Páginas

Pesquisar

17 de jun. de 2011

Dicas de segurança insanamente simples contra o roubo de senhas

Estamos sendo sacudidos frequentemente por notícias que dão conta de roubos de e-mails e senhas de milhares de usuários por grupos de crackers. Apesar, de aparentemente, estar longe do controle do usuário tais roubos, veremos que as consequências do fato de se ter uma senha hackeada depende do tipo de política adotada pelas pessoas*, cuja gravidade poderia ser minimizada se certos cuidados fossem tomados.

1) Jamais use senhas óbvias e idiotas.
Para evitar roubos em que os hackers usam a técnica mais velha do universo, a força bruta (brute force), evite usar senhas estúpidas, idiotas e óbvias. Se você não sabe o que é uma senha idiota, pergunte ao Google.

2) JAMAIS seja tão tremendamente idiota ao ponto de usar a mesma senha em todos os serviços de internet.
A frase escrita por um usuário que teve acesso a uma lista de milhares de emails e senhas de usuários, divulgada pelo grupo Hacker Lulzsec, chega ser chocante:
"Entrei na Xbox Live, no Paypal, no Facebook, Twitter, YouTube, TUDO”, escreveu uma pessoa que se identificou como Niall Perks. O idiota usava a mesma senha para todos os serviços!”
Divulgação de senhas por hackers leva a enxurrada de golpes online. 

3) Jamais use uma senha uma palavra isolada encontrável em dicionário de qualquer língua.
Se você não vai usar um programa gerenciador de senhas que gera automaticamente senhas robustas (item 5), escolha senhas grandes unindo várias palavras e números misturando letras maiúsculas, minúsculas, números e caracteres especiais, por exemplo: Qemusa_30CaracteresnãoPerdeJamais

4)Nunca deixe o navegador armazenar as suas senhas.
O recurso de armazenamento de senhas dos browsers é o mais furado do mercado, pois armazena os dados em arquivos não criptografados, facilmente acessáveis no caso de invasão do seu computador. O melhor a fazer é desativar este recurso nas configurações do navegador.

5) Use um Gerenciador de Senhas.
Se você não é um computador vivo e não consegue decorar todas as suas senhas bombadas de 30 caracteres, considere usar um gerenciador de senhas e decorar apenas UMA senha grande e poderosa!
Os dois gerenciadores mais famosões do mercado são o
LastPass:
  • Oferece uma versão gratuita com poucas limitações. Neste gerenciador, os dados do usuário são criptografados remotamente e você pode acessá-los de qualquer computador do mundo, desde que forneça a senha-mestre.


Roboform:
  • Na versão Desktop os dados do usuário são criptografados localmente. A versão “Everywhare” usa a mesma sistemática do LastPass.


Para pessoas e organizações extremamente paranoicas com a segurança das suas senhas, certamente o Roboform Desktop é a melhor opção devido ao detalhe do programa armazenar as senhas localmente através de um programa instalado no PC. Todavia, é mais difícil de gerenciar, pois oferece menores possibilidades em se tratando de intercambialidade entre computadores.

É bom relembrar que em maio de 2011 houve uma tentativa de invasão de alguns servidores do LasPass, mas não ficou comprovado que os dados dos usuários foram vazados.
Gerenciador de senhas Lastpass é alvo de ataque por crackers. 

Eu uso a versão paga do LastPass para armazenar todas as minhas senhas e até agora tenho tido excelentes resultados e posso assegurar que os meus dados não foram comprometidos no incidente registrado em maio.

*Pessoas são maior desafio à segurança da informação nas empresas

8 comentários:

  1. O gerenciador de senhas do Opera criptografa as mesmas.

    ResponderExcluir
  2. deixo todas as senhas armazenadas no firefox, nunca tive problemas.

    ResponderExcluir
  3. @aurelioleandro19/06/2011, 22:52

    As vezes tendo usar senhas repetidas, porém as senha que crio geralmente não é aceita por sites diferentes, elas sempre infringem alguma regra de composição de senhas. Não sei se isto é uma benção ou uma praga, muitas vezes tenho que recuperar minhas senhas por esquecer alguns caracteres!

    ResponderExcluir
  4. Aurelio Leandor, realmente cada site tem regras próprias para a composição das senhas: alguns limitam o tamanho, outros, tamanho e tipos de caracteres permitidos. Se você não usa gerenciador de senhas, seria altamente interessante que use um programa que criptografa as senhas num arquivo. É o Keepass

    ResponderExcluir
  5. É claro que você pode repetir senhas, desde que você tenha algumas senhas padrões, diferentes entre si, e divididas pelo grau de importância da informações e de acessibilidade do que você guarda.

    Aqui vai uma dica para elaborar senha.
    Tenha duas ou três senhas idiotas!

    Por exemplo:
    1 - 06011985dC (nível 0) - Sites que você não vai usar muito, ou documentos sem nenhuma importancia.

    2 - KadmiumProject (nível 0) - Sites que você não vai usar muito, ou documentos sem nenhuma importancia.

    3 - seuforcenaopegaissomanolo (nível 0 - palavras do dicionario) - Sites que você não vai usar muito, ou documentos sem nenhuma importancia.

    Agora, e se mesclar?

    K0a6d0m1i1u9m8P5rdoCject (nível 1 - mesclando as duas) - Essa senha você pode perfeitamente usar num facebook da vida.
    O force quebra ela, mas pelo tamanho dela, tem q ser feito por um tipo específico de force.. e pela forma como o force trabalha, vai tomar 23^26 + 14 tentativas pra ele quebrar.

    @K0a6d0m1i1u9m8&P5r&doCject@ (nível 3 - nível 2, separando as palavras (kadmium de project, e 06011985 de dC com & e começando e terminando com !) Serve pra e-mail, ou qualquer coisa que você queira deixar seguro.

    @sKe0uaf6odr0cme1nia1oup9emg8a&iPs5sro&mdaonCojleoct@ (nível 4 - adicionando um "seuforcenaopegaissomanolo" nele) - perfeito pro seu ganha pão.

    Pronto, você tem senhas fortes até o talo, decorando tres senhas estúpidas, mas utilizando eles com dois conceitos lógicos (alternância e separação de palavras por caracteres estranhos).

    Agora não sei se concordo com não salvar as senhas no navegador.

    Eles não são gravados em cookies e nem cache, mas sim no próprio banco de dados que o browser usa. Consequentemente não é acessível por javascript, certo?

    Acho que instalar plugins e mais plugins vai é comprometer a segurança do browser, invés de aumentar.

    ResponderExcluir
  6. Ótimas dicas! A senha mais básica 06011985dC já está num nível extremamente adiantando ao que o pessoal usa por aí. Os hackers deitam e rolam porque pessoas e empresas estão num nível de displicência que beira as raias da loucura.

    ResponderExcluir
  7. alguém que chama o leitor de idiota, nem deve ter minha atenção.

    ResponderExcluir
  8. hoje dia 28/12/2011 fui vitima de hacker e perdi meu msn; orkut:e não consigo fazer ou de jeito nenhum oque eu fasso

    ResponderExcluir