Jon, já vai começar a semana disparando regras? Vou. Anote aí: se você é um profissional de tecnologia e não adota as práticas abaixo para gerenciar as suas senhas / credenciais, está fazendo errado. Se você não é de tecnologia, mas preza minimamente pela sua segurança, deveria segui-las também, antes que seja tarde.
1) Não repita suas senhas em serviços/sites/apps diferentes
Evite repetir senhas senhas em sites ou serviços distintos. Por que? Se sua senha vazar em um serviço, você não terá outras contas comprometidas. Vazou a senha de um site específico ? Você só precisará trocar a senha nele: suas outras contas, com senhas diferentes, não estarão comprometidas. Quer saber se você já teve alguma senha vazada em algum site ? Utilize o excelente https://haveibeenpwned.com/
2) Utilize senhas longas
Com no mínimo 16 caracteres, sempre misturando letras maiúsculas, minúsculas, números e pontuações. Por que? Veja a imagem no início do artigo. Ela mostra o tempo necessário para quebrar uma senha (testando todas as combinações possíveis) de acordo com os tipos de caracteres utilizados. 16 caracteres com maiúsculas, minúsculas, números e símbolos estamos falando de bilhões de anos (pelo menos por enquanto: com a computação quântica temos expectativa de reduzir esses tempos drasticamente).
No caso de vazamentos de bases de dados de senhas de sites (sim, acontece rotineiramente, infelizmente), cada caractere adicional com as combinações que citei aumenta consideravelmente o esforço computacional para decifrar sua senha.
3) Utilize segundo fator de autenticação
Se o serviço/site/app tem um segundo fator de autenticação, você PRECISA ativá-lo. Um segundo fator de autenticação é algo que vai além da simples senha: pode ser uma confirmação por e-mail ou SMS após inserir sua senha, pode ser um aplicativo de smartphone que gera códigos que você deve informar, etc.
Dê preferência ao segundo fator através de códigos gerados por apps (como Google Authenticator, Microsoft Authenticator, etc) ao invés de SMS. Por que? Com a devida engenharia social (pessoas dentro de operadoras telefônicas) e outras técnicas, é possível sequestrar seu número de telefone (já aconteceu com um grande amigo). Aí se o SMS é teu segundo fator, bye bye. Ele teve um prejuízo de quase 15 mil na conta bancária (felizmente o banco estornou).
4) Guarde os códigos de recuperação da conta com segundo fator de autenticação
Após ativar o segundo fator de autenticação por aplicativo, guarde com cuidado os códigos de recuperação da conta (caso fornecidos pelo serviço/site/app). Por que? Se você perder seu celular, lembre que você perdeu seu segundo fator de autenticação. Se você não tiver os códigos de recuperação da sua conta, vai precisar passar por uma “novela” junto ao suporte do serviço/site pra conseguir recuperá-la, muitas vezes levando dias ou semanas (se te atenderem). Mas onde armazená-los ? Veja o próximo passo.
5) Utilize um gerenciador de senhas decente
Você só vai conseguir operacionalizar decentemente os passos 1, 2 e 4 usando um gerenciador de senhas. Por que? Você facilmente tem dezenas ou centenas de contas, acredite. No meu caso, meu gerenciador tem perto de 200 contas. Praticamente todas com senhas diferentes. Ser humano nenhum consegue memorizar isso: daí acabam repetindo a mesma senha em 200 lugares. Aí vazou a senha de uma conta, acabou.
O gerenciador sugere senhas de alta complexidade, fica integrado aos meus navegadores e apps (de qualquer um dos meus computadores ou smartphone) para preencher as senhas e possui recursos de seguranças robustos para proteger teus dados (muitos inclusive protegem documentos, arquivos específicos, etc).
Evite os gerenciadores de senhas dos navegadores, é relativamente fácil recuperar as senhas armazenadas neles. Procure por serviços especializados nisso. Exemplo: BitWarden, OnePass, LastPass, Kaspersky Password, etc. Pegue a versão do serviço em nuvem, assim você conseguirá sincronizar suas senhas entre vários dispositivos.
6) Proteja seu e-mail e SMS com todas suas forças.
Sabe aquele caminho padrão que todos nós conhecemos quando esquecemos a senha de um site ? Clica em esqueci minha senha, informa seu usuário ou e-mail, daí clica no link que vai pra seu e-mail pra informar uma nova senha. E se alguém conseguir acessar o seu e-mail ? Já pensou quantas contas vai conseguir acessar apenas através do seu e-mail ? Mesma coisa com SMS em alguns sites.
