Dicas simples para proteger seus dados contra crackers!

14 de setembro de 2016

Outro dia estava tranquilo em casa quando meu celular vibrou com uma notificação de novo e-mail. Tudo normal, afinal nesse mundo digital estamos acostumados a receber mil e uma notificações do Facebook, Twitter, LinkedIn, e-mail, SMS..., fora as mensagens de "Bom dia!" e imagens de gatinho no Whatsapp...

Nesse dia não foi diferente, mas a mensagem me chamou a atenção. Alguém estava tentando acessar a minha conta do Facebook sem eu saber. Pior, eu não tinha muito o que fazer! Eu sei, já deve ter acontecido isso com você, afinal de contas, acontece com todo mundo #assimespero. É nessa hora que você lembra que a sua senha é daquelas bem complexas, das mais difíceis do mundo #sqn e torce para que todo o controle de segurança do Facebook funcione.


Por sorte, como vocês já devem saber, sou meio encanado com senhas e com a segurança dos meus dados e ativo todo tipo de validação e notificação (quer entender meu nível de paranoia? dá uma olhada nos meus posts sobre gerenciadores e senhas).

Dessa vez o pior não aconteceu e minha conta e meus dados ficaram perfeitamente intactos, longe das garras de algum jovem "hacker" (quer entender o que são hackers?).

Para te ajudar, vou passar mais um dos meus bizus que vão fazer a diferença pra você dormir mais tranquilo. A dica de hoje é sobre "autenticação em dois fatores" ou 2FA (Two-Factor Authentication), uma técnica pouco conhecida, mas bastante efetiva.

O que é o 2FA?

O 2FA é um método de autenticação em que a segurança é garantida através da inclusão de outras formas de confirmação da sua identidade (múltiplos fatores - MFA).

Geralmente, grande parte dos sites usa apenas o famoso formulário de usuário e senha. Isso é o que chamamos de autenticação baseada em algo que sabemos, ou seja, um código pessoal secreto e intransferível que em geral anotamos em papel decoramos (a menos que você use um gerenciador de senhas).

Para complementar esse tipo de autenticação, uma boa prática é incluir uma validação de algo que possuímos ou algo que somos. E por mais que possa parecer incomum, é algo que está no nosso dia-a-dia. Já se perguntou por que o banco pede tanta confirmação para realizar um simples saque no caixa eletrônico? É o 2FA em ação. Para aumentar a segurança, eles tentam fechar todas as pontas: pedem sua senha (algo que você sabe), seu cartão (algo que só você tem) e dependendo do banco até confirmam uma parte do seu corpo (algo que você é) através dos leitores biométricos (digital, íris, voz etc.). Em transações online também é comum pedirem uma confirmação adicional de um cartão de senhas ou ainda um token físico.
O velho e bom token de banco

Porque isso é importante?

"Tá, entendi o que é e parece importante, mas meu banco já usa isso, porque eu preciso saber como funciona? Até uso um gerenciador de senhas para os sites comuns, está de bom tamanho, não?". Pois é, é aí que você se engana. Nesse mundo há muita gente interessada em roubar seus dados, se passar por você ou ainda ficar te stalkeando. Pontos importantes sobre senhas:

  1. Senhas sofrem de um problema básico: memória. E não estou falando da memória do computador, mas da sua memória. Ou você acaba escolhendo uma senha básica e repetida por ser mais fácil de lembrar, ou pega uma senha longa, que acaba anotando em algum lugar (ou usa um gerenciador de senhas)
  2. Senhas não te identificam. Quantas vezes não emprestamos para outra pessoa? Senhas te deixam totalmente vulnerável quando alguém as descobre. Não só isso, a menos que o sistema te notifique de alguma atividade suspeita, você poderá nunca saber que alguém está com acesso aos seus dados. Não há uma forma segura de saber que alguém com seu usuário e senha é realmente você!
  3. Senhas são fáceis de serem roubadas. Desde o efetivo papelzinho na carteira #quemnunca até o acesso à Internet em redes não confiáveis, sua senha estará sempre muito vulnerável. Sem querer criar pânico, mas já criando, há gente especializada que se conecta em redes de hotéis só para pegar senhas dos hóspedes, por exemplo.
Para ajudar com esses e outros problemas, muitos sites hoje em dia tem aplicado opções rígidas de acesso através do 2FA. Desta forma, eles adicionam todos os benefícios que os bancos já possuem e garantem que o número de contas "hackeadas" diminuam. É importante que você saiba que apesar dos benefícios, o método não é 100% infalível. Ele torna a fraude MUITO mais difícil por ser uma barreira a mais no processo (exige algo que você possui, por exemplo), mas ainda sofre com métodos de Engenharia Social (outro dia eu escrevo sobre isso), aplicados principalmente em solicitações de recuperação de senha. Outro ponto positivo ao 2FA é que sistemas que o implementam em geral também incluem alguma forma de notificação de tentativas de autenticação.

