SENHAS E MAIS SENHAS (FINAL)

SOMENTE UM IDIOTA RESPONDE UMA PERGUNTA COM OUTRA PERGUNTA.

Há quem questione a segurança dos gerenciadores de senhas, sobretudo os freewares open-source, argumentando que qualquer um pode ter acesso ao código-fonte do programa, e aí... Aí nada. Ter acesso ao código é uma coisa, modificá-lo para fazer com ele o que bem entender é outra. Além disso, é a senha, não o código, que dá acesso aos dados criptografadas e armazenadas pelo aplicativo (para saber mais sobre código aberto e proprietário, acesse esta sequência de postagens). 

O fato é que, gostemos ou não, as senhas são um mal necessário, e como somos obrigados a ter uma coleção delas, é virtualmente impossível memorizá-las. Em última análise, não há nada de errado em anotá-las no melhor old fashioned way, desde que se mantenha a agenda, caderneta ou o que for em local seguro, fora do alcance de bisbilhoteiros. De mais a mais, usuários domésticos não são o Pentágono, a NASA ou o Fort Knox.

Claro que não se deve criar senhas absurdamente óbvias, nem compartilhar as menos óbvias com terceiros (vale o que eu disse no post anterior sobre casamentos, noivados, namoros, amizade e o escambau, ou por outra, “segredo entre três, só matando dois”). Por outro lado, aquela dica sobre criar senhas misturando letras maiúsculas, minúsculas, algarismo e caracteres especiais está datada, segundo algumas correntes filosóficas. Até porque, dizem os sectários dessas seitas revolucionárias, as recomendações em questão remontam à virada do milênio.

Vinte e um anos podem não parecer muito tempo, mas, no âmbito da evolução tecnológica, equivalem a séculos. Atualmente, boa parte dos especialistas em segurança digital sugere tornar as senhas tão longas quanto possível, já que o brut force attack (método que consiste em experimentar todas as combinações alfanuméricas possíveis) pode ser mitigado mediante a limitação da quantidade permitida de tentativas de login.

Isso parece conversa do Bolsonaro, que diz um bobagem antes do café da manhã, desdiz na hora do almoço e volta atrás no começo da noite. Mas o fato é que usar palavras inteiras, sem conexão entre elas, é mais seguro do que fazer as misturebas que vínhamos fazendo há duas décadas.

Uma senha como “exceção honesto político ladrão”, p.ex., é mais difícil de ser descoberta que “Br0ub7d$r&3” e bem mais fácil de memorizar. A primeira poderia levar mais de 500 anos para ser adivinhada por um computador, ao passo que a segunda, aparentemente mais segura, não duraria mais de três dias. Por outro lado...

Senhas numéricas de 4 algarismos são fáceis de lembrar e oferecem proteção responsável, desde que combinadas com uma segunda camada de segurança. Se você tem conta em banco, provavelmente usa uma senha de 4 dígitos combinada com sua impressão digital ou mapa dos vasos sanguíneos da palma da mão (autenticação por biometria). Ou um token que gera uma senha adicional descartável.

Também chamado de OTP (de one time password), o token pode ser um dispositivo de hardware ou app que a gente instala no smartphone, por exemplo. Ele gera uma senha descartável que vale para um único acesso e perde a validade se não for digitada segundos após ter sido criada. Além disso, determinados modelos de token armazenam e suportam certificados digitais, o que torna a conexão ainda mais segura.

Observação: Algumas instituições financeiras utilizam a autenticação baseada em três fatores: a Senha/PIN (o que se sabe), o Token (o que se tem) e métodos biométricos (o que se é). O aumento do número de fatores no processo de autenticação dificulta significativamente a ação dos fraudadores.

Vale também ativar a autenticação de dois fatores (2FA) em seus aplicativos e serviços. O site Two Factor Auth ensina a configurar esta função em cada página web — seja ela bancária ou de redes sociais. Para mais dicas sobre senhas, acesse a página da MCAFEE ou recorra ao serviço MAKE ME A PASSWORD. Para testar a segurança de suas senhas, acesse a CENTRAL DE PROTEÇÃO E SEGURANÇA DA MICROSOFT ou o site HOW SECURE IS MY PASSWORD.

AINDA SOBRE SEGURANÇA... FINAL

O ESPÍRITO DA LEI VAI ALÉM DA SUA LETRA FRIA.

Vimos no capítulo anterior que senhas curtas e simples não oferecem proteção responsável, pois são fáceis de quebrar. Para se ter uma ideia, um ataque considerado leve pelos especialistas em segurança — com 10 mil guesses por segundo — demoraria 14 anos para quebrar uma senha composta de 9 das 26 letras do alfabeto, todas minúsculas e sem repetição, ao passo que um ataque moderado — com 1 bilhão de guesses por segundo — faria esse trabalho em pouco mais de uma hora.

Uma senha com 20 dígitos levaria 63 quatrilhões de anos para ser quebrada por um ataque leve, e respeitáveis 628 bilhões de anos para ser descoberta através de um ataque moderado. E a dificuldade aumenta à medida que letras maiúsculas e minúsculas são combinadas com algarismos e caracteres especiais (como %, &, $, #, @ etc.).

Por outro lado — e tudo tem um outro lado —, essas recomendações remontam a 2003. Dezessete anos podem não parecer muito tempo, mas, no âmbito da evolução tecnológica, equivalem a séculos. Atualmente, os especialistas em segurança digital recomendam tornar as senhas tão longas quanto possível, já que o brut force attack (método que consiste em experimentar todas as combinações alfanuméricas possíveis) pode ser mitigado mediante a limitação da quantidade de tentativas de login permitidas.

Isso parece conversa do Bolsonaro, que diz uma coisa pela manhã, desdiz o que disse na hora do almoço e volta atrás no começo da noite, mas o fato é que usar palavras inteiras, sem conexão entre elas, é mais seguro do que fazer as misturebas que vimos linhas atrás. 

Uma senha como “exceção honesto político ladrão”, por exemplo, é mais difícil de ser descoberta que “Br0ub7d$r&3”, também por exemplo. E bem mais fácil de memorizar. A primeira poderia levar mais de 500 anos para ser adivinhada por um computador, enquanto a segunda, aparentemente mais segura, poderia ser quebrada em apenas três dias. No entanto...

Senhas numéricas de 4 algarismos são fáceis de lembrar e oferecem proteção responsável quando combinadas com uma segunda camada de segurança. Se você tem conta em banco, provavelmente usa uma senha de 4 dígitos combinada com sua impressão digital ou o mapa dos vasos sanguíneos da palma da mão (autenticação por biometria). Ou usa um token para gerar uma senha adicional descartável.

Também chamado de OTP (de one time password), o token pode ser um dispositivo de hardware ou um software que você instala no smartphone, por exemplo. Ele gera uma senha descartável que você utiliza usa uma única vez, e que perde a validade se não for digitada depois de alguns segundos. Determinados modelos de token armazenam e suportam certificados digitais, o que torna a conexão ainda mais segura.

Observação: Algumas instituições financeiras vêm utilizando a autenticação baseada em três fatores: a Senha/PIN (o que se sabe), o Token (o que se tem) e métodos biométricos (o que se é) para identificação. O aumento dos fatores no processo de autenticação dificulta sobremaneira a ação dos fraudadores.

Por último, mas não menos importante: se você estiver em trânsito, seu smartphone ficar ser bateria e for preciso ler um email importante ou fazer uma transação bancária urgente, por exemplo, será inevitável recorrer a uma máquina pública (como as de lanhouses ou cybercafés). Nesse caso, é importante você não esquecer de fazer o logoff antes de fechar o navegador, ou a próxima pessoa que usar a máquina poderá se aproveitar da situação para... enfim, acho que deu pra entender.

Vale também ativar a autenticação de dois fatores (2FA) em seus aplicativos e serviços. O site Two Factor Auth ensina a configurar esta função em cada página web — seja ela bancária ou de redes sociais. Para mais dicas sobre senhas, acesse a página da MCAFEE ou recorra ao serviço MAKE ME A PASSWORD; para testar a segurança de suas senhas, acesse a CENTRAL DE PROTEÇÃO E SEGURANÇA DA MICROSOFT ou o site HOW SECURE IS MY PASSWORD.

CIBERATAQUE VAZA DADOS DE 5,4 MILHÕES DE USUÁRIOS DO TWITTER

ACTA NON VERBA.

Em seu relatório de segurança do primeiro semestre de 2022, a empresa Check Point® Software Technologies Ltd apontou um aumento global de 42% nos ataques cibernéticos. No dia 05 de agosto, o Twitter revelou um ciberataque que resultou no vazamento de dados de 5,4 milhões de usuários da plataforma. 

Quando ocorre um ataque dessa natureza, os endereços de email vazados costumam ser usados para enviar mensagens de phishing com links fraudulentos e/ou anexos contendo malware. Os cibercriminosos buscam se passar por marcas conhecidas para ganhar a confiança das vítimas em potencial. 

Jamais clique em links ou baixe anexos sem antes confirmar a respectiva procedência, e só faça transações financeiras pelo aplicativo ou pelo site oficial da instituição financeira em que você mantém sua conta.

 

Crie senhas seguras e não utilize a mesma combinação usada no webmail para se logar em suas redes sociais, por exemplo. Assim, se uma senha vazar, o estrago ficará limitado àquele serviço (o que já não é pouco). 

 

Senhas alfanuméricas que misturam letras maiúsculas e minúsculas e caracteres especiais são mais difíceis de quebrar, mas a dupla autenticação agrega uma camada adicional de proteção. A maioria das redes sociais e serviços providos por empresas como Google, Microsoft e Apple suportam o 2FA, mas não o ativam por padrão. 

 

No 2FA baseado em SMS, a senha de uso único (OTP) é enviada por mensagem de texto para o número de celular cadastrado e, a exemplo do procedimento adotado no 2FA baseado em soft-token/token de hardware, deve ser informada para garantir o acesso ao aplicativo, serviço ou seja lá o que for. 

 

Para atividades online de baixo risco, esse modelo está de bom tamanho, mas deve ser evitado em transações financeiras e compras online, acesso a contas de email etc., dada a possibilidade de a mensagem de texto ser interceptada por um cibercriminoso de plantão (a rigor, o SMS é a forma menos segura de dupla autenticação).

 

O TOTP (código de uso único baseada em tempo) é a modalidade mais popular atualmente. Como as senhas geradas por tokens de hardware, os códigos criados por aplicativos só podem ser usados uma única vez, e sua validade expira em menos de 1 minuto. Apps de 2FA estão disponíveis para Windows, MacOS, Android, iOS etc. 

 

Em algumas versões, em vez informar a senha gerada pelo app, o usuário autoriza a tentativa de acesso de autenticação (ou nega, caso ele não a tenha feito) a partir de uma mensagem recebida por intermédio do aplicativo. Essa modalidade evita erros de digitação e outros que tais, mas exige um celular ou outro dispositivo capaz de acessar a Internet (para a instalação do aplicativo). 

Na 2FA baseada em biometria, o próprio usuário faz o papel de token, pois a autenticação é feita a partir de reconhecimento facial ou de voz, escaneamento de íris ou, mais comumente, de impressões digitais. Resta saber até quando essas muralhas, hoje “intransponíveis”, resistirão à criatividade dos cibervigaristas.

 

Para mais informações, visite TwoFactorAuth.org. Para baixar o app Authy2FA para Android, iOS ou Windows, clique aqui ; para aprimorar a segurança de sua conta no Twitter, clique aqui; para saber como habilitar o 2FA para seus sites favoritos, clique aqui; para noções básicas sobre 2FA, clique aqui; para entender melhor como funciona o recurso de vários dispositivos do Authy2FA, clique aqui.

