Aprenda Criptografia e Segurança

Página Inicial

Contato!

Tudo sobre Criptografia e Segurança Parte 1!

Tudo sobre Criptografia e Segurança Parte 2!

Tudo sobre Criptografia e Segurança Parte 3!

Tudo sobre Criptografia e Segurança Parte 4!

Tudo sobre Criptografia e Segurança Parte 5!

Tudo sobre Criptografia e Segurança Parte 6!

Tudo sobre Criptografia e Segurança Parte 7!

Tudo sobre Criptografia e Segurança Parte 8!

Segurança da Informação Teoria - Parte 2

Senhas

Sobre as senhas, saiba que:

• Servem para autenticar um usuário (asseguram que você é realmente quem diz ser, e possui o direito de acessar o recurso em questão).
• Um dos principais mecanismos de autenticação usados na internet.
• Proteger suas senhas é essencial para se prevenir dos riscos envolvidos no uso da internet. É o segredo das suas senhas que garante a sua identidade, ou seja, que você é o dono das suas contas de usuário.

Sua senha pode ser descoberta:

• Quando usada em computadores infectados, computadores invadidos e sites falsos (phishing).
• Por meio de tentativas de adivinhação.
• Ao ser capturada enquanto trafega na rede.
• Por meio do acesso ao arquivo onde foi armazenada.
• Com o uso de técnicas de engenharia social.
• Pela observação da movimentação (dos seus dedos no teclado, e dos cliques do mouse em teclados virtuais).

Principais Riscos das Senhas

De posse da sua senha, um invasor pode acessar a sua conte de correio eletrônico e:

• Ler e/ou apagar seus e-mails.
• Furtar sua lista de contatos e enviar e-mails em seu nome.
• Pedir o reenvio de senhas de outras contas, e assim conseguir acesso a elas.
• Trocar a sua senha, dificultando que você acesse novamente a sua conta.
• Enviar mensagens contendo spam, boatos, phishing, códigos maliciosos, etc.

De posse da sua senha, um invasor também pode acessar o seu computador e:

• Apagar seus arquivos.
• Obter informações sensíveis, inclusive outras senhas.
• Instalar códigos e serviços maliciosos.
• Usar seu computador para desferir ataques contra outros computadores.
• Esconder a real identidade desta pessoa (o invasor).

De posse da sua senha, um invasor pode acessar a sua rede social e:

• Denegrir a sua imagem.
• Explorar a confiança de seus amigos/seguidores.
• Alterar as configurações feitas por você, tornando públicas suas informações privadas.
• Trocar a sua senha, dificultando que você acesse seu perfil.
• Enviar mensagens em seu nome, contendo spam, boatos, phishing, códigos maliciosos, etc.

De posse da sua senha, un invasor pode:

• Acessar a sua conta bancária e verificar o seu extrato e seu saldo bancário.
• Acessar o seu site de comércio eletrônico e alterar as informações de cadastro, fazer comprar em seu nome e verificar informações sobre suas compras anteriores.
• Acessar o seu dispositivo móvel e furtar sua lista de contatos e suas mensagens, acessar e/ou copiar fotos e vídeos, e bloquear o acesso ao dispositivo.

Cuidado com as Senhas

Para elaborar sua senha, evite usar:

• Dados pessoais (nome, sobrenome, contas de usuário, datas, números de documentos, de telefones ou de placas de carros.
• Dados disponíveis em redes sociais e páginas web.
• Sequências de teclado (tipo qwertyuiop ou 123zxcvb).
• Palavras presentes em listas publicamente conhecidas (músicas, times de futebol, personagens de filmes, dicionário de diferentes idiomas, etc.).

E use:

• Números aleatórios (quanto mais ao acaso forem os números, melhor, principalmente em sistemas que aceitem exclusivamente caracteres numéricos).
• Grande quantidade de caracteres (quanto mais longa for sua senha, melhor).
• Diferentes tipos de caracteres (quanto mais bagunçada for sua senha, melhor.

Dicas práticas para elaborar boas senhas:

• Escolha uma frase e selecione a primeira, a segunda ou a última letra de cada palavra.
• Escolha uma frase longa, fácil de ser memorizada e com diferentes tipos de caracteres.
• Invente um padrão de substituição próprio (como substituir o por 0 e duplicar as letras r e s).