Quais sites permitem 2FA?

A autenticação em dois fatores ainda não é amplamente adotada em todos os sites, mas as principais empresas já tem se movimentado para que isso aconteça logo - Google, Facebook, Twitter, LinkedIn, só para citar algumas. Para facilitar a vida, o site TwoFactorAuth tem uma lista extensa de sites e indicação de cada mecanismo habilitado ou não. Outra opção é você olhar no seu site preferido se essa opção é permitida.

Lista de sites com Two Factor Auth (2FA)

Quais são os tipos mais comuns?

Atualmente vou focar nos meios mais utilizados e que envolvem algo que possuímos e carregamos por aí. Os itens abaixo não são extensivos, é só para vocês terem uma ideia:
  • SMS
  • E-mail
  • Ligação de voz
  • Cartão com senhas
  • Aplicativo de autenticação (software token)
  • Chaves físicas (hardware token - USB, por exemplo)
Desses, o mais comum é o SMS. Apesar dos seus problemas de segurança, o SMS é bastante indicado devido ao seu alcance (qualquer celular recebe SMS).

Outro mecanismo que tem sido bastante utilizado é o aplicativo de autenticação. Ele só serve para quem tem smartphones, mas tem o grande benefício de não precisar da rede de dados. O que o aplicativo faz é gerar um código aleatório a cada 30s. É a versão em APP do token físico de banco. Um dos mais utilizados nesse sentido é o Google Authenticator, que apesar do nome, permite que você configure outras contas, como Dropbox, Facebook etc.
Google Authenticator em pleno funcionamento (Android e iOS)


Como isso muda a minha vida?

Provavelmente se você está lendo até aqui já deve estar interessado em habilitar o 2FA principalmente no seu Facebook e Gmail, certo? Também deve estar se perguntando como isso muda a sua vida. Bem, como todo mecanismo de segurança, autenticar nos seus sites vai se tornar um processo um pouco mais "enjoado" na primeira vez. Reforço que é só na primeira vez, porque em geral você pode marcar para não perguntar mais naquele dispositivo (seja celular, notebook etc.).

Para mostrar que não é nada de outro mundo, coloquei duas imagens abaixo. A primeira mostra como é o processo de solicitação do segundo fator para o Google, e a segunda para o Facebook. Percebam que não tem nada de mais, a segurança é bem maior e de quebra você inibe os bisbilhoteiros de plantão.

Processo de autenticação no Google e afins


Processo de autenticação do Facebook

Quer saber mais?

Caso você ache que tenha ficado faltando alguma coisa ou queira saber um pouco mais, selecionei alguns links interessantes (alguns em inglês):

E aí, já conheciam ou utilizam a autenticação em 2 fatores? Aproveita e compartilha esse post para aquele amigo que só usa senha 1234


Posts similares

comentários

  1. Amei suas dicas, é essencial mesmo. Já aconteceu isso comigo!

    www.kailagarcia.com

    ResponderExcluir
  2. Eu sou tão relapsa com isso.
    Affe preciso melhorar
    bjs

    ResponderExcluir
  3. Em autentico duas vezes em alguns sites, mas uso todas as notificações possíveis também rs

    ResponderExcluir
  4. Que dica maravilhosa, de utilidade pública!
    Sem dúvidas, vai me ajudar, pois sou super esquecida e acabo colocando senhas que qualquer um iria adivinhar rs
    Beijos

    ResponderExcluir
  5. Lo, também já tentaram invadir a minha conta do facebook e do twitter. É simplesmente horrível a sensação, vem aquele frio na barriga horrível. Na época também pesquisei, e também coloquei o 2fa em tudo (não sabia que esse era o nome hahah)

    Segurança é essencial nos dias de hoje.

    Beijos, Love is Colorful

    ResponderExcluir
  6. Minha amiga já até me falou pra eu colocar isso do código pro Facebook, porque uma vez tentaram acessar meu Facebook, mas era uma pessoa de fora do país, de um país árabe, sei lá, tentaram acessar por um Samsung daqueles de teclado ainda, não sei como, mas tentaram. Bom que o Facebook mostra exatamente o horário, local e com qual aparelho tentaram acessar. Não sabia dessa de imprimir códigos alternativos, do Google. Isso de registrar os acessos com frequência é maravilhoso! Porque toda vez que entro na minha conta por outro dispositivo, me enviam NA HORA um e-mail falando que foi acessado por tal navegador ou por tal dispositivo. Adorei o post!

    Beijos!
    www.likeparadise.com.br

    ResponderExcluir
  7. Nossa, diquinhas mega importantes. Está mesmo bem difícil essa onda de tecnologia para tudo. Ao mesmo tempo que é ótimo e rápido para o usuário, torna a sua vida bem mais vulnerável, o que é de perder o sono.
    Vou muito pesquisar melhor e até mesmo baixar um app.

    =*
    Mani Piñeiro
    @Blog_ManiPineiro
    Snap: @manipineiro

    ResponderExcluir
  8. Nunca utilizei, acredita? Algumas senhas minhas vivo alterando pq acabo esquecendo.
    Mas, seu post serve de alerta pra todos ;) arrasou!
    bjoka http://diadebrilho.com

    ResponderExcluir
  9. Muito boas as dicas. São coisas que muita gente nem se liga mas que são mega importantes pra nossa segurança! Ótimo post.
    Abraço! :)

    Red Behavior

    ResponderExcluir
  10. *hahahaha, a melhor parte foi o final, de compartilhar com o amigo que só usa senha "1234", kkkk.
    Nossa, esse negócio do facebook tem acontecido direto comigo, de tentarem entrar... que nervoso que me dá! Fico agoniada demais!
    Este seu post veio em boa hora, super obrigada!!! <3


    Beijos casal ;)
    Andréia Campos
    http://petitandy.com

    ResponderExcluir
  11. Ai gente, fiquei apavorada com esse post. Apavorada com o fato de que eu não dou a devida atenção para isso, preciso mudar!!! Já tentaram entrar no meu facebook também, mas GRAÇAS, não deu em nada.

    ResponderExcluir
  12. Já reparei nessas múltiplas autenticações, mas quem disse que eu tenho paciência pra isso? Quando é algo mais importante até nem me importo tanto, mas graças a deus nunca tentei ser hackeada! Ou sou muito zé ninguém mesmo =P Mas não acho ruim quem faz isso, na verdade acho essas pessoas bem prevenidas!

    Ah, eu esqueci daquele vestido da Blair, ele é lindo mesmo!

    ResponderExcluir
  13. O jeito é colocar isso em todos os sites que a gente acessa.
    Big Beijos
    Lulu on the sky

    ResponderExcluir
  14. Caramba! Que enriquecedor! Sou tão encantada pelos detalhamentos tão minuciosos e bem elaborados que surgem por aqui. Não tinha noção desses tantos de meios e formas para proteções (e até para caminhos de maior autoconhecimento, de boas releituras internas). Já fui hackeada no e-mail e já tive a impressão de estar passando por uma tentativa através do Facebook. São tantos pontos das nossas bagagens nessas redes, de necessidades, de reflexões, de tamanhas cargas, não é? Terrível pensar que tudo é tão frágil e que pouco buscamos amplificar seguranças no cotidiano. É aquela coisa de "tu pedes vento e inda choras, enquanto a brisa tenta chegar e tu nem vês, tu só imploras". Estou aprendendo a salvar no drive os arquivos, já que sempre fui "a louca dos pen drives" e já perdi muita coisa importante. Tudo isso entra em tais quesitos também: é um ciclo que sempre deve considerar novos riscos. Obrigada por esses alertas tão recheados e por essas dicas de valores imensuráveis!

    www.semquases.com

    ResponderExcluir
  15. Muito bacana! Também sou da área de TI e já conhecia as dicas que você passou, mas acho de grande valia pra quem não manja muito dessa área!
    Post de utilidade publica!
    Parabéns pela iniciativa!

    Memórias de uma Guerreira

    ResponderExcluir
  16. Muito bom!!!
    Muito mesmo ^^
    Eu ja trabalhei com analise de fraude e muitos eram fraudados por bobeira =/

    ResponderExcluir
  17. Ta aí algo que eu vivo adiando. Vou aproveitar o post para colocar as dicas em ação. Gostei muito sobre todos os detalhes abordados no post, já que eu sou devagar com essas coisas e termos e acabo ficando com preguiça de ir mais a fundo, mesmo sabendo que é necessário e aumentado as chances de não ouvir um "bem que te avisei" depois, haha. Obrigada pelas dicas. :)
    Beijos,
    Bru
    Blog Moderando

    ResponderExcluir