No meu smartphone, configurei o e-mail e SMS pra só abrirem com a minha digital (TODAS as vezes). Android e IOS permitem configurar isso facilmente. Lembre que todos os principais serviços de e-mail tem a possibilidade de segundo fator de autenticação: é a primeira conta onde você deve habilitá-lo. E-mail e SMS, por serem canais comuns para recuperação de contas, devem ter cuidados redobrados.
7) Evite utilizar computadores compartilhados
Não dê bobeira. Evite a todo custo colocar suas senhas em computadores compartilhados (em cafés, hotéis, aeroportos, etc). Se precisar em uma emergência, utilize uma aba anônima do navegador, lembre de sempre fazer o logout no site que utilizou e mude a senha assim que possível (em OUTRO local seguro).
8) Evite redes Wi-fi públicas
Não se conecte em redes Wi-fi públicas ou desconhecidas. Os problemas e perigos aqui são tantos: você pode estar em redes feitas para capturar seus dados (inclusive naqueles sites que abrem com o cadeado – https), atacantes na mesma rede podem tentar explorar vulnerabilidades em seus equipamentos, você pode estar acessando sites forjados, etc. Em uma necessidade, a única forma de se proteger é usando uma rede privada virtual (VPN) de confiança, preferencialmente paga. VPN grátis é um péssimo sinal (se o serviço é de graça, o produto é você).
Mas Jonathan, e se eu seguir as dicas, garanto 100 porcento de segurança? Como dizia padre Quevedo: “Isso non ecziste”. Mas já aumenta substancialmente seu nível de proteção. Dá um pouco a mais de trabalho, mas vale toda a dor de cabeça poupada com invasões, tentativas de golpes nos familiares, compras indevidas, etc.
Gostou das dicas? Compartilha essa postagem com seus amigos e familiares.
Um forte abraço e até o próximo artigo.
Fonte da imagem: Hive Systems (https://www.hivesystems.io/password)
Olá, sou Jonathan Maia, marido, pai, apaixonado por tecnologia, gestão e produtividade. Ocupo o cargo de Secretário de Tecnologia da Informação e Comunicação do Tribunal Regional do Trabalho do Ceará (TRT7) desde 2021, onde ingressei como servidor público federal (analista de TIC) no ano de 2010. Fui diretor da Divisão de Sistemas de TIC do TRT7 entre 2018 e 2020 e também tenho experiência prévia na Dataprev, Serpro e Ponto de Presença da Rede Nacional de Ensino e Pesquisa (RNP) no Ceará.
Graduado em ciências da computação pela Universidade Federal do Ceará e especialista em gerenciamento de projetos de TIC pela Universidade do Sul de Santa Catarina. Detentor das certificações em gestão e inovação: Project Management Professional © (PMP), Professional Scrum Master II © (PSM II), Professional Scrum Master I © (PSM I), Professional Scrum Product Owner I © (PSPO I), Kanban Management Professional © (KMP II), Certified Lean Inception Facilitator® (CLF), ISO 31000:2018 Risk Management Professional © e Project Thinking Essentials.
Desenvolvedor Full Stack, possuo experiência em diversas arquiteturas / plataformas de desenvolvimento. Já tive experiências profissionais em redes metropolitanas de alta velocidade (GigaFOR/RNP), business intelligence, desenvolvimento de sistemas, gestão de projetos e produtos, governança, etc. Experiência em dezenas de projetos com abordagens de gestão ágeis, híbridas e tradicionais, incluindo projeto com menção honrosa no Prêmio de Excelência em Governo Eletrônico (e-Gov).
Com dezenas de turmas de capacitação, oficinas ou palestras ministradas nas temáticas de gestão ágil, gestão de projetos, tecnologia, inovação e produtividade nas seguintes instituições: Conselho Superior da Justiça do Trabalho (CSJT), Tribunal de Justiça do Distrito Federal e Territórios (TJDFT), Tribunais Regionais do Trabalho do Ceará (TRT7), Pará e Amapá (TRT8), Sergipe (TRT20), Rio Grande do Norte (TRT21), Tribunais Regionais Eleitorais do Ceará (TRE-CE), Mato Grosso do Sul (TRE-MS) e da Bahia (TRE-BA), Justiça Federal em Sergipe (JF-SE), Justiça Federal no Ceará (JF-CE), Companhia Siderúrgica do Pecém (CSP), Instituto Federal do Ceará (IF-CE), Instituto Federal do Rio Grande do Norte (IF-RN), Banco do Nordeste do Brasil (BNB), Gagliardi (Mobil), Udemy, Companhia Cearense de Gás (CEGÁS), Agile Trends Gov, Project Management Institute (PMI-CE), Cagece, Faculdade Estácio e Associação de Gerenciamento de Projetos do Mato Grosso do Sul (AGPMS).