Como Usar sua Senha Corretamente

Sobre o uso de senhas:

• Não exponha suas senhas. Certifique-se de não estar sendo observado ao digitá-las. Não as deixe anotadas em locais onde outros possam ver (como um papel sobre sua mesa). Evite digitá-las em computadores e dispositivos móveis de terceiros.
• Não forneça suas senhas para outras pessoas (cuidado com e-mails/telefonemas pedindo dados pessoais).
• Use conexões seguras quando o acesso envolver senhas.
• Evite salvar as suas senhas no navegador web, usar opções como Lembre-se de mim e Continuar conectado. E usar a mesma senha para todos os serviços que acessa (basta ao atacante conseguir uma senha para ser capaz de acessar as demais contas onde ela seja usada).
• Não use senhas de acesso profissional para acessar assuntos pessoais e vice-versa. Respeite os conceitos.
• Crie grupos de senhas, de acordo com o risco envolvido. Crie senhas únicas, fortes, e use-as onde haja recursos valiosos envolvidas. Únicas, um pouco mais simples, e use-as onde o valor dos recursos protegidos é inferior. E simples e reutilize-as para acessos sem risco.
• Armazene suas senhas de forma segura: Use programas gerenciadores de contas/senhas. Anote-as em um papel e guarde-o em local seguro. Grave-as em um arquivo criptografado.

Alterações de Senhas

Altere suas senhas:

• Imediatamente, se desconfiar que tenham sido descobertas ou usadas em computadores invadidos ou infectados.
• Rapidamente, se perder um computador onde elas estejam gravadas, se usar um padrão de formação e desconfiar que alguma tenha sido descoberta, uma mesma senha em mais de um lugar e desconfiar que ela tenha sido descoberta em algum deles, e adquirir equipamentos acessíveis via rede (eles podem estar configurados com senha padrão).
• Regulamente, nos demais casos.

Configure opções de recuperação de senhas:

• Um endereço de e-mail alternativo.
• Uma pergunta de segurança.
• Uma dica de segurança.
• Um número de telefone celular.

Ao usar perguntas de segurança:

• Evite escolher questões cujas respostas sejam facilmente adivinhadas.
• Procure criar suas próprias questões, de preferência com respostas falsas.

Ao usar dicas de segurança, escolha aquelas que sejam:

• Vagas o suficiente para que ninguém consiga descobri-las.
• Claras o bastante para que você consiga entendê-las.

Ao solicitar o envio de suas senhas por e-mail:

• Procure alterá-las o mais rápido possível.
• Cadastre um e-mail que você acesse regularmente.

Phishing e Códigos Maliciosos

Para se prevenir de phishing e códigos maliciosos:

• Desconfie de mensagens recebidas, mesmo que enviadas por conhecidos (elas podem ter sido enviadas de contas falsas ou invadidas).
• Evite clicar/seguir links recebidos via mensagens eletrônicas (procure digitar a URL diretamente no navegador).
• Evite usar sites de busca para cessar serviços que requeiram senhas, como seu webmail e sua rede social.
• Seja cuidadoso ao acessar links reduzidos: Use complementos que permitam expandir o link antes de clicar sobre ele.

PS: Um site que pode ser usado para criar QR Codes redirecionando pra sites de phishing é esse: https://www.qrcode-monkey.com/

Nesse site é possível ainda colocar um ícone de algum site ou app verdadeiro, como o Facebook, o Whatsapp ou o Youtube.

Sobre os computadores:

• Mantenha seu computador seguro, com todos os programas instalados nas versões mais recentes, e todas as atualizações aplicadas, principalmente as de segurança.
• Utilize e mantenha atualizados mecanismos de segurança, como antispam, antimalware e firewall pessoal.
• Crie contas individuais para todos os usuários, e assegure-se de que todas as contas tenham senhas.
• Configure seu computador para solicitar senha na tela inicial.
• Nunca compartilhe a senha de administrador, use-a o mínimo necessário.

Sobre os dispositivos móveis:

• Cadastre uma senha de acesso bem elaborada (se possível, configure-o para aceitar senhas complexas (alfanuméricas).
• Em caso de perda ou furto, altere as senhas que possam estar nele armazenadas.

E sobre os computadores de terceiros:

• Certifique-se de fechar a sua sessão (logout) ao acessar sites que requeiram o uso de senhas.
• Utilize opções de navegação anônima.
• Evite efetuar transações bancárias e comerciais.
• Ao retornar ao seu computador, altere as senhas que tenha utilizado.

Como Funciona a Verificação em Duas Etapas

Efetivamente, sobre a verificação em duas etapas:

• Também chamada de two-factor authentication, aprovação de login, verificação ou autenticação em dois fatores/passos.
• Recurso opcional oferecido por diversos serviços: Webmail, redes sociais, internet banking, armazenamento em nuvem, etc.
• Ao ser habilitada, permite aumentar a segurança da sua conta, e pode ser desabilitada caso não seja mais desejada.
• Dificulta o acesso indevido de contas de usuário.
• Para que o acesso ocorra é necessário que o atacante realize com sucesso duas etapas: A senha do usuário, e as informações adicionais.

