amooconhecimento.com.br

Como criar senhas imbatíveis

Evita de ter uma senha padrão sendo usada para tudo. Agora você vai aprender a criar senhas complexas de forma simples.

Você não vai mais criar senhas, você terá um lugar certo para guardar suas senhas. Até porque você nem conseguirá decorar as senhas de tão fortes que elas serão.

A senha é nossa primeira linha de defesa. É como o cadeado na sua porta na entrada da sua casa. As senhas devem ser fortes e temos vários mecanismos existentes para criar essas senhas.

Introdução

Como somos representantes de IPs somos usuários interconectados e a internet nos levou para o mundo onde cada serviço que você utiliza pode ser acessado por outra pessoa em qualquer país porque você usa uma senha muito fraca para um cibercriminoso quebrar.

E acontece que a tendência no mundo cada vez mais digital é o fim da propriedade privada da mídia física e a troca por serviços para tudo. Ou seja, “Você não terá nada e será feliz“, essa frase foi falada no Fórum Econômico Mundial – FEM em 2016 pelo Klaus Schwab prevendo que o mundo em 2030 será fortemente de consumo de entretenimento digital, uma vida dependente de serviços digitais onde você perderá o direito a posse e vai ter que pagar por tudo que acessa online.

Seja streaming de música, de filmes, séries e desenhos, a TV ao vivo cada vez mais digital, os jogos digitais e isso acontece no mesmo tempo que as pessoas preferem a comodidade de realizar compras online do que ir em lojas físicas.

Com isso você vai precisar cada vez mais pagar por serviços online e ter contas em várias plataformas diferentes para gerenciar suas assinaturas.

Dito isso, quando você tem senhas fracas você está pedindo para ser invadido em algum dos serviços online que utiliza. Saiba que tudo o que fazemos online deixa uma pegada digital que está sujeita a brechas de segurança.

Um exemplo é o Shodan que é o google dos hackers. Nele você consegue ver câmeras de segurança mundo a fora de pessoas que tiveram o IP exposto na internet por conta de senhas fracas desses dispositivos, como as câmeras que se tornaram vulneráveis.

Por isso, é essencial você se proteger na internet com senhas únicas e inquebráveis nos serviços que utiliza para evitar que sejam acessadas por um desconhecido. Feito essa introdução vou mostrar abaixo como criar senhas fortes e imbatíveis:

O que evitar ao definir uma senha

Mais de 80% dos ataques cibernéticos bem sucedidos envolvem senhas fracas ou reutilizadas. Ainda tem muitas pessoas usando senhas fracas como “123456” ou “senha123”. Isso facilita a vida dos crackers, confira as dicas agora.

  • Usar informações pessoais (data de nascimento, nome, telefone);

Vazamentos de dados acontecem todos os dias e se o cibercriminoso pode ter acesso a esses dados sensíveis de você: por que você fica colocando essas informações na criação das suas senhas? Essas serão as primeiras tentativas deles. E não ache que se você usar os dados do seu filho no lugar como a data de nascimento dele vai ajudar porque eles também vão tentar essas informações.

  • Fazer senhas curtas (menores de 12 caracteres);

Senhas com menos de 12 caracteres são senhas fracas e fáceis de quebrar. Sempre altere a senha padrão de todos os seus dispositivos para símbolos, letras maiúsculas, minúsculas e números.

  • Usar palavras comuns do dicionário (ex: “senha”, “admin”, “password”);

Também usar sequências óbvias como “123456” e “QWERTY” e ainda por cima reutilizar em vários sites o que vai facilitar do cracker ter sucesso em tudo.

Se você acessa todos os serviços com o Facebook ou Google você perde sua privacidade já que esses serviços vão acessar todos os seus contatos e caso perda a senha deles você não loga mais em nada.

Curiosidade: Ataques de força bruta podem testar milhares de combinações por segundo. Uma senha de 6 a 8 caracteres pode ser quebrada em minutos, ou seja, são quebradas instantâneamente.

O cracker baixa um banco de dados com as informações e usa um serviço próprio para tentar quebrar as senhas automaticamente tentando várias combinações por segundo sem parar. Uma senha fraca de fato não é nada.

Regra da senha segura

  • No mínimo 12 caracteres (o ideal é 16+)
  • Misturar letras maiúsculas, minúsculas, números e símbolos
  • Criar senhas únicas para cada conta, uma senha para cada serviço

Fazer isso independente se você tem 3 streaming, você cria uma senha para cada uma delas.

  • Evitar palavras comuns, mesmo modificadas como “P@SSWORD123” ainda é fraca;

Técnica I – Frase senha

Crie uma frase fácil de lembrar e difícil de adivinhar. Ex: “MeuCachorroFelizPula@Noite123!”

Técnica II – Substituições inteligentes

Transforme uma frase em um código mais seguro: Ex: “AdoroCaféComLeite!” para “@d0r0C@féC0mL3!t3”

Técnica III – Método de Associação

Combine palavras aleatórias e adicione caracteres especiais: “Céu!Bicicleta#42Maçã@”

Técnica IV – Como gerenciar várias senhas com segurança

Senhas são intransferíveis e você não pode deixar ninguém criar senhas para você. O Gerenciador de senhas esvazia a sua mente, evita de você ter de se preocupar em lembrar suas senhas ou ter que redefinir senhas.

O gerenciador de senhas vai te ajudar a gerar as senhas fortes criando combinações aleatórias além de armazenar essas senhas complexas. Exemplos: Bitwarden, iPassword, LastPass, NordPass e o Proton Pass.

Vamos usar como exemplo o LastPass:

https://www.lastpass.com/pt/features/password-generator

Ele gera a senha complexa de forma aleatória para você com quantos caracteres você quiser de forma gratuita. Além disso, vale ressaltar que o gerenciador de senha é um cofre digital seguro e protegido de bisbilhoteiros por criptografia de dados avançada como a criptografia de ponta a ponta e apenas você tem a chave para descriptografar e acessar seus dados.

Ative a autenticação em dois fatores (2FA)

Autenticação é um dos principais controles de segurança de qualquer aplicação!

A autenticação consiste em uma forma de garantir que a pessoa que está acessando o sistema é quem ela diz ser. Tipicamente ela é usada junto com a identificação, então você se identifica e se autentica, ou seja, você diz quem você é e você prova de alguma forma que você é essa pessoa.

A identificação do usuário geralmente é um e-mail, um login, o número do cpf, alguma chave para o sistema saber quem é você. Mais importante do que isso é o sistema saber que é você mesmo fazendo login e não é outra pessoa usando a sua identificação.

Existem três formas de você autenticar um usuário – elas não são exclusivamente eletrônicas porque também funcionam no mundo real:

1 – Algo que só aquele usuário sabe. Se tem alguma coisa que só aquele usuário sabe, ninguém mais sabe e ele te fala essa coisa você pode ter uma certeza que ele é quem está dizendo ser. Chamamos isso de senha, passphrase.

2 – Autenticar a pessoa por algo que só aquele usuário tem. Se a pessoa apresenta algum cartão magnético, um certificado digital, uma chave privada, um dispositivo único como o celular dele. Se apenas o usuário tem aquela posse daquele item e ele mostra esse item para você, te apresenta, então você também tem uma certeza que ele é quem está dizendo ser.

3 – Autenticação biométrica que é o reconhecimento de características físicas do usuário. Toda autenticação acaba sendo uma dessas 3 formas. Até na vida real o porteiro abre a porta para gente porque ele nos reconhece, faz um reconhecimento físico nosso e isso não deixa de ser uma autenticação biométrica.

Do ponto de vista de sistemas informatizados a senha é a mais simples de ser implementada e fazer funcionar sendo a mais usada. Porém, a senha tem alguns problemas como a capacidade de outra pessoa descobrir a sua senha e se fazer passar por você. O ideal é que a pessoa troque de senha de tempos em tempos, mas aí gera outro problema da pessoa esquecer a senha. Para resolver isso, nas funções que existem mais segurança como apps de bancos, corretoras, qualquer coisa que exija um grau maior de segurança a tendência é optar pelo chamado Autenticação de dois fatores (2FA).

A autenticação de dois fatores é quando você conjuga 2 dos 3 fatores: autenticação conhecimento, autenticação posse e autenticação biométrica. Se você vai sacar dinheiro no banco você chega na máquina e coloca o seu cartão que é algo que só você tem e ainda tem que digitar a senha que é algo que só você sabe. Dependendo do valor sacado ele ainda pode pedir a sua digital que é a autenticação biométrica.

Repare que a autenticação de dois fatores tem que ser 2 coisas diferentes. Não adianta você pedir 2 senhas, não traz mais vantagem porque você está usando o mesmo fator de autenticação duas vezes. Então lembre-se que a autenticação de dois fatores requer 2 fatores diferentes.

Com isso, mesmo que alguém descubra sua senha, precisará do código extra. Esse duplo fator de autenticação é essencial usar em todos os serviços que oferecem isso. Exemplos são a plataforma gov.br, redes sociais como WhatsApp, Instagram, Facebook, Conta de E-mail.

A opção mais comum de usar 2FA é a autenticação conhecimento e a autenticação posse do celular. De um lado você vai digitar uma senha e, além disso, você vai provar para o sistema que você está de posse de um celular que o sistema sabe que é da pessoa que está se autenticando.

Aí é que entram os Apps Autenticadores porque você vai tentar entrar num site e ele vai pedir a sua senha e vai pedir também um código do App Autenticador que está no seu celular. Essa é uma forma de você provar que você é quem diz ser através de dois fatores diferentes de autenticação.

Entre os principais apps estão o Google Authenticator, o Authy e o Microsoft Authenticator. Para as opções Open Source, temos o Ente Auth e o Aegis Authenticator como recomendações, são interessantes porque tem total transparência sobre sua privacidade já que são de código aberto.

Esse tipo de coisa efetivamente aumenta muito a segurança no acesso aos sistemas, motivo pelo qual vários sistemas por aí tem adotado esse tipo de coisa, desde contas de e-mails, redes sociais até bancos e corretoras.

Isso garante que ninguém vai conseguir roubar a sua senha, que não vão conseguir invadir a sua conta? Infelizmente não. Autenticação de dois fatores não é infalível, você continua tendo que criar senhas fortes e trocar elas de tempos em tempos. Você continua tendo que se preocupar mas a questão é que os cuidados são menores do que comparado a ter apenas a senha.

Dito isso, eu recomendo demais o Authy porque ele é muito simples de configurar e utilizar, mas todos esses apps vão te dar uma grande dor de cabeça caso você perca o acesso ao app no celular que ele estava instalado. Seja porque o celular parou de funcionar ou porque roubaram ele. Na hora de tentar logar com o Authy num outro dispositivo sempre dá BO.

Como resolver isso? Tendo uma estratégia de contenção de danos!

Se você utiliza os dois fatores de autenticação para poucas contas como o login do seu email e alguns sites de compra etc é tranquilo você continuar com o Authy. Mas se você precisa gerenciar uma quantidade enorme de logins com 2FA como, por exemplo, quem faz anúncios nas redes sociais onde é obrigatório na Meta você ter o 2FA na conta para usar o marketplace então utilize no lugar deles o Bitwarden gerenciador de senhas e Bitwarden Authenticator.

O Bitwarden vai salvar todas as suas senhas e dados de login e até mesmo anotações que você precisar colocar para aquele login. Na versão paga do Bitwarden o próprio cofre de senhas vai gerar o segundo fator de autenticação das suas redes sociais. Além disso, ele permite você configurar uma criptografia do tipo Argon2id que é uma criptografia muito avançada que temos à disposição hoje em dia tornando esse cofre praticamente inquebrável.

Tudo o que você precisa fazer é proteger muito bem esse cofre já que se alguém tiver acesso a esse cofre vai ter todos os dados necessários para logar em qualquer conta online sua. Como você faz essa proteção?

Com uma criptografia avançada que ele tem, com uma senha extremamente forte que será a única senha que você vai utilizar somente aqui nele e em mais nenhum lugar então basta fazer uma senha grande e complexa que será a única senha que você precisa lembrar e também você pode gerá-la pelo site da LastPass com 24 caracteres por exemplo. Todas as outras senhas também serão geradas pelo próprio cofre de senha.

Só utilizar as senhas é pouco porque hoje em dia os cibercriminosos utilizam Inteligência Artificial para quebrá-las e para que você tenha uma segurança ainda maior aqui você vai utilizar também uma autenticação de dois fatores para o seu cofre. Aí entra o aplicativo de autenticação externo que você irá utilizar única e exclusivamente para desbloquear o seu cofre. Nesse caso é o Bitwarden Authenticator que será utilizado apenas para abrir o cofre.

E se o seu celular com o app authenticator for roubado? Agora você vai utilizar um código de recuperação do cofre do Bitwarden para fazer um reset na autenticação em dois fatores e conseguir entrar no cofre e depois você configura novamente uma autenticação 2FA.

E para ter certeza que você sempre terá acesso ao código de recuperação do cofre do Bitwarden você precisa fazer um backup físico escrevendo esse código num caderno que nunca vai sair da sua casa. Esse método te permite ter total segurança, redundância de acesso e muito mais agilidade para nunca perder suas contas.

O cofre da Bitwarden te permite desbloquear suas senhas sem precisar digitar suas senhas ou se lembrar delas já que ele preenche suas senhas tudo automaticamente e ainda faz a autenticação 2FA dentro do cofre sem precisar pegar o celular e copiar e colar o código para desbloquear uma nova rede.

