Especialistas da área de segurança digital tem notado aumento nas atividades de phishing e diversos outros métodos de ataque, aproveitando-se do momento atual que vivemos. As técnicas tem sido aprimoradas e cada vez mais, tem sido difícil para o usuário comum se proteger desses ataques. Nesta série de artigos, irei destacar várias ações que podemos e devemos tomar para nos proteger desses ataques.
Parte 1 - Senhas
Ninguém gosta de ter de decorar dezenas ou centenas de senhas, o que também é algo impraticável. Fernando Corbato foi o inventor das senhas para computadores na década de 60. Porém foi na década de 70 que seu uso foi ampliado graças ao trabalho de armazenamento e encriptação de senhas, por Robert Morris. Desde então, houve pouco progresso neste sentido. Atualmente, grandes empresas de tecnologia tem trabalhado arduamente para eliminar a utilização de senhas, e entre as alternativas estão as chaves de segurança e autenticações biométricas (impressão digital, íris). Estes métodos já são largamente utilizados nos smartphones, os quais possuem ambas as tecnologias, um chip de segurança dedicado e leitores de impressões digitais integrados. Porém para desktops ainda falta uma solução segura, barata e que seja difundida a nível global.
Enquanto ainda vivemos na era das senhas, é importante ter a consciência da importância de nunca usar uma mesma senha em mais de um serviço/conta na internet. A maioria esmagadora das pessoas utilizam uma mesma senha para vários sites, o que compromete a segurança. Além disso, é importante mudar a senha periodicamente, o que pode variar de acordo com a importância do serviço. Por exemplo, um cadastro de e-mail em comparação a um cadastro em um site de notícias. Um e-mail é muito mais relevante que um site de notícias, portanto a senha do e-mail deve ser trocada com menor periodicidade, ou seja, com mais frequência.
1 - Mude todas as suas senhas de todos os serviços que possui cadastro. Utilize senhas fortes (se o serviço permitir), com no mínimo 8 caracteres. Lembre-se de cadastrar senhas diferentes entre si nas suas diversas contas da internet. Prefira utilizar senhas que contenham letras maiúsculas, minúsculas, números e caracteres especiais.
2 - Faça um backup de todas as suas senhas. É importante que esse backup seja feito em um papel e no mínimo 2 cópias guardadas em locais seguros distintos, ou adquira um pendrive para armazenar as senhas, porém é extremamente importante evitar de conectá-lo ao computador, apenas em casos extremos. Em último caso, caso você possua um computador/laptop antigo, formate-o e deixe sem acesso à internet e o utilize para inserir este pendrive. Evite ao máximo armazenar senhas no seu celular ou computador.
3 - Caso seja de seu interesse, utilize algum gerenciador de senhas. Existem vários, a maioria pagos, porém existem alguns gratuitos. O ponto positivo na utilização desses gerenciadores é que a maioria possui aplicativos para desktop e mobile, os quais são sincronizados entre si, portanto você consegue utilizá-lo em qualquer dispositivo que utilize, sempre tendo todas as senhas sempre atualizadas. Há muita discordância aqui entre os especialistas sobre o uso de gerenciador de senhas, porém com a utilização da autenticação em 2 passos, ou 2FA, os riscos de utilizar um gerenciador podem ser mitigados.
4 - Ative em todo site que permitir a autenticação de dois fatores (2FA). Este item é um dos mais importantes senão o mais importante desta série. Existem vários métodos de autenticação de dois fatores, como recebimento de códigos por SMS, e-mail, por aplicativos autenticadores, chaves de segurança e também por notificações push recebidas em seu celular. Uns métodos são mais seguros que outros. Códigos por SMS são os menos seguros, visto que podem ser facilmente obtidos por hackers em diversos métodos de ataque, com um deles sendo chamado SIM Swap. Em seguida vem os códigos por e-mail, aplicativos autenticadores, notificações por push no celular e o mais seguro sendo as chaves de segurança. Mesmo você não conseguindo comprar uma chave de segurança, não use como desculpa para não ativar o 2FA. Qualquer método adicional de autenticação eleva seu grau de segurança.
Mais seguro ----> menos seguro
Chave de segurança -> notificações push -> aplicativos autenticadores -> códigos por e-mail -> códigos por SMS
5 - Como última recomendação, para criar senhas fortes, divida sua senha em 2 partes. A primeira, ou como chamaremos aqui RAIZ, será um conjunto de caracteres que você utilizará para criar todas as suas senhas, ou seja, ela não mudará, já a segunda parte, chamaremos de sufixo, será a parte que irá se alterar de acordo com cada conta/site/serviço. Lembre-se de criar uma raiz fácil de lembrar, e se possível com caracteres especiais, letras (maiúsculas e minúsculas) e números. Por exemplo, se você gosta de café, pode criar uma raiz como Cafe100%arabica . Veja que esta raiz possui letras, números e caractere especial, e possui 15 caracteres no total. A segunda parte da senha, você pode relacionar com uma palavra que venha à sua cabeça quando você pensa no serviço/site/conta que está se cadastrando/logando. Por exemplo, se você está se cadastrando no site do NYT, pode utilizar como sufixo algo como jornalamericano . Portanto, de acordo com esta sugestão, ao se cadastrar no site do NYT, sua senha poderia ser Cafe100%arabicajornalamericano . Cada pessoa irá associar palavras diferentes que as faz lembrar ou relacionar a determinado site. Faça o teste e crie uma senha forte para todos os sites que você faz login. Seja criativo.
Leia as próximas partes desta série para saber mais sobre métodos de autenticação em 2 fatores, e-mail, domínios/sites seguros, etc.
Alguns gerenciadores de senha:
Pagos: 1password, LastPass, Dashlane, Keeper, KeePass, NordPass, Dropbox Passwords.
Gratuitos: LastPass, Bitwarden, NordPass
Vários softwares antivírus também possuem gerenciadores, como é o caso do McAfee, Norton, entre outros.
Fontes: