Dicas simples para proteger seus dados contra crackers!
14 de setembro de 2016 -
Outro dia estava tranquilo em casa quando meu celular vibrou com uma notificação de novo e-mail. Tudo normal, afinal nesse mundo digital estamos acostumados a receber mil e uma notificações do Facebook, Twitter, LinkedIn, e-mail, SMS..., fora as mensagens de "Bom dia!" e imagens de gatinho no Whatsapp...
Nesse dia não foi diferente, mas a mensagem me chamou a atenção. Alguém estava tentando acessar a minha conta do Facebook sem eu saber. Pior, eu não tinha muito o que fazer! Eu sei, já deve ter acontecido isso com você, afinal de contas, acontece com todo mundo #assimespero. É nessa hora que você lembra que a sua senha é daquelas bem complexas, das mais difíceis do mundo #sqn e torce para que todo o controle de segurança do Facebook funcione.
Por sorte, como vocês já devem saber, sou meio encanado com senhas e com a segurança dos meus dados e ativo todo tipo de validação e notificação (quer entender meu nível de paranoia? dá uma olhada nos meus posts sobre gerenciadores e senhas).
Dessa vez o pior não aconteceu e minha conta e meus dados ficaram perfeitamente intactos, longe das garras de algum jovem "hacker" (quer entender o que são hackers?).
Para te ajudar, vou passar mais um dos meus bizus que vão fazer a diferença pra você dormir mais tranquilo. A dica de hoje é sobre "autenticação em dois fatores" ou 2FA (Two-Factor Authentication), uma técnica pouco conhecida, mas bastante efetiva.
Nesse dia não foi diferente, mas a mensagem me chamou a atenção. Alguém estava tentando acessar a minha conta do Facebook sem eu saber. Pior, eu não tinha muito o que fazer! Eu sei, já deve ter acontecido isso com você, afinal de contas, acontece com todo mundo #assimespero. É nessa hora que você lembra que a sua senha é daquelas bem complexas, das mais difíceis do mundo #sqn e torce para que todo o controle de segurança do Facebook funcione.
Por sorte, como vocês já devem saber, sou meio encanado com senhas e com a segurança dos meus dados e ativo todo tipo de validação e notificação (quer entender meu nível de paranoia? dá uma olhada nos meus posts sobre gerenciadores e senhas).
Dessa vez o pior não aconteceu e minha conta e meus dados ficaram perfeitamente intactos, longe das garras de algum jovem "hacker" (quer entender o que são hackers?).
O que é o 2FA?
O 2FA é um método de autenticação em que a segurança é garantida através da inclusão de outras formas de confirmação da sua identidade (múltiplos fatores - MFA).
Geralmente, grande parte dos sites usa apenas o famoso formulário de usuário e senha. Isso é o que chamamos de autenticação baseada em algo que sabemos, ou seja, um código pessoal secreto e intransferível que em geralanotamos em papel decoramos (a menos que você use um gerenciador de senhas).
Para complementar esse tipo de autenticação, uma boa prática é incluir uma validação de algo que possuímos ou algo que somos. E por mais que possa parecer incomum, é algo que está no nosso dia-a-dia. Já se perguntou por que o banco pede tanta confirmação para realizar um simples saque no caixa eletrônico? É o 2FA em ação. Para aumentar a segurança, eles tentam fechar todas as pontas: pedem sua senha (algo que você sabe), seu cartão (algo que só você tem) e dependendo do banco até confirmam uma parte do seu corpo (algo que você é) através dos leitores biométricos (digital, íris, voz etc.). Em transações online também é comum pedirem uma confirmação adicional de um cartão de senhas ou ainda um token físico.
Outro mecanismo que tem sido bastante utilizado é o aplicativo de autenticação. Ele só serve para quem tem smartphones, mas tem o grande benefício de não precisar da rede de dados. O que o aplicativo faz é gerar um código aleatório a cada 30s. É a versão em APP do token físico de banco. Um dos mais utilizados nesse sentido é o Google Authenticator, que apesar do nome, permite que você configure outras contas, como Dropbox, Facebook etc.
Para mostrar que não é nada de outro mundo, coloquei duas imagens abaixo. A primeira mostra como é o processo de solicitação do segundo fator para o Google, e a segunda para o Facebook. Percebam que não tem nada de mais, a segurança é bem maior e de quebra você inibe os bisbilhoteiros de plantão.
Geralmente, grande parte dos sites usa apenas o famoso formulário de usuário e senha. Isso é o que chamamos de autenticação baseada em algo que sabemos, ou seja, um código pessoal secreto e intransferível que em geral
Para complementar esse tipo de autenticação, uma boa prática é incluir uma validação de algo que possuímos ou algo que somos. E por mais que possa parecer incomum, é algo que está no nosso dia-a-dia. Já se perguntou por que o banco pede tanta confirmação para realizar um simples saque no caixa eletrônico? É o 2FA em ação. Para aumentar a segurança, eles tentam fechar todas as pontas: pedem sua senha (algo que você sabe), seu cartão (algo que só você tem) e dependendo do banco até confirmam uma parte do seu corpo (algo que você é) através dos leitores biométricos (digital, íris, voz etc.). Em transações online também é comum pedirem uma confirmação adicional de um cartão de senhas ou ainda um token físico.
 |
| O velho e bom token de banco |
Porque isso é importante?