Cuidados com gerenciadores de senhas – Organograma

Primeiro: De maneira alguma deixe senhas salvas no navegador, o navegador está sujeito a ser alvo de ataques

Não use o gerenciador de senhas do google que deixa todas as senhas guardadas na nuvem com fácil acesso por qualquer pessoa. Troque por outros cofres de senhas melhores e mais seguros para evitar de ter seus dados roubados, de ser invadido.

Segundo: Jamais você vai deixar todos os ovos no mesmo cesto!

Aqui você vai ligar o modo paranóico e não vai confiar cegamente no seu gerenciador de senhas. Você vai criar uma segmentação com 2FA não conectado ao seu App Authenticator principal, ou seja, não ligado ao seu Gerenciador de senhas.

Vou exemplificar: Você precisa ter uma conta de E-mail com um 2FA separado que não é acessada pelo seu gerenciador de senhas, e com isso você vai conseguir colocar mais uma forma de backup paralelo para recuperar suas contas sem precisar do acesso ao primeiro App Authenticator

Obrigatoriamente para que essa estratégia funcione você deve ter um segundo celular com um outro App Authenticator instalado e a regra é apenas uma só: esse celular nunca vai sair da sua casa

Com isso, se você não conseguir recuperar o acesso ao Gerenciador de senhas porque o seu celular principal foi roubado com o App 2FA que abre o cofre agora você pode usar o segundo celular que está na sua casa para acessar o seu cofre e restaurar suas contas que estavam logadas naquele celular roubado. 

Vou deixar abaixo um organograma para você entender basicamente o que estou falando:

Agora ficou claro o que disse acima, você vai ter um 2FA específico para o seu gestor de senhas e esse gestor de senhas vai ter o 2FA próprio dele para logar nas suas contas. Se você perder o acesso ao 2FA alternativo da imagem você recupera o acesso ao gerenciador de senhas pelo código de recuperação do caderno ou pelo e-mail que você terá acesso por um app 2FA que estará no seu Smartphone extra e que também terá o seu próprio caderno para guardar as chaves de recuperação do e-mail.

Troque senhas vazadas

Sempre verifique se houve vazamentos das suas senhas. Como quando o “Serasa” ou o “Google” ficam falando que seus dados foram vazados na dark web. Para ter certeza disso acesos o site:

https://haveibeenpwned.com

Nesse site coloque o seu email principal que mais usa para ver os resultados que o site apresenta. Se ele mostrar como resultado: “Oh no — pwned!” é porque esse email que digitou teve seus dados vazados. Alguns exemplos de dados vazados que ele vai informar serão:

  • 00/00/2024Dates of birth, Email addresses, Genders, Geographic locations, IP addresses, Names, Spoken languages, Usernames
  • 00/00/2022Email addresses, Passwords, Usernames
  • 00/00/2018Company names, Email addresses, Phone numbers, Physical addresses

Outra opção de Site para ver vazamento de dados é o LeakCheck:

https://leakcheck.io

Ou o Relatório de vazamentos da Dark Web do Google – Entre em ação:

  • No smartphone, abra o Google app .
  • No canto superior direito, toque na sua foto do perfil ou sua inicial e Gerenciar sua Conta do Google e guia Segurança.
  • Role a tela para baixo e toque em Relatório da dark web. e Mostrar todos os resultados.
  • Toque em um resultado.
  • Para acessar as ações recomendadas, role a tela até “Próximas etapas sugeridas”.

Os E-mails que você teve a senha vazada você vai trocar a senha “para ontem” usando o LastPass. Após criar a senha você pega e coloca no site: https://www.passwordmonster.com/

você vai ter certeza que sua senha é forte com ele mostrando o tempo necessário para quebrar sua senha que deve chegar a trilhões de anos.

você deve usar o gerenciador de senhas gratuito do Bitwarden. Também tem o próprio LastPass mas ele é pago praticamente. Ou colocar em criptografia em nuvem esses arquivos usando e-mails específicos só para isso mas evite blocos de notas de celular etc.

Por último deixo mais uma dica: Quanto maior a importância da conta, maior deve ser o nível de cuidado e proteção. Então as contas mais relevantes que você usa devem sempre ter 2FA ativado, ter uma senha a partir de 25 caracteres e impossível de decorar com o login guardado num gerenciador de senhas.

Conclusão

Todas essas dicas são hábitos, você não precisa ter conhecimento técnico aprofundado sobre computadores. Basta fazer mudanças de hábitos para fazer senhas longas, complexas e únicas e evitar padrões óbvios e reutilização.

Publicado

em

por

Jonata Martins

Tags:

, , , , , , , , ,

Comentários

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *