Mundial da Senha, eu achei por bem revisitar o assunto e reforçar algumas dicas simples, mas funcionais. 

 

— Evite utilizar nomes de animais de estimação, datas de nascimento, números de telefone ou de documentos, já que essas informações podem ser garimpadas facilmente pelos cibervigaristas. 

 

— Segundo a NordPass, a senha mais utilizada no Brasil, em 2021, continua sendo 123456. Uma senha desse tipo leva menos de 1 segundo para ser quebrada. Utilize senhas com mais de 8 caracteres e combine letras maiúsculas, minúsculas, algarismos e símbolos especiais.

 

— Conforme dito no parágrafo de abertura, a praticidade da senha polivalente não compensa o risco de acesso irrestrito caso ela seja descoberta por pessoal mal-intencionadas (e não me consta que quem tenta quebrar senhas alheia o faça com a melhor das intenções).

 

— Segundo a Microsoft, 99.9% dos ataques a contas poderiam ter sido evitados mediante a simples habilitação de um segundo fator de autenticação.  A maioria dos serviços baseados na Web suporta o 2FA, mas não o habilita por padrão. Como o procedimento varia caso a caso, o site Two Factor Auth ensina a configurar essa função na maioria dos webservices que a suportam.  

 

— Salvar senhas no navegador é cômodo, mas inseguro. Prefira um gerenciador de senhas, que protege os dados com criptografia forte. Nesse caso, a única senha que você terá de memorizar é a que dá acesso à ferramenta. 

 

— Utilizar uma VPN é fundamental, sobretudo se você se conecta a partir de redes públicas é fundamental.  

 

— Evite compartilhar suas senhas. Em sendo necessário fazê-lo, jamais as envie por SMS ou email. A maneira menos insegura é usar a função de compartilhamento dos cofres de senhas, que envia um link (seguro e temporário) ao destinatário.

 

— Para verificar se os links que você acessa utilizam protocolos seguros para transmissão dos dados, use o PhishTank e o Google Safe Browsing. Clique aqui para identificar, a partir do seu e-mail, se seus dados pessoais (incluindo senhas) já apareceram em algum vazamento.

Um ataque leve levaria 63 quatriliões de anos para quebrar uma senha com 20 dígitos. Um ataque moderado reduziria esse tempo para 628 bilhões de anos. Mesmo que ninguém disponha de todo esse tempo, a diferença deixa claro que a dificuldade aumenta conforme o número de dígitos — e mais ainda se letras maiúsculas e minúsculas forem combinadas com algarismos e caracteres especiais, como %, &, $, #, @ etc. 

Há quem recomende tornar as senhas tão longas quanto possível, já que o brut force attack (método que consiste em experimentar todas as combinações alfanuméricas possíveis) pode ser frustrado pela limitação da quantidade de tentativas de login permitidas. Uma senha como “país de político ladrão”, por exemplo, é mais difícil de quebrar e mais fácil de memorizar do que “Br0ub7d$r&3”, também por exemplo. A primeira levaria mais de 500 anos para ser descoberta por um invasor que usasse um computador doméstico. A segunda, que parece mais segura, poderia ser quebrada em apenas três dias.

Cuidado com o que você compartilha. Pense nas redes sociais como uma conversa na vida real e seja seletivo com solicitações de amizade. Nunca se sabe se o seguidor em potencial é alguém mal-intencionado. Redobre os cuidados com aplicativos conectados. Fazer login em plataformas usando sua conta do Google ou do Facebook pode ser prático, mas implica o risco de seus dados irem de embrulho se os servidores do site foram invadidos por hackers (ou crackers, melhor dizendo).

 

Para mais dicas sobre senhas, acesse a página da MCAFEE ou o serviço MAKE ME A PASSWORD. Para testar a segurança de suas senhas, acesse a CENTRAL DE PROTEÇÃO E SEGURANÇA DA MICROSOFT ou o site HOW SECURE IS MY PASSWORD.