"Tá, entendi o que é e parece importante, mas meu banco já usa isso, porque eu preciso saber como funciona? Até uso um gerenciador de senhas para os sites comuns, está de bom tamanho, não?". Pois é, é aí que você se engana. Nesse mundo há muita gente interessada em roubar seus dados, se passar por você ou ainda ficar te stalkeando. Pontos importantes sobre senhas:- Senhas sofrem de um problema básico: memória. E não estou falando da memória do computador, mas da sua memória. Ou você acaba escolhendo uma senha básica e repetida por ser mais fácil de lembrar, ou pega uma senha longa, que acaba anotando em algum lugar (ou usa um gerenciador de senhas)
- Senhas não te identificam. Quantas vezes não emprestamos para outra pessoa? Senhas te deixam totalmente vulnerável quando alguém as descobre. Não só isso, a menos que o sistema te notifique de alguma atividade suspeita, você poderá nunca saber que alguém está com acesso aos seus dados. Não há uma forma segura de saber que alguém com seu usuário e senha é realmente você!
- Senhas são fáceis de serem roubadas. Desde o efetivo papelzinho na carteira #quemnunca até o acesso à Internet em redes não confiáveis, sua senha estará sempre muito vulnerável. Sem querer criar pânico, mas já criando, há gente especializada que se conecta em redes de hotéis só para pegar senhas dos hóspedes, por exemplo.
Quais sites permitem 2FA?
A autenticação em dois fatores ainda não é amplamente adotada em todos os sites, mas as principais empresas já tem se movimentado para que isso aconteça logo - Google, Facebook, Twitter, LinkedIn, só para citar algumas. Para facilitar a vida, o site TwoFactorAuth tem uma lista extensa de sites e indicação de cada mecanismo habilitado ou não. Outra opção é você olhar no seu site preferido se essa opção é permitida.
Quais são os tipos mais comuns?
Atualmente vou focar nos meios mais utilizados e que envolvem algo que possuímos e carregamos por aí. Os itens abaixo não são extensivos, é só para vocês terem uma ideia:- SMS
- Ligação de voz
- Cartão com senhas
- Aplicativo de autenticação (software token)
- Chaves físicas (hardware token - USB, por exemplo)
Outro mecanismo que tem sido bastante utilizado é o aplicativo de autenticação. Ele só serve para quem tem smartphones, mas tem o grande benefício de não precisar da rede de dados. O que o aplicativo faz é gerar um código aleatório a cada 30s. É a versão em APP do token físico de banco. Um dos mais utilizados nesse sentido é o Google Authenticator, que apesar do nome, permite que você configure outras contas, como Dropbox, Facebook etc.
 |
| Google Authenticator em pleno funcionamento (Android e iOS) |
Como isso muda a minha vida?
Provavelmente se você está lendo até aqui já deve estar interessado em habilitar o 2FA principalmente no seu Facebook e Gmail, certo? Também deve estar se perguntando como isso muda a sua vida. Bem, como todo mecanismo de segurança, autenticar nos seus sites vai se tornar um processo um pouco mais "enjoado" na primeira vez. Reforço que é só na primeira vez, porque em geral você pode marcar para não perguntar mais naquele dispositivo (seja celular, notebook etc.).Para mostrar que não é nada de outro mundo, coloquei duas imagens abaixo. A primeira mostra como é o processo de solicitação do segundo fator para o Google, e a segunda para o Facebook. Percebam que não tem nada de mais, a segurança é bem maior e de quebra você inibe os bisbilhoteiros de plantão.
 |
| Processo de autenticação no Google e afins |
 |
| Processo de autenticação do Facebook |
Quer saber mais?
Caso você ache que tenha ficado faltando alguma coisa ou queira saber um pouco mais, selecionei alguns links interessantes (alguns em inglês):
- O que é a autenticação em dois fatores e como usá-la?
- Autenticação em múltiplos fatores
- Two-factor authentication: What you need to know (FAQ)
- Apple - Autenticação em dois fatores
- Google - 2 Step verification
- Facebook - Configurações extras de segurança
E aí, já conheciam ou utilizam a autenticação em 2 fatores? Aproveita e compartilha esse post para aquele amigo que só usa senha 1234!
Amei suas dicas, é essencial mesmo. Já aconteceu isso comigo!
ResponderExcluirwww.kailagarcia.com
Eu sou tão relapsa com isso.
ResponderExcluirAffe preciso melhorar
bjs
Em autentico duas vezes em alguns sites, mas uso todas as notificações possíveis também rs
ResponderExcluirQue dica maravilhosa, de utilidade pública!
