Apostila

Vídeos

Verificação em dois fatores

Verificação em duas etapas é o uso de pelo menos dois fatores distintos para confirmar a identidade do usuário que está acessando uma determinada conta.

Existem 3 categorias de fatores:

Algo que você sabe: como uma senha ou um código PIN;

Algo que você possui: como um token gerador de senhas ou um código de verificação enviado a seu telefone celular;

Particularidades físicas e comportamentais: como informações biométricas (impressão digital, palma da mão, voz ou olho) ou a velocidade de digitação no teclado.

Para usar a verificação e proteção em duas etapas, é importante utilizar fatores de categorias distintas para realmente aumentar a segurança e garantir que a sua conta fique protegida e segura de invasões de terceiros.

Listamos a seguir alguns exemplos de softwares e dispositivos para autenticação com segundo fator: Authy, Google Authenticator e Yubikey.

Essa lista não deve ser entendida com uma recomendação de uso e sim, tem o único objetivo de exemplificar para facilitar o entendimento sobre o tipo de software ou dispositivo referenciado nesse vídeo e texto explicativo. Antes de escolher uma dessas opções ou qualquer outra, leia atentamente a descrição e licença de uso, verifique a reputação da empresa que o fornece, e a avaliação dos demais usuários. Tome todos os cuidados para baixá-lo de um repositório confiável, se for um software, e teste-o até se sentir confortável para realmente utilizá-lo no dia a dia.

Senhas variadas

Não é incomum que aplicativos ou sites tenham problemas de segurança e as senhas sejam expostas. Ou seja, infelizmente vazamentos indesejados de dados ocorrem na prática, muitas vezes em sites e aplicativos bem conceituados. Isso já é ruim. Mas imagine então se a senha que você usa naquele aplicativo for a mesma do seu e-mail principal, a mesma da rede social que você mais usa, etc. Um problema que poderia ser bem pequeno se torna enorme. Alguém com acesso a essa sua senha teria acesso também a uma variedade de dados pessoais, aplicativos e serviços que você usa.

Usar a mesma senha em vários locais é como ter uma chave só que serve para todas as portas da sua casa, carro, escritório, etc. O trabalho do ladrão ficaria bem mais fácil assim!

Cada aplicativo, site ou serviço diferente que você usa deve ter a sua própria senha.

Você pode utilizar softwares para o gerenciamento seguro dessas muitas senhas, de forma que não precise memorizar cada uma delas.

 

Senhas seguras

Proteger sua senha é essencial para garantir a segurança dos seus dispositivos e dados , sejam eles documentos, e-mails, fotos, conversas, entre outros. A sua senha garante que só você acesse os seus dados. Se outra pessoa, mal intencionada, tiver acesso à sua senha, ela poderá acessar, por exemplo, seus perfis nas redes sociais e fazer postagens em seu nome. Ou ter acesso a documentos confidenciais seus ou de sua empresa.

Seja cuidadoso ao elaborar suas senhas. Evite utilizar dados pessoais que possam ser obtidos em redes sociais e páginas Web, sequências de teclado como “123456” ou “qwerty”, termos conhecidos como nomes de músicas, times de futebol, personagens de filmes.

Uma senha ideal é aquela que é fácil de ser lembrada, mas difícil de ser descoberta por outras pessoas ou por programas de computador. Se você usar dados públicos como uma data de aniversário, seu sobrenome ou número de telefone, a senha pode ser facilmente descoberta. Palavras simples, como o nome do seu time, de sua cidade ou do personagem favorito da sua série também não são boas escolhas.

Frases longas, com várias palavras no lugar de uma só, costumam ser fáceis de lembrar e muito difíceis de adivinhar. Geralmente são ótimas senhas.

Você pode incluir também números aleatórios, uma grande quantidade e diferentes tipos de caracteres (maiúsculo, minúsculo e caracteres especiais).

Gerenciador de Senhas

Redes sociais, lojas on-line, sistemas de e-mail, contas bancárias, e muitos outros sistemas requerem que o usuário cadastre um login com uma senha de acesso. Com o crescente número de cadastros, por quanto tempo o usuário vai conseguir memorizar todas essas senhas de acesso?

É inevitável que acabe esquecendo alguma. Para contornar isso, alguns usuários repetem as senhas entre sistemas ou usam versões similares mudando um ou dois caracteres apenas. Essas práticas são desaconselhadas, pois podem comprometer a segurança de todas as suas contas.

Não é preciso ser um super gênio e decorar todas as senhas dos diversos aplicativos, você pode guardá-las em um lugar seguro, como por exemplo anotando-as em um papel e colocando-as em uma gaveta trancada.

Outro modo de salvar as senhas de forma segura é usando um gerenciador de senhas. O gerenciador é como um cofre, basta cadastrar as senhas nele para que fiquem arquivadas e protegidas nesse dispositivo. Só é preciso lembrar de uma senha mestra (a senha do cofre) para ter acesso a todas as outras guardadas de maneira segura.

Listamos a seguir alguns exemplos de softwares gerenciadores de senhas: 1Passowrd, Bitwarden, Onepass, Gopass, Pass, Keepass, Keepassx e Google Password Manager.

Essa lista não deve ser entendida com uma recomendação de uso e sim, tem o único objetivo de exemplificar para facilitar o entendimento sobre o tipo de software referenciado nesse vídeo e texto explicativo. Antes de escolher uma dessas opções ou qualquer outra, leia atentamente a descrição e licença de uso, verifique a reputação da empresa que o fornece, e a avaliação dos demais usuários. Tome todos os cuidados para baixá-lo de um repositório confiável e teste-o até se sentir confortável para realmente utilizá-lo no dia a dia.

Verificação em dois fatores

Verificação em duas etapas é o uso de pelo menos dois fatores distintos para confirmar a identidade do usuário que está acessando uma determinada conta.

Existem 3 categorias de fatores:

Algo que você sabe: como uma senha ou um código PIN;

Algo que você possui: como um token gerador de senhas ou um código de verificação enviado a seu telefone celular;

Particularidades físicas e comportamentais: como informações biométricas (impressão digital, palma da mão, voz ou olho) ou a velocidade de digitação no teclado.

Para usar a verificação e proteção em duas etapas, é importante utilizar fatores de categorias distintas para realmente aumentar a segurança e garantir que a sua conta fique protegida e segura de invasões de terceiros.

Listamos a seguir alguns exemplos de softwares e dispositivos para autenticação com segundo fator: Authy, Google Authenticator e Yubikey.

Essa lista não deve ser entendida com uma recomendação de uso e sim, tem o único objetivo de exemplificar para facilitar o entendimento sobre o tipo de software ou dispositivo referenciado nesse vídeo e texto explicativo. Antes de escolher uma dessas opções ou qualquer outra, leia atentamente a descrição e licença de uso, verifique a reputação da empresa que o fornece, e a avaliação dos demais usuários. Tome todos os cuidados para baixá-lo de um repositório confiável, se for um software, e teste-o até se sentir confortável para realmente utilizá-lo no dia a dia.

Perguntas de Segurança

“Qual é a sua comida favorita?”, “Qual o nome do seu animal de estimação?”, “Qual o nome do seu primeiro professor?”. Com certeza você já viu algumas dessas perguntas ou até mesmo já respondeu uma delas ao se cadastrar em algum site. Esses são exemplos de “perguntas de segurança”, um método utilizado por alguns sites para permitir a recuperação de senhas.

Criadas para serem fáceis de lembrar pelos donos das contas, elas precisam ser difíceis de serem respondidas por outros. No entanto, com a popularização da Internet, a grande quantidade de informações divulgadas espontaneamente em redes sociais e os problemas trazidos por vazamentos de dados, algumas respostas podem ser descobertas com facilidade.

Dessa maneira, se um site pedir o cadastro de uma pergunta de segurança, siga as seguintes dicas:
– escolha perguntas cujas respostas não são fáceis de adivinhar;
– se o site permitir, crie suas próprias perguntas;
– escolha respostas que não podem ser descobertas a partir de informações disponíveis publicamente.

Ainda assim, é recomendável que outros meios de recuperação de senhas sejam configurados, como um endereço de e-mail. Lembre-se também de habilitar a verificação em duas etapas, dessa forma, mesmo que alguém consiga descobrir ou recuperar sua senha, terá dificuldades em acessar sua conta, pois necessitará de outras formas de autenticação, além da senha.

Cuide de seu e-mail

Atualmente a maioria das pessoas têm um endereço de e-mail que é utilizado para realizar o cadastro em serviços online, como lojas, redes sociais e até em bancos. Existem também serviços que utilizam o endereço de e-mail para fazer o login automático com apenas alguns cliques. Se o usuário possuir somente um endereço de e-mail, todos esses serviços ficam concentrados apenas em único lugar. Por isso, é muito importante cuidar da sua conta de e-mail.

Caso haja vazamento de dados ou roubo do seu celular, seu e-mail poderá ser utilizado por um criminoso para acessar contas com cadastro atrelado, bastando, para isso, acessar os sites desejados, pedir para recuperar as senhas e confirmar essa mudança. Além disso, ele também poderá utilizar a opção de login automático, via e-mail, para acessar os serviços autenticados desta forma.

Por isso, fique atento(a) aos alertas que receber. Caso desconfie que alguém tenha acesso a sua conta, troque a senha do seu e-mail e dos serviços afetados imediatamente. No caso do Gmail, trocar a senha fará com que os demais dispositivos sejam deslogados e será necessário digitar a nova senha para entrar.

Além disso, sempre habilite a autenticação em dois fatores no e-mail e nos serviços que disponibilizarem esta opção. Dependendo do serviço, o segundo fator pode ser feito via chave de segurança física, via um aplicativo de celular para gerar códigos de verificação ou ainda pelo recebimento de códigos por mensagem de texto ou voz. Assim, caso o criminoso tente trocar a senha em outro dispositivo, será necessário digitar o segundo fator para confirmar essa mudança. Entenda a importância da Autenticação no fascículo do CERT.br 

Fique atento(a) com o fator utilizado, pois no caso do roubo de celular, se o aparelho estiver desbloqueado, será possível acessar facilmente o e-mail e até realizar verificações via SMS. Para se precaver, deixe sempre configurado uma tela de bloqueio e configure um tempo de bloqueio baixo na tela. Veja o vídeo sobre Bloqueio de Tela do Cidadão na Rede para saber mais.

Além disso, habilite o bloqueio do chip SIM para evitar que o celular furtado receba SMS ou faça ligações. Por fim, existem aplicativos que permitem adicionar uma tela de bloqueio em outros aplicativos como apps de e-mail ou bancos.

 

Fim da aula 01 – autenticação.