Senhas - Final

As senhas são como chaves virtuais: elas servem para garantir que somente os usuários autorizados tenham acesso ao sistema operacional, a certos aplicativos e a inúmeros serviços baseados na Web, desde o e-mail até aquela profusão de sites que exigem registro para acessar o conteúdo.
Entretanto, existem senhas e senhas - algumas, até seu irmãozinho é capaz de descobrir (sua data de nascimento, por exemplo) - e se alguém mal intencionado conhecer esses dados, talvez consiga acessar seu sistema, seus e-mails e até sua conta bancária.
Como a gente sempre procura criar senhas fáceis de ser lembradas, os bisbilhoteiros de plantão não precisar ter muito trabalho para fazer um belo estrago, não é mesmo? Ainda mais quando decidimos criar um documento de texto com todas as senhas e salvá-lo na pasta Meus Documentos...
Para criar senhas seguras, complexas, difíceis de ser quebradas - mas fáceis de memorizar -primeiro é preciso analisar a importância das informações que desejamos proteger. Se queremos apenas impedir que abelhudos acessem nossa conta no Orkut, não precisamos usar uma senha altamente complexa, embora seja recomendável que ela tenha um mínimo de seis caracteres sem qualquer seqüência lógica, envolva números ou letras (maiúsculas e minúsculas, sem caracteres repetidos) misturadas com símbolos (como # , _ , @, -, / e congêneres).
Já na hora de criar um login para a conta bancária, aí convém utilizar, no mínimo, oito caracteres, privilegiando combinações que não sejam óbvias e que não figurem nos dicionários. Para o nome de usuário, devemos sempre evitar utilizar nosso próprio nome ou sobrenome, mas optar por palavras ou combinações que façam sentido apenas para nós. A Microsoft sugere criar uma frase secreta e extrair delas as iniciais de cada letra: por exemplo, do ditado popular “antes só do que mal acompanhado”, a gente extrai “asdqma”.
Nunca devemos anotar senhas em papéis, nem muito menos salvá-las em arquivos digitais sem aplicar alguma forma de criptografia: usando o próprio Word, podemos guardar informações importantes (para criar um documento com senha, basta clicar em Salvar como e, ao ser aberta a janela correspondente, clicar na setinha ao lado de Ferramentas, escolher Opções de Segurança e inserir uma senha forte).
Mesmo tomando todos esses cuidados, alguém sempre pode ser capaz de roubar nossos dados. Golpes comuns são o phishing (envio de falsos e-mails que solicitam ao usuário digitar seus dados pessoais para regularizar cadastros ou confirmar o pagamento alguma conta) e a criação de webpages falsas (mas idênticas às de bancos, empresas ou lojas online), onde o internauta acaba digitando seu login/senha, números de documentos, endereço físico e outros dados que tais. Note que empresas idôneas não costumam enviam e-mails dessa natureza a seus clientes, justamente para evitar esse tipo de transtorno.
Mas não basta criar senhas rebuscadas, guardá-las a sete chaves e manter distância dos e-mails e sites fajutos. Convém também trocá-las regularmente e evitar usar a mesma palavra secreta para logar-se em serviços diferentes (por falar nisso, há quanto tempo você não troca sua senha?).
E como é praticamente impossível ter uma senha diferente para cada site que acessamos, devemos escolher combinações mais seguras e complexas para serviços como netbanking ou pagamentos em lojas virtuais. O lado bom da história é que existem alguns programinhas que guardam senhas sem comprometer a segurança (ainda assim, será preciso memorizar uma senha: a do programa). Veja algumas sugestões - que podem ser baixadas a partir do seu site de downloads preferido:
O AI RoboForm guarda seus dados pessoais e, assim que você entra numa página com formulário, escreve as informações. Ele trabalha com diversos perfis e os dados são protegidos por senha. O programa é gratuito para o uso com até 10 senhas.
O KeePass oferece controle completo para senhas, salvando todas com criptografia de 256 bits. Você pode proteger seus dados com uma senha mestra ou usando um memory key (ou ambos). O programa dispensa a instalação, rodando direto de um drive removível ou pasta no HD.
Abraços, bom feriado a todos e até amanhã.

PERDIDO NAS SENHAS

O TEMPO FAZ COM O CORPO O QUE A ESTUPIDEZ FAZ COM A ALMA: APODRECE.

Senhas! Tantas, tantas! Suponho que as empresas perdem milhões por causa delas. Não digo que é culpa dos hackers. Simplesmente porque a gente perde a paciência e desiste da compra on-line — já que senhas não reconhecidas tornaram-se parte da vida.

É meu caso com a Amazon Brasil. Cada vez que entro no site e vou pagar, recebo um aviso que a senha não é válida. Só que está certa. Mesmo assim, sou obrigado a redefini-la. Enviam um código para meu e-mail, e perco uns vinte minutos (no mínimo) para criar a nova. É um inferno, porque cada vez exigem senhas mais complexas. E menos duradouras.

Um amigo acaba de receber um aviso da faculdade dizendo que sua senha expirou. Como assim, expirou? Ele não sabe se é tentativa de golpe ou pedido da faculdade mesmo. Dá medo, porque há quadrilhas especializadas em roubar senhas. Em razão disso, cada vez mais aumentam as exigências para a criação de senhas seguras.

Surgiram sites de gerenciamento de senhas, como o Lumiun. Eles exigem misturas de números e letras, às vezes uma maiúscula. O ideal é usar no mínimo catorze caracteres. Advertência: jamais utilizar nomes, palavras reais, datas importantes, número de documentos… Sugere alterá-las a cada noventa dias. Pior. Ninguém usa uma só para tudo, é arriscado.

Eu tenho umas duas dezenas. Apple Store, TVs por streaming, meu próprio computador, banco, cartões… Tudo tem de estar na minha cabeça! Suspeito que hospitais psiquiátricos já reservam vagas para pacientes com stress causado pelo excesso e complicação das senhas.

Horror: se dá algum problema, não há para quem ligar. Tudo é digital. Fui fazer compras on-line e descobri que alguém havia cadastrado meu CPF em outro email. É impossível resolver porque enviavam códigos de segurança para um email desconhecido. Algumas empresas, como o Magalu, responderam à reclamação, verificaram e tudo o.k. Outras, como a Nike, igualam-se a paredes de concreto.

Senhas são tão preciosas que quadrilhas se especializaram em roubá-las. Outro dia o Instagram de meu irmão foi invadido e virou um site de prostitutas russas! Alguém entrou no meu Face e fica pedindo a senha. Não boto. E o Face trava! Recebo também supostos avisos do Instagram para confirmar meu cadastro. Uma amiga botou os dados e roubaram seu Insta. Foi um custo recuperar!

É tenso. Em alguns lugares, errou a senha três vezes, perde o cartão! Mas, como eu disse, são tantas! É fácil confundi-las! Ainda mais porque sempre sou obrigado a mudar alguma. Arrumei uma caderneta de papel, típica dos tempos analógicos. Iguais às que se usava uns trinta, quarenta anos atrás para telefones, aniversários… Anotei todas as minhas senhas, devidamente identificadas. Se troco, rabisco em cima e boto a nova do lado.

É uma solução antiga. Mas se eu anotasse no celular, ou no computador, precisaria de senha para abrir. E se esquecesse? Na caderneta, encontro todas as senhas importantes. Tão mais simples! Sei que estou ficando velho. Mas às vezes sinto saudade do tempo da caneta e do papel…

Texto de Walcyr Carrasco

NOVO SERVIÇO REVELA SE SUAS SENHAS FORAM VAZADAS POR CIBERCRIMINOSOS

O HOMEM QUE DIZ SOU, NÃO É, PORQUE QUEM É MESMO NÃO DIZ. O HOMEM QUE DIZ VOU, NÃO VAI, PORQUE QUANDO FOR JÁ NÃO QUER.

Um anúncio publicado por um hacker em 25 de fevereiro, num fórum virtual, levou especialistas a suspeitar de um novo vazamento de informações de cartões de créditos e CPFs. Os dados foram colocados à venda por US$ 50 mil e estariam relacionados a 10 milhões de senhas de email de internautas brasileiros, expostas no âmbito do vazamento mundial de 3,28 bilhões de senhas. Levantamento feito pela empresa brasileira de cibersegurança Syhunt demonstrou que, dentro desses milhões de senhas vazados (todas de e-mails com domínio ".br"), mais de 68 mil são de órgãos governamentais, como o Congresso Nacional e o Supremo Tribunal Federal. Até a Petrobras foi vítima, com mais de 8,8 mil senhas expostas.

O arquivo com os mais de 3 bilhões de senhas globais foi publicado na íntegra no mesmo fórum online onde ocorreu em janeiro o vazamento de mais de 223 milhões de CPFs de brasileiros, mas trata-se de um outro vazamento, como explicou ao GLOBO o especialista em segurança Felipe Daragon, fundador Syhunt, que opera no setor desde 2003. Segundo ele, o número de vazamentos vem aumentando devido à combinação de home office com o fato de as pessoas estarem fazendo tudo online, além do que a pandemia tem levado as pessoas a baixar a guarda contra ameaças digitais.

Por conta disso, a MT4 Tecnologia, desenvolvedora de tecnologias de segurança da informação, acaba de lançar o serviços senhasegura HUNTER, que verifica se um email pessoal ou corporativo foi vazado e se quaisquer dados relacionados a ele— como informações bancárias, cartões de crédito, número do CPF, RG, CNH e seguridade social — foram comprometidos. “Nossa proposta é ajudar as empresas e as pessoas a descobrirem se tiveram seus dados vazados, não apenas as senhas de e-mail, mas também as senhas de login em outros serviços em que a pessoa se cadastrou com a mesma identidade”, diz Marcus Sachara, CEO da MT4 Tecnologia, além de assegurar que consulta é gratuita e que o email consultado não é utilizado para qualquer outra finalidade.

Mesmo que seu email não esteja entre os que vazaram, convém reforçar a proteção de suas contas online e trocar imediatamente todas as credenciais eletrônicas em serviços online que você utiliza. Para isso:

1) Utilize senhas fortes, combinando números, caracteres e símbolos.

2) Adote a autenticação multifator sempre que essa camada adicional de segurança for suportada pelo provedor de serviços online.

3) Troque suas senhas e credenciais eletrônicas periodicamente.

4) Crie uma senha segura assim que instalar novos equipamentos, como os roteadores domésticos, que vêm com senha padrão do fabricante.

5) Não acesse redes Wi-Fi de vizinhos nem de locais públicos, que, por serem “abertas” abertas, não exigem senhas, mas o risco de elas serem invadidas é grande, e você pode entrar de gaiato nesse “navio”.

6) Phishing: jamais abra anexos ou siga links enviados por remetentes desconhecidos — essa recomendação vale tanto para o correio eletrônico quanto para redes sociais, como WhatsApp, Facebook, Instagram e Twitter, entre outras. Sempre desconfie. Na dúvida, pergunte ao remetente se foi mesmo ele que lhe enviou o link.

7) Bancos, instituições financeiras, seguradoras, operadoras de telefonia e afins nunca solicitam senha por email ou por telefone.

8) Backup: faça cópias de segurança de seus arquivos e documentos importantes e salve-os em mídia externa e/ou num drive virtual (lembre-se: quem tem dois, tem um; quem tem um, não tem nenhum).

9) Smartphone e tablets são computadores ultraportáteis e, portanto, necessitam de proteção. Desktops e notebooks costumam trazer pacotes “Internet Security” pré-instalados, com validade temporária. Ao final desse prazo, não deixe de renovar o serviço (ou configure adequadamente o Microsoft Defender e o Windows Firewall, que são componentes nativos do próprio Windows e, portanto, não requerem pagamento adicional).

10) Use e abuse da navegação anônima (ou sigilosa, ou “in-private”) e considere a ideia de recorrer a uma VPN (rede privada construída sobre uma rede pública, que é a solução ideal para quem se preocupa com sua privacidade).

E. T. Para saber mais sobre o senhasegura, acesse www.senhasegura.com.br 

O FIM DAS SENHAS SEGUNDO A MICROSOFT

A VIDA É FEITA DE ESCOLHAS. TODA ESCOLHA IMPLICA RENUNCIAR A PELO MENOS UMA ALTERNATIVA. SE É PARA SE ARREPENDER, ESCOLHA ARREPENDER-SE DO QUE VOCÊ FEZ, NÃO DO QUE DEIXOU DE FAZER.

Somos incentivados a criar senhas complexas e exclusivas, a lembrar delas e alterá-las regularmente. Mas ninguém gosta de fazer isso. Em uma pesquisa recente no Twitter da Microsoft, uma em cada cinco pessoas relatou que preferiria “responder a todos” acidentalmente — o que pode ser muito embaraçoso — do que redefinir uma senha. Até porque ninguém gosta de senhas. Além de serem inconvenientes, elas servem de porta de entrada para incidentes de segurança, mas continuam sendo largamente utilizadas no universo digital.  

Ainda segundo a Microsoft, 18 bilhões de ataques a senhas são registrados todos os anos. Pensando nisso, a empresa anunciou no último dia 15 que seus clientes poderão substituir a senha de suas contas Microsoft pelo aplicativo Microsoft Authenticator, Windows Hello, chave de segurança ou código de verificação enviado ao telefone ou e-mail do usuário para fazer login em aplicativos e serviços como Outlook, OneDrive, Microsoft Family Safety etc. 

Para tanto, é preciso primeiro instalar o aplicativo Microsoft Authenticator, vinculá-lo à conta pessoal da Microsoft e, em account.microsoft.com, fazer o login e escolher Advanced Security Options (Opções avançadas de segurança). Feito isso, em "Additional Security" (Segurança adicional), na sessão "Passwordless Account" (Conta sem senha), selecione "Turn on" (Ativar), siga as instruções na tela e aprove a notificação do aplicativo Authenticator. Caso queira retomar o uso da senha, valha-se da opção de adicioná-la novamente à sua conta.

De acordo com Bret Arsenault, Chief Information Security Officer da Microsoft, “hackers não invadem, fazem login”, já que senhas fracas são o ponto de entrada para a maioria dos ataques em contas de empresas e consumidores. Com a possível exceção das senhas geradas automaticamente, que são quase impossíveis de memorizar, as que criamos nós mesmos valendo-nos de um sem-número de dicas (eu mesmo já publiquei dúzias delas) dificilmente representam uma muralha intransponível.

Observação: Muitas vezes confiamos em palavras e frases conhecidas e pessoais. Segundo um levantamento feito pela Microsoft, 15% das pessoas usam os nomes dos seus animais de estimação para inspirar a senha. Outras respostas comuns incluíam nomes de família e datas importantes, como aniversários. Uma em cada 10 pessoas admitiu reutilizar senhas em sites e 40% disseram que usaram uma fórmula para suas senhas, como Outono2021, que eventualmente se torna Inverno2021, Primavera2022 e por aí afora. 

Acrescentar símbolos, números, letras maiúsculas e minúsculas e que tais para robustecer as senhas dá margem a um calvário que somente o uso de gerenciadores dedicados consegue mitigar. Como muitos usuários não se dão bem com essas ferramentas, é grande o risco de esquecer senhas complexas ou, para facilitar a memorização, optar por opções igualmente fáceis de quebrar. Uma rápida olhada nas mídias sociais de alguém pode fornecer a um hacker competente informações valiosas sobre como fazer login em suas contas pessoais. E uma vez que a combinação de senha e email tenha sido comprometida, ela é frequentemente vendida na dark web para uso em qualquer número de ataques. 

Costumo dizer que a criatividade dos cibercriminosos não tem limites. Eles podem usar a pulverização automática da senha para tentar muitas possibilidades rapidamente, valer-se do phishing e da engenharia social para induzir as potenciais vítimas a colocar suas credenciais em um site falso e por aí vai. Embora essas estratégias sejam velhas conhecidas dos internautas, elas continuam a funcionar, até porque o elemento humano é o elo mais fraco da corrente.

A própria Microsoft funciona como laboratório de testes, já que quase 100% de seus funcionários usam opções sem senha para fazer login em suas contas corporativas. Para saber mais sobre como habilitar a entrada sem senha com o aplicativo Microsoft Authenticator, clique aqui. 

SENHAS E MAIS SENHAS (FINAL)

SOMENTE UM IDIOTA RESPONDE UMA PERGUNTA COM OUTRA PERGUNTA.

Há quem questione a segurança dos gerenciadores de senhas, sobretudo os freewares open-source, argumentando que qualquer um pode ter acesso ao código-fonte do programa, e aí... Aí nada. Ter acesso ao código é uma coisa, modificá-lo para fazer com ele o que bem entender é outra. Além disso, é a senha, não o código, que dá acesso aos dados criptografadas e armazenadas pelo aplicativo (para saber mais sobre código aberto e proprietário, acesse esta sequência de postagens). 

O fato é que, gostemos ou não, as senhas são um mal necessário, e como somos obrigados a ter uma coleção delas, é virtualmente impossível memorizá-las. Em última análise, não há nada de errado em anotá-las no melhor old fashioned way, desde que se mantenha a agenda, caderneta ou o que for em local seguro, fora do alcance de bisbilhoteiros. De mais a mais, usuários domésticos não são o Pentágono, a NASA ou o Fort Knox.

Claro que não se deve criar senhas absurdamente óbvias, nem compartilhar as menos óbvias com terceiros (vale o que eu disse no post anterior sobre casamentos, noivados, namoros, amizade e o escambau, ou por outra, “segredo entre três, só matando dois”). Por outro lado, aquela dica sobre criar senhas misturando letras maiúsculas, minúsculas, algarismo e caracteres especiais está datada, segundo algumas correntes filosóficas. Até porque, dizem os sectários dessas seitas revolucionárias, as recomendações em questão remontam à virada do milênio.

Vinte e um anos podem não parecer muito tempo, mas, no âmbito da evolução tecnológica, equivalem a séculos. Atualmente, boa parte dos especialistas em segurança digital sugere tornar as senhas tão longas quanto possível, já que o brut force attack (método que consiste em experimentar todas as combinações alfanuméricas possíveis) pode ser mitigado mediante a limitação da quantidade permitida de tentativas de login.

Isso parece conversa do Bolsonaro, que diz um bobagem antes do café da manhã, desdiz na hora do almoço e volta atrás no começo da noite. Mas o fato é que usar palavras inteiras, sem conexão entre elas, é mais seguro do que fazer as misturebas que vínhamos fazendo há duas décadas.

Uma senha como “exceção honesto político ladrão”, p.ex., é mais difícil de ser descoberta que “Br0ub7d$r&3” e bem mais fácil de memorizar. A primeira poderia levar mais de 500 anos para ser adivinhada por um computador, ao passo que a segunda, aparentemente mais segura, não duraria mais de três dias. Por outro lado...

Senhas numéricas de 4 algarismos são fáceis de lembrar e oferecem proteção responsável, desde que combinadas com uma segunda camada de segurança. Se você tem conta em banco, provavelmente usa uma senha de 4 dígitos combinada com sua impressão digital ou mapa dos vasos sanguíneos da palma da mão (autenticação por biometria). Ou um token que gera uma senha adicional descartável.

Também chamado de OTP (de one time password), o token pode ser um dispositivo de hardware ou app que a gente instala no smartphone, por exemplo. Ele gera uma senha descartável que vale para um único acesso e perde a validade se não for digitada segundos após ter sido criada. Além disso, determinados modelos de token armazenam e suportam certificados digitais, o que torna a conexão ainda mais segura.