 

Por último, mas não menos importante, mantenha atualizados o sistema e os demais programas, tanto no computador quanto no smartphone, e não deixe de instalar uma solução robusta de segurança para minimizar os riscos. Afinal, seguro morreu de velho.

SENHA X 2FA X FIDO2

SEM-VERGONHAS COBRANDO RESPEITO, FOFOQUEIROS COBRANDO PRIVACIDADE, FALSOS COBRANDO SINCERIDADE E MENTIROSOS COBRANDO VERDADE... EIS O RETRATO PRONTO E ACABADO DO BRASIL EM QUE VIVEMOS.

Quem se der ao trabalho de inserir a palavra “senha” na caixa de buscas do Blog receberás dúzias de sugestões de postagens sobre o assunto, que incluem desde informações conceituais sobre as senhas até dicas para criar combinações alfanuméricas seguras e, ao mesmo tempo, possíveis de memorizar. O problema é que o número de senhas aumenta à medida que passamos a usar mais e mais serviços baseados na Web (tais como webmail, redes sociais, netbanking, compras online etc.), e da feita que usar a mesma password para tudo não é boa política, a solução é recorrer a um gerenciador de senhas. Assim, você precisa memorizar apenas a senha que “destranca” o aplicativo, pois ele se encarregará de preencher as demais automaticamente.

A boa notícia é que muitas empresas de tecnologia, entre as quais a Microsoft, estão interessadas em nos livrar do inferno das senhas, já que 80% dos ataques cibernéticos são direcionados às nossas credenciais. Muita gente continua usando senhas fracas, e poucos se dão ao trabalho de implementar uma camada adicional de segurança habilitando a dupla autenticação, que dificulta sobremaneira a ação dos fraudadores.

A tal “segunda camada” pode ser um número de identificação pessoal (PIN), a resposta a uma “pergunta secreta”, um padrão específico de pressionamento de tela, uma senha de seis dígitos gerada por um token de hardware ou um aplicativo instalado no smartphone, que vale para um único acesso e expira em menos de 1 minuto, ou mesmo um padrão biométrico — impressão digital ou de voz, reconhecimento facial, varredura da íris etc. Existem, inclusive, modelos de autenticação baseada em três fatores: a Senha/PIN (o que se sabe), o Token (o que se tem) e métodos biométricos (o que se é) para identificação (o aumento dos fatores no processo de autenticação dificulta ainda mais a ação de criminosos).

A maioria dos serviços baseados na Web suporta o 2FA, mas não o habilita por padrão. Como o procedimento varia caso a caso, uma boa ideia é pedir ajuda ao site Two Factor Auth, que ensina a configurar esta função na maioria dos webservices que lhe oferecem suporte.  

Voltando à Microsoft, ao longo de 2020 a empresa implementou aprimoramentos no Windows Hello (que permite fazer logon no Windows e em alguns websites compatíveis usando entradas biométricas), melhorias no Microsoft Authenticator e maior integração de diversos serviços com chaves físicas no padrão FIDO2. Agora, a ideia é tornar o acesso sem senha uma realidade para todos os usuários.

Segundo Alex Simons, vice-presidente corporativo do programa Microsoft Identity, senhas são incômodas e oferecem riscos a usuários e organizações de todos os portes — em média, uma em cada 250 contas corporativas são comprometidas todo mês. De acordo com o Gartner, 20% a 50% de todas as chamadas ao help desk são para redefinições de senha, e o cibercrime custa cerca de US$ 2,9 milhões por minuto à economia global.

A ideia por trás da autenticação em dois fatores usando essa estratégia é a de que, mesmo que invasores consigam roubar login e senha, não poderão acessar contas ou arquivos a menos que também possuam esse segundo fator físico, que está em poder do usuário. As formas mais comuns de fazer login usando 2FA exigem que o usuário informe sua senha e um código único, que é enviado para seu smartphone por SMS — apontado pelos especialistas como “menos seguro” que o token, dada a possibilidade de interceptação da mensagem de texto — ou de um aplicativo como Authy ou Google Authenticator.

Já a chave física (como é o caso do FIDO2) trabalha com uma forma de autenticação conhecida como Segundo Fator Universal (U2F, ou universal 2nd factor), que permite ao usuário concluir o processo de login inserindo uma chave USB e pressionando um botão, como se estivesse abrindo um cofre. O processo acontece sem que seja necessária a instalação de drivers.  Depois que a chave é cadastrada em um site específico (que ofereça suporte ao U2F), o usuário não precisa mais digitar sua senha se estiver usando o mesmo dispositivo. Para mais informações sobre Windows Hello x FIDO2, clique aqui; para saber mais sobre o uso do FIDO2 nos produtos nos produtos Microsoft, siga este link.

DE VOLTA AO 2FA

A ESTUPIDEZ É A MAIS ORDINÁRIA DAS ATITUDES.

Conforme vimos nos capítulos anteriores, senhas roubadas, reutilizadas e fracas continuam sendo as principais causas de violações de segurança, daí a recomendação de utilizar a dupla camada de autenticação (MFA ou 2FA).

Embora a maioria das redes sociais — Facebook, Instagram, Twitter etc. — e serviços providos por empresas como Google, Microsoft e Apple, entre outros, suporta esse recurso, nenhuma delas o ativa por padrão, talvez porque os usuários, em sua esmagadora maioria, priorizam a comodidade em detrimento da segurança. Mas a prudência ensina que é melhor investir um minuto na proteção dos dados do que perdê-los em um minuto.

No modelo de 2FA baseado em SMS, a senha de uso único (OTP) é enviada por mensagem de texto para o número de celular cadastrado e, a exemplo do procedimento adotado no 2FA baseado em soft-token/token de hardware, deve ser informada para garantir o acesso ao aplicativo, serviço ou seja lá o que for. Para atividades online de baixo risco, esse modelo está de bom tamanho, mas deve ser evitado em transações via netbanking, compras online, acesso a contas de email etc., dada a possibilidade de a mensagem de texto ser interceptada pela bandidagem de plantão (a rigor, o SMS é a forma menos segura de dupla autenticação).

O TOTP (código de uso único baseada em tempo) é a modalidade de dupla autenticação mais popular atualmente. A exemplo das senhas geradas por tokens de hardware, os códigos criados por aplicativos só podem ser usados uma única vez, e sua validade expira em menos de 1 minuto. Apps de 2FA estão disponíveis para Windows, MacOS, Android, iOS etc. 

Em algumas versões, em vez informar a senha gerada pelo aplicativo, o usuário autoriza a tentativa de acesso de autenticação (ou nega, caso não tenha partido dele) a partir de uma mensagem recebida através do aplicativo. Essa modalidade evita erros de digitação e que tais, mas exige um celular ou outro dispositivo capaz de acessar a Internet (para a instalação do aplicativo), razão pela qual, a despeito de ser menos segura, a 2FA via SMS é mais indicada em áreas onde o sinal das operadoras de celular e ou de Internet são fracos e instáveis.

Na 2FA baseada em biometria, o próprio usuário faz o papel de token, pois a autenticação é feita a partir de reconhecimento facial ou de voz, escaneamento de íris ou, mais comumente, de impressões digitais. Resta saber até quando essas muralhas, hoje “intransponíveis”, resistirão à criatividade dos cibervigaristas.

Para mais informações e download, visite TwoFactorAuth.org. Para baixar o app Authy 2FA para iOS, Android ou Desktop, clique aqui ; para aprimorar a segurança de sua conta no Twitter, clique aqui; para saber como habilitar o 2FA para seus sites favoritos, clique aqui; para noções básicas sobre 2FA, clique aqui; para entender melhor como funciona o recurso de vários dispositivos do Authy 2FA, clique aqui.

REDES SOCIAIS E INSEGURANÇA DIGITAL — CONTINUAÇÃO

O CENTRÃO É COMO AS HIENAS, QUE SÃO BOAS EM  AVALIAR O REBANHO INDENTIFICAR O ANIMAL QUE ESTÁ MANCANDO, QUE LOGO VAI FICAR PARA TRÁS.

Da feita que pessoas mal-intencionadas podem fazer mal uso do conteúdo que você publica nas redes sociais, é bom considerar a possibilidade de limitar o acesso a seguidores, familiares e amigos, por exemplo. E cultivar o velho bom senso (lembra dele?) na hora de postar — não vejo por que alguém precisa publicar cada peido que solta ao longo do dia, com direito a foto e trilha sonora (sem amostra do cheiro, mas só porque ainda não criaram um recurso para isso). Enfim, a vida é sua, o funeral é seu.

O Face permite controlar a visibilidade de praticamente tudo — desde as informações básicas de perfil (local de moradia, status de relacionamento, histórico profissional, idade etc.) até cada postagem, individualmente. Basta acessar a aba “Privacidade” da página Configurações da plataforma para definir quem pode procurar seu perfil com base em seu email ou telefone e indexá-lo ou não nos mecanismos de busca, quem pode ver suas publicações futuras (todo mundo, só amigos ou privado), quem pode lhe enviar solicitações de amizade, em quais publicações de terceiros você aceita ser marcado, etc. e tal.

O Insta funciona de maneira mais simples, permitindo escolher somente se a conta será privada ou não. Para ativar essa opção, acesse a página de Configurações e marque a caixa “Conta privada” no campo “Privacidade e segurança". Feito isso, os demais usuários da rede só verãos suas publicações se você os aceitar como seguidores.

No Twitter, o painel de privacidade permite limitar quem vê seus tweets, quem pode mencionar você em publicações e/ou lhe enviar mensagens privadas, bem como limitar os conteúdos que você terá em seu feed (na seção “Privacidade e segurança” da página das Configurações).

Em qualquer caso, utilize senhas fortes e recorra a um gerenciador de senhas para ter uma credencial complexa e distinta para cada serviço online sem depender da memória ou precisar anotar as informações de login num post-it e grudá-lo na moldura do monitor (tem gente que faz isso, acredite). 

Uma senha com 20 dígitos levaria 63 quatrilhões de anos para ser quebrada por um ataque leve e 628 bilhões de anos por um ataque moderado (note que a dificuldade aumenta conforme você combina letras maiúsculas e minúsculas com algarismos e caracteres como %, &, $, #, @ etc.).

Não é consenso entre os especialistas em segurança digital, mas alguns recomendam tornar as senhas tão longas quanto possível, já que o brut force attack (método que consiste em experimentar todas as combinações alfanuméricas possíveis) pode ser mitigado pela limitação da quantidade de tentativas de login permitidas. Uma senha como “pais de político ladrão”, por exemplo, é mais difícil de quebrar e mais fácil de memorizar do que “Br0ub7d$r&3”, também por exemplo. A primeira levaria mais de 500 anos para ser descoberta por um invasor que usasse um computador doméstico, ao passo que a segunda, que parece mais segura, poderia ser quebrada em apenas três dias.

Senhas numéricas de 4 dígitos são fáceis de memorizar, mas só ofereçam proteção responsável quando associadas a uma segunda camada de segurança. Se você tem conta em banco, provavelmente usa uma senha de 4 algarismos combinada sua impressão digital, com o mapa dos vasos sanguíneos da palma da mão ou senha ou com uma senha aleatória gerada por um token.

Quanto mais fatores forem usados no processo de autenticação, mais difícil será a "tarefa" dos fraudadores. Em algumas instituições financeiras, a autenticação é baseada em três fatores: a Senha/PIN (o que se sabe), o Token (o que se tem) e métodos biométricos (o que se é) para identificação.

Observação: O Token — também chamado de OTP(de One Time Password) — pode ser um dispositivo de hardware ou um aplicativo. Em ambos os casos ele gera uma senha descartável, válida para uma única vez, e que deixa de funcionar se for digitada após um período de tempo pré-definido (30 segundos, p.ex.). Alguns modelos armazenam e suportam certificados digitais, o que torna a conexão ainda mais segura.

Cuidado com o que você compartilha. Pense nas redes sociais como uma conversa na vida real e seja seletivo com solicitações de amizade. Nunca se sabe se o seguidor em potencial é alguém mal-intencionado. Redobre os cuidados com aplicativos conectados. Fazer login em plataformas usando sua conta do Google ou do Facebook pode ser prático, mas implica o risco de seus dados irem de embrulho se os servidores do site foram invadidos por hackers (ou crackers, melhor dizendo).

DE VOLTA À AUTENTICAÇÃO EM DUAS ETAPAS

SE FERRADURA TROUXESSE SORTE, BURRO NÃO PUXAVA CARROÇA.

O material obtido criminosamente pelo grupo de hackers pé-de-chinelo (se é que somente os quatro suspeitos presos foram os responsáveis por invadir quase 1000 celulares de altas autoridades da República) e “entregue de mão beijada” ao criador do panfleto digital proselitista The Intercept — que vem vazando seletivamente trechos fora de contexto e possivelmente adulterados — é mais uma prova cabal de que segurança absoluta no universo digital é mera cantilena para dormitar bovinos.

Mesmo que a investigação ainda esteja em curso e os detalhes continuem sob segredo de Justiça, o que já foi divulgado deixa claro que as vítimas não se preocuparam em ativar a autenticação em duas etapas no Telegram e tampouco utilizaram o “chat privado”, no qual as mensagens são encriptadas e desaparecem automaticamente segundos ou minutos depois de lidas. Como a maioria de nós, Moro, Dallagnol e os demais envolvidos no furdunço privilegiaram a comodidade em detrimento da segurança, e o grande problema com as consequências é que elas vêm depois. 

Habilitar a autenticação em duas etapas é fundamental para garantir a segurança de contas e logins, seja em aplicativos mensageiros, como o WhatsApp e o próprio Telegram, seja em redes sociais, serviços e webmail e tudo mais que envolva dados “sensíveis”. Na maioria dos serviços, essa proteção adicional funciona por meio de um código numérico (token) registrado em aplicativos específicos, como Google Authenticator, Authy ou 1Password. Assim, sempre que se conectar usando um novo dispositivo, o usuário terá de informar o token para concluir o processo de login; se alguém descobrir sua senha, esse alguém só conseguirá acessar suas informações se obtiver também esse código adicional. 

A questão é que o envio do código pode ser feito por email ou SMS, e por ser essa a opção mais prática, ela é adotada por 9 em cada dez internautas. Mas praticidade e segurança nem sempre caminham juntas.

Por padrão, sempre que um email ou torpedo é recebido, o smartphone exibe uma notificação, mesmo que o bloqueio da tela esteja ativado. E é aí que mora o perigo. A Forbes publicou um vídeo de um grupo de hackers da Positive Technologies mostrando como foi possível acessar uma carteira de bitcoin na Coinbase por meio de interceptação de SMS.

Tudo começa quando os pesquisadores tentam recuperar a senha de uma conta do Gmail. Após obterem alguns dados (como nome e sobrenome) da “vítima”, eles solicitam um SMS com o código de recuperação, que é interceptado por meio de uma ferramenta. Depois que o Google confirma a identidade do usuário, é só mudar a combinação da conta. Feito isso, bastou entrar na Coinbase e acessar o “Esqueci minha senha”: o serviço de carteira de criptomoedas enviou um link de troca de senha, e a alteração foi realizada sem a menor dificuldade. Confira (são apenas 3 minutos):

Com informações do site Tecnoblog.

AINDA SOBRE SENHAS (CONCLUSÃO)

GOSTO DE OLHOS QUE SORRIEM, DE GESTOS QUE SE DESCULPAM, DE TOQUES QUE SABEM CONVERSAR E DE SILÊNCIOS QUE SE DECLARAM. 

Uma dica batida, mas funcional, é aproveitar as letras ou sílabas iniciais de um de um poema ou uma canção. Assim, “batatinha quando nasce se esparrama pelo chão” nos dá “baquanasespechao” (que demoraria 34.000 anos para ser descoberta por um ataque brute force a partir de um PC comum, de acordo com o site How Secure Is My Password). 

Para aumentar a segurança, bastaria alternarmos letras maiúsculas e minúsculas, o que nos daria bAquaNnaSsEeSpEchAo (e elevaria o tempo estimado para 300 trilhões de anos). Mas isso não nos autoriza a usar a mesma senha para tudo, e memorizar dúzias de combinações complexas como essa e o que cada uma delas permite acessar é treinar para louco.

Se não podemos confiar na memória nem anotar as senhas em post-its e grudá-los na moldura do monitor, por que não aceitar a simpática sugestão do navegador, que se propõe a memorizar as passwords e as inseri-las nos campos respectivos quando necessário? Porque, apesar de ser prática, essa opção não é segura o bastante. 

No Chrome, basta digitarmos chrome://settings/passwords na barra de endereços e teclar Enter para visualizar as senhas salvas no banco de dados "SQLite3", que fica em %LocalAppData%\Google\Chrome\User Data\Default\Login Data.

Observação: SQLite é uma biblioteca de código aberto, desenvolvida em linguagem C, que permite criar um banco de dados na própria aplicação (ou banco de dados embutido), que tem como vantagem a simplicidade e como desvantagens a performance e a limitação de recursos.  

Em tese, as senhas são exibidas apenas para o usuário que estava logado no sistema por ocasião de sua memorização. Na prática, porém, a teoria costuma ser outra. 

Se você se logar no Face, autorizar o Chrome a memorizar os dados de login e usar o DB Browser for SQLite para acessar o arquivo do banco de dados, verá a URL da página e seu nome de usuário em texto simples. Sua senha será exibida no formato hexadecimal (vide caixa vermelha à direita da imagem que ilustra o post), mas a ferramenta CryptUnprotectData pode decodificá-la e exibir no modo texto, o que é uma mão na roda para os cibercriminosos. E se houver problemas para visualizar a password criptografada em BLOB (binary large object), a poderosa linguagem de programação Python permite fazer de maneira simples e rápida coisas que antes exigiam conhecimentos avançados em C.

Observação: Note que os fraudadores nem precisam ter acesso físico ao computador: o “trabalho” pode ser feito remotamente com a ajuda de programinhas específicos (que existem aos montes na Web), e até por malwares.

Há anos que as instituições financeiras vêm exigindo dupla autenticação, o que dificulta sobremaneira a ação dos fraudadores. Algumas utilizam a autenticação baseada em três fatores: a Senha/PIN (o que se sabe), o Token (o que se tem) e métodos biométricos (o que se é) para identificação. O aumento dos fatores no processo de autenticação dificulta ainda mais a ação de criminosos.

A maioria dos serviços baseados na Web suporta o 2FA, mas não o habilita por padrão ― o site Two Factor Auth ensina a configurar esta função na maioria dos webservices que a suportam. 

A tal “segunda camada” pode ser um número de identificação pessoal (PIN), a resposta a uma “pergunta secreta”, um padrão específico e pressionamento de tela, uma senha de seis dígitos gerada por um token de hardware ou um aplicativo instalado no smartphone (que vale para um único acesso e expira em menos de 1 minuto) ou um padrão biométrico — impressão digital ou de voz, reconhecimento facial, varredura da íris etc.

Gerenciadores de senha dedicados são mais seguros que os “memorizadores” integrados aos browsers. Eu uso e recomendo o 1Password, mas o RoboForm e o LastPass são gratuitos e muito bons. Outra opção interessante é KeePass, que protege as senhas com criptografia de 256 bits e pode rodar a partir de um pendrive ou de uma pasta criada no HDD.

As versões baseadas na Web dispensam instalação e costumam oferecer recursos adicionais, tais como geração de senhas aleatórias seguras e armazenamento de números de cartões de crédito. Tanto a encriptação quanto a decriptação dos dados são feitas localmente (no próprio computador), e da feita que as administradoras de cartões não têm acesso à chave criptográfica um eventual ataque a seus servidores não colocará em risco a privacidade dos clientes.

A Intel Security tomou a iniciativa de declarar a primeira terça-feira do mês de maio como Dia Mundial da Senha, quando as pessoas devem assumir o compromisso de alterar suas senhas por outras mais seguras, e compartilhar em suas redes sociais (acompanhada da hashtag #WorldPasswordDay) ao menos uma dica sobre a importância de criar e manter senhas fortes.

Para mais dicas sobre senhas, acesse a página da MCAFEE ou recorra ao serviço MAKE ME A PASSWORD; para testar a segurança de suas senhas, acesse a CENTRAL DE PROTEÇÃO E SEGURANÇA DA MICROSOFT ou o site HOW SECURE IS MY PASSWORD.

SENHAS — É MELHOR USAR UM GERENCIADOR DEDICADO OU O DO PRÓPRIO NAVEGADOR?

PEQUENAS MENTIRAS FAZEM O GRANDE MENTIROSO. 

 

Senhas óbvias não protegem, e as mais complexas são difíceis de memorizar, sobretudo quando usamos uma para cada coisa e as trocamos regularmente, seguindo as recomendações dos especialistas. 

 

Quem se der ao trabalho de pesquisar o Blog vai encontrar diversas dicas para a criação de senhas complexas “memorizáveis”, mas eu recomento usar um gerenciador de senhas (até porque aceitar a simpática oferta dos navegadores pode ser cômodo, mas comodidade e segurança raramente andam de mãos dadas). 

 

Se você se logar no Facebook, por exemplo, e autorizar o Chrome a memorizar suas credenciais de acesso, o DB Browser for SQLite dará acesso ao arquivo do banco de dados com sua senha no formato hexadecimal. Mas basta recorrer ao CryptUnprotectData, por exemplo, para ter a esses dados em texto plano (o que é uma mão na roda para cibercriminosos).

 

O gerador de senhas do Google Chrome cria passwords robustas de forma simples e fácil, e as salva em seu banco de dados de forma segura, já que, segundo a gigante de Mountain View, a palavra-chave é gerada de forma totalmente automática e disponibilizada somente para o usuário. 

Observação: Para usar esse recurso, faça logon no Chrome com sua senha do Google, clique na foto de perfil (no canto direito da janela do browser), selecione o ícone de chave (que é exibido logo abaixo do seu nome) e ative (se necessário) a opção “Oferecer para salvar senhas”. Para testar, acesse qualquer rede social, clique em “Criar uma conta”, preencha os dados, clique no campo “senha” e na opção “Sugerir senha forte”. Se não ficar satisfeito, clique em qualquer lugar da tela, volte a selecionar o campo “senha” e veja se a nova sugestão de código de acesso lhe agrada. Se quiser ou precisar alterar a senha mais adiante, use o próprio gerenciador para excluir a password salva e gerar uma nova. No smartphone, o procedimento é basicamente o mesmo. A diferença é que a ferramenta aparecerá ao lado do teclado (basta clicar nela para ativá-la). Note que o gerador só irá funcionar se você estiver logado no Chrome (com sua conta do Google) e que a sugestão de gerar senha pode não aparecer de forma automática. Se for o caso, clique com o botão direito no campo respectivo e depois selecione “Sugerir senha”.

 

A maioria dos serviços baseados na Web que suporta o 2FA raramente o habilita por padrão, mas o site Two Factor Auth ensina a configurar essa função nos webservices que a suportam. A tal “segunda camada” pode ser um número de identificação pessoal (PIN), a resposta a uma “pergunta secreta”, um padrão específico e pressionamento de tela, uma senha de seis dígitos gerada por um token de hardware ou um aplicativo instalado no smartphone (que vale para um único acesso e expira em menos de 1 minuto) ou um padrão biométrico — impressão digital ou de voz, reconhecimento facial, varredura da íris etc.

 

Observação: A autenticação em três fatores combina Senha/PIN (o que se sabe) com Token (o que se tem) e métodos biométricos (o que se é) é ainda mais segura — quanto maior o número de fatores no processo de autenticação, tanto maior a segurança.

 

Gerenciadores de senhas baseados na Web dispensam instalação e oferecem alguns recursos adicionais, como a geração de senhas aleatórias seguras e o armazenamento de números de cartões de crédito. Tanto a codificação quanto a decodificação dos dados são feitas no próprio computador do usuário, de modo que as administradoras de cartões não têm acesso à chave criptográfica e, em tese, a privacidade dos clientes não seria comprometida por um eventual ataque a seus servidores.

 

Para mais dicas sobre senhas, acesse a página da MCAFEE ou recorra ao serviço MAKE ME A PASSWORD; para testar a segurança de suas senhas, acesse a CENTRAL DE PROTEÇÃO E SEGURANÇA DA MICROSOFT ou o site HOW SECURE IS MY PASSWORD.

DE VOLTA À AUTENTICAÇÃO EM DOIS FATORES

NÃO SOU PRECONCEITUOSO, MAS SUPERIOR.

Diz um velho ditado que o que abunda não excede; outro, que é melhor pecar por ação que por omissão; outro, ainda, que seguro morreu de velho. Então vamos lá:

A vaza-jato, como ficou conhecido o vazamento de mensagens obtidas de forma criminosa (mediante hackeamento de aproximadamente 1000 smartphones de autoridades) e divulgadas seletivamente pelo site Intercept, trouxe preocupação a usuários de aplicativos mensageiros, como o Telegram e o WhatsApp.

Uma das maneiras de aprimorar a segurança desses programas (e de diversos serviços online) é a dupla autenticação, até porque não é boa política confiar apenas numa simples senha alfanumérica, não importa quão segura ela pareça ser — menos pela "insegurança" propriamente dita das senhas e mais pela negligência dos usuários, que não raro criam senhas robustas — isto é, difíceis de memorizar —, mas as anotam num post-it que candidamente colam na moldura do monitor do PC, por exemplo.

Outras prática a evitar, a despeito da comodidade que ela proporciona (conforto e segurança raramente andam de mãos dadas), é usar a mesma senha para se logar em diversos serviços — e, pior ainda, salvá-la no navegador, para que seja preenchida automaticamente sempre que necessário. Mesmo que só você utilize seu PC (ou smartphone, que não deixa de ser um computador), bisbilhoteiros não faltam, e alguém sempre pode se aproveitar... enfim, acho que já me fiz entender.   

O sequestro de contas em redes sociais tem sido uma prática recorrente, e uma maneira de dificultá-lo é justamente a autenticação em dois fatores (conforme já frisei uma porção de vezes, mas volto a repetir em atenção aos recém-chegados). Por autenticação de dois fatores (ou 2FA), entenda-se a criação de uma camada adicional de segurança de login, que visa limitar ao legítimo usuário o acesso a um aplicativo ou serviço, mesmo se alguém descobrir a senha. O segundo fator é um código de segurança que não precisa ser memorizado, pois é criado aleatoriamente a cada login e pode ser recebido por SMS ou email, ou mesmo gerado num aplicativo (soft token) ou num dispositivo específico para esse fim (hard token).

Apps de troca de mensagens, como os populares WhatsApp e o Telegram, oferecem nativamente o recurso, mas é preciso ativá-lo para uso. Em smartphones com Android 7 e versões superiores pode ser usado como chave de segurança um mecanismo que combina a localização do GPS com o sensor de proximidade conectado pelo Bluetooth. As contas no Facebook e Instagram também oferecem a opção, e uma maneira universal de gerar o código de segurança é recorrer ao aplicativos Google Authenticator e Microsoft Authenticator. Os dois funcionam como geradores de códigos aleatórios para proteger as contas de redes sociais, email, entre outros tipos de serviço online.

Atualmente diversos mecanismos de controle de acesso suportam a autenticação de dois fatores, mas, de novo, é preciso ativar essa segunda camada de segurança. Convém fazê-lo o quanto antes; depois não adianta chorar.

CLONAGEM DE CONTAS EM REDES SOCIAIS E AUTENTICAÇÃO EM DUAS CAMADAS (2FA)

NÃO HÁ NADA MAIS PERIGOSO DO QUE UM IDIOTA INVENTIVO.

A popularização da Internet, a banda larga e as facilidades proporcionadas pelo smartphone levaram os vigaristas dos tempos de antanho a se atualizar. 

Embora o pré-histórico “conto do bilhete premiado” continue fazendo vítimas, os cibervigaristas descobriram que podem lucrar mais e com menos esforço adequando-se ao “estelionato 2.0”, pois uma simples mensagem de phishing enviada em massa pode produzir excelentes resultados, desde que “engenheiro social” tenha habilidade para construir narrativas que convençam suas vítimas em potencial a engolir a isca com anzol e tudo (mais detalhes nesta postagem).   

Em seu sentido mais amplo, a Engenharia Social e uma conjunto de técnicas de manipulação psicológica que induzem as pessoas a fazer o que se quer que elas façam — no caso específico do cibercrime, persuadi-las a revelar informações confidenciais (senhas bancárias, p.ex.) que possam ser usadas pelo vigarista para obter lucro ilício. Entre os ataques mais comuns, atualmente, estão os emails de phishing e o vishing (telefonemas de pessoas que se apresentam como uma organização respeitada).

De acordo com a empresa de segurança PSafe, o sequestro de contas em redes sociais tem sido uma prática recorrente. Somente em setembro do ano passado, 473 mil usuários tupiniquins do WhatsApp tiveram suas contas clonadas (média de 15 por dia), o que poderia ter sido evitado pela autenticação em dois fatores (ou 2FA).

Via de regra, o segundo fator é um código criado aleatoriamente a cada login, que geralmente é enviado por SMS ou email ao usuário cadastrado, mas em alguns casos é gerado por aplicativo (soft token) ou por um dispositivo específico (hard token). O objetivo e acrescer uma camada adicional de segurança ao login, de maneira a impedir que pessoas não autorizada acessem o aplicativo ou serviço, ainda que descubram a senha do usuário.

Apps de troca de mensagens, como os populares WhatsApp e o Telegram, oferecem nativamente o recurso, mas é preciso ativá-lo para uso. Em smartphones com Android 7 e versões superiores, pode-se usar como chave de segurança um mecanismo que combina a localização do GPS com o sensor de proximidade conectado pelo Bluetooth.

A maioria dos mecanismos de controle de acesso suporta a autenticação de dois fatores e apps como o Google Authenticator e o Microsoft Authenticator são capazes de códigos aleatórios para proteger contas de webmail, netbanking, Facebook, Instagram etc. O site Two Factor Auth ensina a configurar o 2FA na maioria dos webservices, tanto bancários quanto de redes sociais.

AINDA SOBRE A AUTENTICAÇÃO EM DUAS ETAPAS

AO MEDO DOS PODERES INVISÍVEIS, INVENTADOS OU IMAGINADOS A PARTIR DE RELATOS, CHAMAMOS RELIGIÃO. 

Windows, Gmail, Facebook, WhatsApp, Telegram e mais uma vasta gama de apps e webservices se tornam mais seguros com a autenticação em dois fatores, que exige comprovação de identidade por mais de um método. Com ela, além de descobrir sua senha principal, um invasor precisará do token (código numérico gerado automaticamente e vale para um único acesso) que é enviado para o seu celular, endereço de email ou outro método secundário de autenticação que você definiu durante a ativação da 2FA.

Observação: Clique aqui para saber como ativar a dupla autenticação no WhatsApp; no Telegram, em Configurações, selecione Privacidade e Segurança > Verificação em duas etapas > Configurar senha adicional, defina uma senha de acesso, toque no botão exibido na parte de cima da tela para avançar, confirme a senha, crie uma dica de senha, informe um endereço de email (para facilitar a recuperação da senha) e, na tela seguinte, digite o código que lhe foi enviado por email (para confirmar que você tem acesso a ele) e toque novamente no botão com ícone de visto na parte de cima.

Receber o token via SMS é prático, mas “torpedos” são facilmente interceptáveis. Aliás, causa espécie a insistência das empresas em mandar dados importantes por SMS, considerando a quantidade de falhas conhecidas da rede SS7 (Sistema de Sinalização 7), utilizada para gerenciar ligações telefônicas e mensagens de texto, e o fato de que a maioria delas não foi corrigida pelas operadoras. E como tanto o iPhone como os smartphones Android podem exibir notificações de mensagens na tela de bloqueio, recomendo enfaticamente desativar essas notificações. Veja como:

- No iPhone, para impedir a visualização de notificações na tela sem que seja preciso desbloquear o aparelho, toque em Ajustes > Notificações > Mostrar Pré-visualizações e mude a configuração de “Sempre” para “Quando desbloqueado” ou “Nunca”. 

- No Android, o caminho pode variar um pouco conforme a versão, mas, em linhas gerais, basta tocar em Configurações > Notificações > Mensagens e explorar as opções disponíveis.

Para ativar, alterar ou desativar o PIN do SIM no iPhone, toque em Ajustes > Telefone > PIN do SIM; se o sistema do seu aparelho for o Android, toque em Configurações > Segurança > Bloqueio do cartão SIM e siga as instruções (pode haver variações conforme a versão do Android). Se você não souber o PIN, não tente adivinhá-lo. Depois de 3 tentativas incorretas (o número de vezes pode ser maior, dependendo da operadora), o chip é bloqueado e só será liberado mediante o PUK, que funciona como uma “chave-mestra”. 

O SIM Card vem num cartão de papelão onde constam algumas informações, dentre as quais PIN e o PUK. Como a gente nem sempre guarda esse cartão em local certo e sabido, nem sempre o encontra se e quando precisa usar o PUK para destrancar o PIN (convém anotar o número em outro local). 

O PIN — de Personal Identification Number — é uma senha de 4 dígitos que bloqueia ou desbloqueia o SIM Card. Por padrão, a Claro usa 3636; a Oi, 8888; a TIM, 1010, e a Vivo, 8486. Para prevenir acessos não autorizados, convém substituí-lo por uma senha pessoal, também de 4 dígitos. 

O PUK (de Pin Unlock Key) é a "chave" que "destrava" o SIM Card se o PIN for digitado incorretamente três vezes seguidas. Em alguns casos, os quatro primeiros dígitos servem de senha para outros recursos (como acesso à caixa postal, por exemplo), e se houver PUK 1 e PUK 2, o primeiro desbloqueia o PIN 1 e o segundo, o PIN 2. 

O PIN 1 é a senha principal de acesso ao telefone e que bloqueia ligações, SMS e chamadas de emergência; o PIN 2 costuma servir de alternativa e também para bloquear determinados serviços oferecidos pela operadora.

Por padrão, o PIN do SIM vem desativado, e há quem o deixe assim para não ter o trabalho de digitar o código sempre que ligar ou reiniciar o telefone — ou quando transferir o chip para outro dispositivo. No entanto, além de impedir o uso do aparelho por terceiros, essa camada adicional de proteção evita que pessoas não autorizadas visualizem tokens de verificação em duas etapas enviados via torpedo (SMS). Para não ingressar no lado negro das estatísticas, sugiro habilitar esse recurso. 

Observação: Após 10 tentativas incorretas de digitar o PUK (ou menos, conforme a operadora), o SIM Card é bloqueado definitivamente, e o jeito será adquirir um novo chip numa loja credenciada pela operadora — isso se você quiser manter o mesmo número de telefone; do contrário, caso sua linha seja pré-paga, basta comprar um chip (com outro número) em qualquer loja que comercialize celulares e acessórios.

Lembre-se: A segurança é um hábito, e como tal deve ser cultivada.