Segunda etapa pode envolver:

• Algo que apenas você sabe (outra senha, perguntas de segurança, número PIN, alguma informação pessoal, etc.
• Algo que apenas você possui (código de verificação, cartão de senhas bancárias, token gerador de senhas, acesso a um determinado computador ou dispositivo móvel, etc.
• Algo que você é (informações biométricas, como impressão digital, palma da mão, rosto, olho, etc.).

Cuidados com a Verificação em Duas Etapas

Sobre o código individual:

• É criado pelo serviço.
• Enviado de forma que apenas você possa recebê-lo (como e-mail, chamada de voz e SMS para o telefone cadastrado).
• Pode ser gerado por um aplicativo autenticador instalado no seu dispositivo móvel.

Esses são os cuidados a serem tomados:

• Mantenha atualizados seus dados para recebimento (como telefones alternativos).
• Tenha certeza de estar de posse de seu telefone celular, caso tenha configurado o envio de SMS ou uso de aplicativo autenticador.
• Aplicativo autenticador deve ser usado em casos onde não é possível receber SMS.
• Tarifas de recebimento de SMS podem ser aplicadas por sua operadora.
• Temos também o código de verificação específico, gerado para aplicativos que não suportam a verificação em duas etapas.
• Caso perca o acesso ao seu dispositivo móvel, revogue os códigos específicos gerados para os acesso realizados por meio dele.

Formas de Verificação em Duas Etapas

Sobre o token gerador de senhas:

• Chave eletrônica.
• Tipo de dispositivo eletrônico que gera códigos usados na verificação da sua identidade.
• Cada código é válido por um determinado período, geralmente alguns segundos, após esse tempo um novo código é gerado. Código pode ser gerado automaticamente ou necessitar que você clique em um botão para ativá-lo.

Cuidados a serem tomados:

• Guarde seu token em um local seguro.
• Nunca informe o código mostrado no token por e-mail ou telefone.
• Caso perca seu token ou ele seja furtado, avise imediatamente o responsável pelo serviço no qual ele é usado.

Já o cartão de segurança, é um cartão com diversos códigos numerado e que são solicitados quando você acessa a sua conta. Esses são os cuidados a serem tomados:

• Guarde seu cartão em um lugar seguro.
• Nunca forneça os códigos do cartão por e-mail ou telefone.
• Forneça apenas uma posição do seu cartão a cada acesso.
• Verifique se o número de identificação do cartão apresentado pelo serviço corresponde ao que está no seu cartão. Caso sejam diferentes entre em contato com o serviço.
• Desconfie caso, em um mesmo acesso, seja solicitada mais de uma posição do cartão.

Dispositivos Confiáveis

O dispositivo confiável é o computador ou dispositivo móvel usado para acessar suas contas.

No primeiro acesso pode ser necessário inserir um código de segurança, ele não será necessário nos demais acessos, pois seu dispositivo será lembrado, caso você assim o configure.

Cuidados a serem tomados:

• Não esqueça de excluir seus dispositivos confiáveis caso eles sejam trocados ou você perca o acesso a eles.
• Pode ser necessário habilitar a opção de cookies em seu navegador web para que seu dispositivo seja memorizado.

Já as listas de código reserva/backup, são listas de códigos que devem ser usadas de forma sequencial e uma única vez.

Cuidados a serem tomados:

• Anote ou imprima a lista e a mantenha em um local seguro.
• Não a armazene em seu dispositivo confiável pois ela pode vir a ser acessada por atacantes, caso não esteja criptografada.
• Caso perca a lista ou desconfie que alguém a acessou você deve gerá-la novamente ou revogá-la, anulando assim a anterior.

Já a chave de recuperação, é um número gerado pelo serviço quando você ativa a verificação em duas etapas.

Permite que você acesse o serviço mesmo que perca sua senha ou seus dispositivos confiáveis.

Cuidados a serem tomados:

• Anote ou imprima a chave e a mantenha em um local seguro.
• Não a deixe anotada seu dispositivo confiável pois ela pode vir a ser acessada por atacantes, caso não esteja criptografada.
• Caso perca a chave ou desconfie que alguém a acessou você deve gerá-la novamente.

Outros Cuidados com Verificação em Duas Etapas

Sobre os dados pessoais, mantenha seu cadastro atualizado:

• Dados pessoais podem ser solicitados aleatoriamente para checar a sua identidade.
• Seu endereço de correspondência pode ser usado para envio de tokens e cartões de segurança.
• Dados pessoais e perguntas de segurança podem ser solicitados, caso você desabilite a verificação em duas etapas.