Observação: Algumas instituições financeiras utilizam a autenticação baseada em três fatores: a Senha/PIN (o que se sabe), o Token (o que se tem) e métodos biométricos (o que se é). O aumento do número de fatores no processo de autenticação dificulta significativamente a ação dos fraudadores.

Vale também ativar a autenticação de dois fatores (2FA) em seus aplicativos e serviços. O site Two Factor Auth ensina a configurar esta função em cada página web — seja ela bancária ou de redes sociais. Para mais dicas sobre senhas, acesse a página da MCAFEE ou recorra ao serviço MAKE ME A PASSWORD. Para testar a segurança de suas senhas, acesse a CENTRAL DE PROTEÇÃO E SEGURANÇA DA MICROSOFT ou o site HOW SECURE IS MY PASSWORD.

SENHAS — É MELHOR USAR UM GERENCIADOR DEDICADO OU O DO PRÓPRIO NAVEGADOR?

PEQUENAS MENTIRAS FAZEM O GRANDE MENTIROSO. 

 

Senhas óbvias não protegem, e as mais complexas são difíceis de memorizar, sobretudo quando usamos uma para cada coisa e as trocamos regularmente, seguindo as recomendações dos especialistas. 

 

Quem se der ao trabalho de pesquisar o Blog vai encontrar diversas dicas para a criação de senhas complexas “memorizáveis”, mas eu recomento usar um gerenciador de senhas (até porque aceitar a simpática oferta dos navegadores pode ser cômodo, mas comodidade e segurança raramente andam de mãos dadas). 

 

Se você se logar no Facebook, por exemplo, e autorizar o Chrome a memorizar suas credenciais de acesso, o DB Browser for SQLite dará acesso ao arquivo do banco de dados com sua senha no formato hexadecimal. Mas basta recorrer ao CryptUnprotectData, por exemplo, para ter a esses dados em texto plano (o que é uma mão na roda para cibercriminosos).

 

O gerador de senhas do Google Chrome cria passwords robustas de forma simples e fácil, e as salva em seu banco de dados de forma segura, já que, segundo a gigante de Mountain View, a palavra-chave é gerada de forma totalmente automática e disponibilizada somente para o usuário. 

Observação: Para usar esse recurso, faça logon no Chrome com sua senha do Google, clique na foto de perfil (no canto direito da janela do browser), selecione o ícone de chave (que é exibido logo abaixo do seu nome) e ative (se necessário) a opção “Oferecer para salvar senhas”. Para testar, acesse qualquer rede social, clique em “Criar uma conta”, preencha os dados, clique no campo “senha” e na opção “Sugerir senha forte”. Se não ficar satisfeito, clique em qualquer lugar da tela, volte a selecionar o campo “senha” e veja se a nova sugestão de código de acesso lhe agrada. Se quiser ou precisar alterar a senha mais adiante, use o próprio gerenciador para excluir a password salva e gerar uma nova. No smartphone, o procedimento é basicamente o mesmo. A diferença é que a ferramenta aparecerá ao lado do teclado (basta clicar nela para ativá-la). Note que o gerador só irá funcionar se você estiver logado no Chrome (com sua conta do Google) e que a sugestão de gerar senha pode não aparecer de forma automática. Se for o caso, clique com o botão direito no campo respectivo e depois selecione “Sugerir senha”.

 

A maioria dos serviços baseados na Web que suporta o 2FA raramente o habilita por padrão, mas o site Two Factor Auth ensina a configurar essa função nos webservices que a suportam. A tal “segunda camada” pode ser um número de identificação pessoal (PIN), a resposta a uma “pergunta secreta”, um padrão específico e pressionamento de tela, uma senha de seis dígitos gerada por um token de hardware ou um aplicativo instalado no smartphone (que vale para um único acesso e expira em menos de 1 minuto) ou um padrão biométrico — impressão digital ou de voz, reconhecimento facial, varredura da íris etc.

 

Observação: A autenticação em três fatores combina Senha/PIN (o que se sabe) com Token (o que se tem) e métodos biométricos (o que se é) é ainda mais segura — quanto maior o número de fatores no processo de autenticação, tanto maior a segurança.

 

Gerenciadores de senhas baseados na Web dispensam instalação e oferecem alguns recursos adicionais, como a geração de senhas aleatórias seguras e o armazenamento de números de cartões de crédito. Tanto a codificação quanto a decodificação dos dados são feitas no próprio computador do usuário, de modo que as administradoras de cartões não têm acesso à chave criptográfica e, em tese, a privacidade dos clientes não seria comprometida por um eventual ataque a seus servidores.

 

Para mais dicas sobre senhas, acesse a página da MCAFEE ou recorra ao serviço MAKE ME A PASSWORD; para testar a segurança de suas senhas, acesse a CENTRAL DE PROTEÇÃO E SEGURANÇA DA MICROSOFT ou o site HOW SECURE IS MY PASSWORD.

PRIVACIDADE - SENHAS - DADOS DE LOGON e INFORMAÇÕES CONFIDENCIAIS

A VIDA É A ARTE DO ENCONTRO, EMBORA HAJA TANTO DESENCONTRO PELA VIDA.

Quanto maior o número de webservices que você acessa mediante autenticação (webmail, Net Banking  blogs, redes sociais etc.), fica mais difícil memorizar os logons e senhas, e a não ser que ninguém mais utilize seu PC, convém pensar duas vezes antes de permitir que seu navegador armazene esses e outros dados para automatizar o preenchimento.

O IE não exibe as informações armazenadas, mas não impede que qualquer pessoa que tenha acesso à sua conta no Windows (*) faça login num site cuja senha tenha sido salva,ou  descubra o que está por trás dos asteriscos e os domínios de logins correspondentes com freewares como o IE Password Recovery Master, o  WebBrowserPassView, o BulletsPassView e o Asterisk Key, dentre tantos outros aplicativos criados com propósitos legítimos, mas que se tornaram uma mão na roda para os abelhudos de plantão. Para evitar dissabores, abra o IE e clique em Ferramentas > Opções da Internet > Geral > Histórico de Navegação, marque a caixa Excluir histórico de navegação ao sair, clique em Excluir e faça os ajustes desejados .

No Chrome o risco é ainda maior, pois ele próprio dá acesso à lista de logons e senhas, bastando para isso clicar no botão das opções de configuração e personalização (no canto superior direito da tela do browser), selecionar Configurações > Mostrar configurações avançadas e, no campo Senhas e Formulários, clicar no link Gerenciar senhas salvas, selecionar cada senha mascarada e clicar em Exibir.
O Firefox também escancara seus dados confidenciais, bastando clicar o interessado (logado com sua conta no Windows) clique no menu Firefox (no canto superior esquerdo da tela do navegador), em Opções duas vezes, em Segurança e, no campo Senhas, clique em Senhas Memorizadas e em Exibir Senhas. No entanto, a possibilidade de configurar uma senha mestra torna esse navegador tão (ou mais) seguro que o IE nesse quesito. No entanto, caso você esqueça a senha mestra, será preciso reiniciá-la (apagá-la), o que levará de embrulho todos os seus dados de logon e senhas memorizadas pelo browser. Para tanto, na barra de endereços do Firefox, digite "chrome://pippki/content/resetpassword.xul" (sem as aspas), tecle Enter e siga as instruções.

Para evitar problemas, o melhor é usar um gerenciador de senhas como o LastPass ou o Norton Identity Safe; para saber mais, digite “senha” no campo de buscas do Blog e clique em Pesquisar.

(*) Jamais compartilhe seu computador sem proteger sua conta com senha e criar contas-padrão para os demais usuários. No Seven, abra o Painel de Controle, clique em Contas de Usuário e Segurança Familiar e escolha as tarefas desejadas.

Abraços e até mais ler. 

SENHA 100% SEGURA É CONVERSA PARA BOI DORMIR. AINDA ASSIM...

A PROCTOLOGIA É A ÁREA DA MEDICINA ONDE MAIS SE VÊ A INCLUSÃO DIGITAL.

No âmbito da segurança digital, uma das recomendações mais comuns é a criação de senhas “seguras”, assim compreendidas as que integram pelo menos 8 caracteres e combinam letras maiúsculas e minúsculas com algarismos e caracteres especiais (tipo #, *, &, etc.). Todavia, isso costuma ser complicado quando usamos smartphones sem teclados físicos, tablets ou outros dispositivos em que é preciso alternar entre as várias formas de exibição do teclado virtual para grafar letras maiúsculas, algarismos, sinais gráficos e outros símbolos.

Para evitar esse “desconforto”, muita gente se vale de frases-senhas ou das primeiras sílabas de um verso ou de uma canção, por exemplo ― como oudoiasmarpla, de “ouviram do Ipiranga as margens plácidas”), já que essa permite criar palavras-chave relativamente seguras e fáceis de memorizar. Mas vale lembrar que é desconfortável digitar senhas longas em telas sensíveis ao toque (Touch Screen), e que, hoje em dia, é mais comum a bandidagem digital capturar as senhas através do phishing scam do que de programinhas que as descobrem por “força-bruta” (testando exaustivamente todas as combinações possíveis) ― situação em que uma senha especialmente longa ou complexa não oferece mais proteção do que outra mais simples e com menos caracteres.