ResponderExcluirSem dúvidas, vai me ajudar, pois sou super esquecida e acabo colocando senhas que qualquer um iria adivinhar rs
Beijos
Lo, também já tentaram invadir a minha conta do facebook e do twitter. É simplesmente horrível a sensação, vem aquele frio na barriga horrível. Na época também pesquisei, e também coloquei o 2fa em tudo (não sabia que esse era o nome hahah)
ResponderExcluirSegurança é essencial nos dias de hoje.
Beijos, Love is Colorful
Minha amiga já até me falou pra eu colocar isso do código pro Facebook, porque uma vez tentaram acessar meu Facebook, mas era uma pessoa de fora do país, de um país árabe, sei lá, tentaram acessar por um Samsung daqueles de teclado ainda, não sei como, mas tentaram. Bom que o Facebook mostra exatamente o horário, local e com qual aparelho tentaram acessar. Não sabia dessa de imprimir códigos alternativos, do Google. Isso de registrar os acessos com frequência é maravilhoso! Porque toda vez que entro na minha conta por outro dispositivo, me enviam NA HORA um e-mail falando que foi acessado por tal navegador ou por tal dispositivo. Adorei o post!
ResponderExcluirBeijos!
www.likeparadise.com.br
Nossa, diquinhas mega importantes. Está mesmo bem difícil essa onda de tecnologia para tudo. Ao mesmo tempo que é ótimo e rápido para o usuário, torna a sua vida bem mais vulnerável, o que é de perder o sono.
ResponderExcluirVou muito pesquisar melhor e até mesmo baixar um app.
=*
Mani Piñeiro
@Blog_ManiPineiro
Snap: @manipineiro
Nunca utilizei, acredita? Algumas senhas minhas vivo alterando pq acabo esquecendo.
ResponderExcluirMas, seu post serve de alerta pra todos ;) arrasou!
bjoka http://diadebrilho.com
Muito boas as dicas. São coisas que muita gente nem se liga mas que são mega importantes pra nossa segurança! Ótimo post.
ResponderExcluirAbraço! :)
Red Behavior
*hahahaha, a melhor parte foi o final, de compartilhar com o amigo que só usa senha "1234", kkkk.
ResponderExcluirNossa, esse negócio do facebook tem acontecido direto comigo, de tentarem entrar... que nervoso que me dá! Fico agoniada demais!
Este seu post veio em boa hora, super obrigada!!! <3
Beijos casal ;)
Andréia Campos
http://petitandy.com
Ai gente, fiquei apavorada com esse post. Apavorada com o fato de que eu não dou a devida atenção para isso, preciso mudar!!! Já tentaram entrar no meu facebook também, mas GRAÇAS, não deu em nada.
ResponderExcluirJá reparei nessas múltiplas autenticações, mas quem disse que eu tenho paciência pra isso? Quando é algo mais importante até nem me importo tanto, mas graças a deus nunca tentei ser hackeada! Ou sou muito zé ninguém mesmo =P Mas não acho ruim quem faz isso, na verdade acho essas pessoas bem prevenidas!
ResponderExcluirAh, eu esqueci daquele vestido da Blair, ele é lindo mesmo!
O jeito é colocar isso em todos os sites que a gente acessa.
ResponderExcluirBig Beijos
Lulu on the sky
Caramba! Que enriquecedor! Sou tão encantada pelos detalhamentos tão minuciosos e bem elaborados que surgem por aqui. Não tinha noção desses tantos de meios e formas para proteções (e até para caminhos de maior autoconhecimento, de boas releituras internas). Já fui hackeada no e-mail e já tive a impressão de estar passando por uma tentativa através do Facebook. São tantos pontos das nossas bagagens nessas redes, de necessidades, de reflexões, de tamanhas cargas, não é? Terrível pensar que tudo é tão frágil e que pouco buscamos amplificar seguranças no cotidiano. É aquela coisa de "tu pedes vento e inda choras, enquanto a brisa tenta chegar e tu nem vês, tu só imploras". Estou aprendendo a salvar no drive os arquivos, já que sempre fui "a louca dos pen drives" e já perdi muita coisa importante. Tudo isso entra em tais quesitos também: é um ciclo que sempre deve considerar novos riscos. Obrigada por esses alertas tão recheados e por essas dicas de valores imensuráveis!
ResponderExcluirwww.semquases.com
Muito bacana! Também sou da área de TI e já conhecia as dicas que você passou, mas acho de grande valia pra quem não manja muito dessa área!
ResponderExcluirPost de utilidade publica!
Parabéns pela iniciativa!
Memórias de uma Guerreira
Muito bom!!!
ResponderExcluirMuito mesmo ^^
Eu ja trabalhei com analise de fraude e muitos eram fraudados por bobeira =/
Ta aí algo que eu vivo adiando. Vou aproveitar o post para colocar as dicas em ação. Gostei muito sobre todos os detalhes abordados no post, já que eu sou devagar com essas coisas e termos e acabo ficando com preguiça de ir mais a fundo, mesmo sabendo que é necessário e aumentado as chances de não ouvir um "bem que te avisei" depois, haha. Obrigada pelas dicas. :)
ResponderExcluirBeijos,
Bru
Blog Moderando