Sobre os dispositivos móveis:

• Instale um programa antivírus.
• Mantenha o sistema operacional e as aplicações instaladas sempre com a versão mais recente e com todas as atualizações aplicadas.
• Em caso de perda ou furto, remova-os da lista de dispositivos confiáveis, revogue autorizações concedidas para aplicativos instalados, cadastre um novo número de celular, se tiver configurado a localização remota, apague remotamente os dados armazenados.

O que é Privacidade (Parte 1)

Sua privacidade pode ser exposta na internet:

• Independentemente da sua vontade.
• Sem aviso ou consentimento prévio.
• Quando alguém divulga informações sobre você ou imagens onde você está presente.
• Quando um site altera as políticas de privacidade, ou coleta hábitos e preferências de navegação e repassa a terceiros.
• Ou quando um impostor cria uma conta/perfil em seu nome e a usa para se passar por você.

O que é Privacidade (Parte 2)

Sua privacidade pode ser exposta na internet:

• Independemente da sua vontade.
• Sem aviso ou consentimento prévio.
• Quando um atacante e/ou código malicioso acessa dados que você digita ou que estejam armazenados em seu computador.
• Quando invade uma conta sua e acessa informações restritas, invade um computador no qual seus dados estão armazenados, coleta informações não criptografadas que trafegam na rede.
• Quando um aplicativo instalado em seu dispositivo coleta dados pessoas e os envia ao desenvolvedor/fabricante, ou você compartilha recursos do seu computador sem configurar restrições de acesso adequadas, elabora senhas fracas, facilitando a invasão de suas contas, acessa suas contas em computadores potencialmente infectados, e não mantém a segurança do seu computador ou dispositivo móvel.

Principais Riscos a sua Privacidade

Divulgação e coleta indevida de informações pessoais pode:

• Comprometer a sua privacidade, de seus amigos e familiares.
• Facilitar o furto da sua identidade. Quanto mais dados você divulga mais fácil é para um impostor criar uma identidade falsa sua e usá-la em ações maliciosas, como acessar sites, efeturar transações financeiras, enviar mensagens eletrônicas, abrir empresas fantasmas, criar contas bancárias ilegítimas, etc.
• Facilitar a invasão de suas contas de usuário. Senhas e respostas a dicas/perguntas de segurança podem ser adivinhadas caso usem dados pessoais.
• Fazer com que propagandas direcionadas sejam apresentadas.
• Colocar em risco sua segurança física.
• Favorecer o recebimento de spam.
• Causar perdas financeiras, perda de reputação e falta de crédito.

Cuidados a Serem Tomados com E-mail

Esses são os cuidados a serem tomados ao acessar/armazenar e-mails:

• Configure seu programa leitor de e-mails para não abrir imagens que não estejam na própria mensagem. O acesso a imagem pode confirmar que o e-mail foi lido.
• Use programas leitores de e-mails que permitam que as mensagens sejam criptografadas. Mensagens criptografadas somente poderão ser lidas por quem decodificá-las.
• Use conexão segura ao acessar e-mails via navegadores. Isto pode evitar que eles sejam interceptados.
• Armazene e-mails confidenciais em formato criptografado. Isso dificulta que sejam lidos por atacantes e códigos maliciosos, você pode decodificá-los sempre que desejar lê-los.
• Use criptografia para conexão entre seu leitor de e-mails e os servidores de e-mail do seu provedor.
• Seja cuidadoso ao acessar seu webmail. Digite a URL diretamente no navegador, e tenha cuidado ao clicar em links recebidos por meio de mensagens eletrônicas.

Cuidados ao Navegar na Web

Ao navegar na web, seja cuidadoso ao usar cookies:

• Use uma ou mais das seguintes opções: Defina um nível de permissão superior ou igual a médio. Configure para que os cookies sejam apagados quando o navegador for fechado e que cookies de terceiros não sejam aceitos. Você pode também configurar para que, por padrão, os sites não possam definir cookies e criar listas de exceções, liberando os sites considerados confiáveis e onde o uso é realmente necessário, e os sites possam definir cookies e criar listas de exceções, bloqueando os sites indesejados.
• Quando disponível, procure utilizar navegação anônima, principalmente ao usar computadores de terceiros, informações sobre navegação não serão armazenadas. Opções que indiquem que você não quer ser rastreado, do not track e lista de proteção contra rastreamento.

• Parte Anterior da Matéria!
• Continuação da Matéria!