Algumas empresas aconselham seus funcionários a trocar as senhas mensalmente, mas isso não aprimora a segurança, já que, no mais das vezes, os usuários acrescentam ou substituem um ou dois caracteres. Os gerenciadores de senhas também são bastante utilizados, mas quase sempre resultam apenas em mais uma palavra ou frase secreta a ser memorizada. Uma solução cada vez mais adotada por diversos sites, inclusive de bancos, é a autenticação em duas etapas, na qual uma delas é realizada a partir do telefone celular. Isso garante uma camada adicional de segurança, mas os usuários nem sempre a veem com bons olhos, já que dá mais trabalho e retarda o processo de autenticação.

Convém jamais utilizar senhas que dão acesso a serviços importantes ― como a do banco online, por exemplo ―  no webmail ou em foros de discussões, também por exemplo, até porque nem todos os sites protegem os dados como deveriam. Demais disso, não custa seguir algumas regrinhas simples ― mas funcionais ― que a gente já discutiu em dezenas de postagens aqui no Blog (para saber mais, digite senha na caixa de pesquisa e confira os resultados). Dentre outras sugestões importantes, vale evitar criar senhas a partir da data de nascimento, placa do carro, número do telefone ou de documentos, nomes de familiares ou animais de estimação, bem como trocar as senhas periodicamente e, como dito, não recorrer à mesma senha para múltiplos fins ― e por mais trabalhoso que seja, optar sempre que possível pela autenticação em duas etapas. Afinal, ainda que não existam senhas 100% seguras, quanto mais você dificultar a ação dos malfeitores, melhor.

Por hoje é só, pessoal. Até a próxima.

SENHAS E MAIS SENHAS

O QUE ARDE CURA E O QUE APERTA SEGURA.

O interesse do brasileiro pela segurança da própria senha nunca foi tão expressivo como em 2021. Segundo o Google, as pesquisas por "gerenciador de senha" saltaram 523%; por "autenticação em dois fatores", 475%; por "vazamento de senha", 299%; e por "senha forte", 239%. 

O Google integrou um Gerenciador de Senhas no Chrome, no Android e na Conta do Google. O software usa a mais recente tecnologia baseada em IA para armazenar e proteger senhas, facilitando, inclusive, a criação de palavras-chave complexas. 

A ferramenta oferece ainda a opção de completar automaticamente campos de acesso a contas em diferentes sites, bem como de realizar um exame minucioso para identificar se uma senha utilizada foi comprometida e verificar se a mesma combinação já foi usada para outra conta. 

Uma novidade é o Password Import (acessível em Configurações), que permite importar facilmente até 1.000 senhas por vez. Para fortalecer ainda mais a segurança, o Google disponibiliza a verificação em duas etapas (uma segunda autenticação, que pode ser feita por meio de outros dispositivos ou aplicações). 

 

Observação: Há anos que a gigante de Mountain View lidera a inovação na área de verificação em duas etapas (uma das formas mais confiáveis de evitar acesso não-autorizado a contas e redes). A proteção é mais forte quando combina um elemento que a pessoa "conhece" (como uma senha, por exemplo) a um elemento que a pessoa "tem" (um celular ou um chaveiro com token). 

No ano passado, o Google ativou automaticamente a verificação em duas etapas em contas de pelo menos 150 milhões de usuários, e passou a exigir de cerca de 2 milhões de criadores do YouTube a ativação desse recurso.

Considerando que o que abunda não excede, não custa relembrar:

 

1 - Procure utilizar todas as possibilidades de caracteres na criação das senhas, como símbolos, letras maiúsculas e minúsculas e números.

 

2 - Evite quaisquer sequências lógicas ou que remetam a informações da sua vida. Não coloque nomes de animais, marcas de veículos ou hobbies pessoais (saiba mais neste vídeo). Opte sempre por novidades sem padrão. Se possível, grave as criações no Gerenciador de Senhas do seu Google Chrome ou Android!
 

3 - Crie senhas diferentes para acessos diferentes. Não repita seus códigos em sites, contas bancárias, senhas de cartão ou e-mail. Surpreenda!

 

4 - Use ferramentas de verificação em duas etapas. Em qualquer conta, procure por outros métodos de autenticação que acompanhem a sua senha.
 

5 - Não envie suas senhas por e-mail ou aplicativos de mensagem. Se possível, evite inclusive dizê-las ao telefone. Suas palavras-chave são importantes e não devem ser transferidas em nenhuma hipótese.

 

6 - Evite acessar seus dados ou contas em computadores, celulares e outros gadgets que não são seus, mesmo se houver verificação em duas etapas. Se o fizer, não salve seus acessos!

 

Para mais dicas e informações relevantes, visite a Central de Segurança do Google e o Blog do Google Brasil.