Cuidados com senhas
O uso de logins e senhas é o principal mecanismo de autenticação para o controle de acesso a sites e serviços oferecidos na Internet. É um erro, porém, achar que se está seguro na rede apenas por ter uma senha. Existem inúmeros cuidados que devem ser tomados para que suas senhas não sejam descobertas. Isso porque, se descobertas, podem ser usadas por uma pessoa mal intencionada para se passar por você e, praticar atos como:
- acessar a sua conta de correio eletrônico e ler seus e-mails, enviar mensagens de spam e/ou contendo phishing e códigos maliciosos, furtar sua lista de contatos e pedir o reenvio de senhas de outras contas para este endereço de e-mail (e assim conseguir acesso a elas);
- acessar o seu computador e obter informações sensíveis nele armazenadas, como senhas e números de cartões de crédito;
- utilizar o seu computador para esconder a real identidade desta pessoa (o invasor) e, então, desferir ataques contra computadores de terceiros;
- acessar sites e alterar as configurações feitas por você, de forma a tornar públicas informações que deveriam ser privadas;
- acessar a sua rede social e usar a confiança que as pessoas da sua rede de relacionamento depositam em você para obter informações sensíveis ou para o envio de boatos, mensagens de spam e/ou códigos maliciosos.
Uso seguro de contas e senhas
Segundo a Cartilha de Segurança para a Internet, disponibilizada pelo CERT (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil), algumas formas como sua senha pode ser descobertas são:
- ao ser usada em computadores infectados. Muitos códigos maliciosos, ao infectar um computador, armazenam as teclas digitadas (inclusive senhas), espionam o teclado pela webcam (caso você possua uma e ela esteja apontada para o teclado) e gravam a posição da tela onde o mouse foi clicado;
- ao ser usada em sites falsos. Ao digitar a sua senha em um site falso, achando que está no site verdadeiro, um atacante pode armazená-la e, posteriormente, usá-la para acessar o site verdadeiro e realizar operações em seu nome;
- por meio de tentativas de adivinhação;
- ao ser capturada enquanto trafega na rede, sem estar criptografada;
- por meio do acesso ao arquivo onde a senha foi armazenada caso ela não tenha sido gravada de forma criptografada;
- com o uso de técnicas de engenharia social, como forma a persuadi-lo a entregá-la voluntariamente;
- pela observação da movimentação dos seus dedos no teclado ou dos cliques do mouse em teclados virtuais.
Assim, são necessários alguns cuidados ao usar suas contas e senhas, tais como:
- certifique-se de não estar sendo observado ao digitar as suas senhas;
- não forneça as suas senhas para outra pessoa, em hipótese alguma;
- certifique-se de fechar a sua sessão ao acessar sites que requeiram o uso de senhas. Use a opção de sair (logout), pois isto evita que suas informações sejam mantidas no navegador;
- altere as suas senhas sempre que julgar necessário;
- não use a mesma senha para todos os serviços que acessa;
- ao usar perguntas de segurança para facilitar a recuperação de senhas, evite escolher questões cujas respostas possam ser facilmente adivinhadas;
- certifique-se de utilizar serviços criptografados quando o acesso a um site envolver o fornecimento de senha;
- procure manter sua privacidade, reduzindo a quantidade de informações que possam ser coletadas sobre você, pois elas podem ser usadas para adivinhar a sua senha, caso você não tenha sido cuidadoso ao elaborá-la;
- mantenha a segurança do seu computador;
- seja cuidadoso ao usar a sua senha em computadores potencialmente infectados ou comprometidos. Procure, sempre que possível, utilizar opções de navegação anônima;
- elabore senhas fortes.
Elaboração de senhas fortes
Uma senha forte tem como características ser difícil de ser descoberta e fácil de ser lembrada. Assim, deve-se evitar simples palavras de dicionário, números sequenciais e dados pessoais. Na Cartilha de Segurança para Internet, o CERT faz as seguintes recomendações de elementos que você deve usar na elaboração de suas senhas:
- Números aleatórios: quanto mais ao acaso forem os números usados melhor, principalmente em sistemas que aceitem exclusivamente caracteres numéricos.
- Grande quantidade de caracteres: quanto mais longa for a senha mais difícil será descobri-la. Apesar de senhas longas parecerem, a princípio, difíceis de serem digitadas, com o uso frequente elas acabam sendo digitadas facilmente.
- Diferentes tipos de caracteres: quanto mais "bagunçada" for a senha mais difícil será descobri-la. Procure misturar caracteres, como números, sinais de pontuação e letras maiúsculas e minúsculas. O uso de sinais de pontuação pode dificultar bastante que a senha seja descoberta, sem necessariamente torná-la difícil de ser lembrada.
Ainda segundo o CERT, algumas sugestões práticas para obter uma senha mais forte são:
- Selecione caracteres de uma frase: baseie-se em uma frase e selecione a primeira, a segunda ou a última letra de cada palavra. Exemplo: com a frase "O Cravo brigou com a Rosa debaixo de uma sacada" você pode gerar a senha "?OCbcaRddus" (o sinal de interrogação foi colocado no início para acrescentar um símbolo à senha).
- Utilize uma frase longa: escolha uma frase longa, que faça sentido para você, que seja fácil de ser memorizada e que, se possível, tenha diferentes tipos de caracteres. Evite citações comuns (como ditados populares) e frases que possam ser diretamente ligadas à você (como o refrão de sua música preferida). Exemplo: se quando criança você sonhava em ser astronauta, pode usar como senha "1 dia ainda verei os aneis de Saturno!!!".
- Faça substituições de caracteres: invente um padrão de substituição baseado, por exemplo, na semelhança visual ("w" e "vv") ou de fonética ("ca" e "k") entre os caracteres. Crie o seu próprio padrão pois algumas trocas já são bastante óbvias. Exemplo: duplicando as letras "s" e "r", substituindo "o" por "0" (número zero) e usando a frase "Sol, astro-rei do Sistema Solar" você pode gerar a senha "SS0l, asstrr0-rrei d0 SSisstema SS0larr".
Gerenciamento de contas e senhas
Outro cuidado importante é que idealmente deve-se ter uma senha diferente para cada serviço. No mínimo, deve-se ter senhas diferentes para trabalho e uso pessoal, mas, principalmente, deve-se ter senhas diferentes e fortes para acessar serviços mais “críticos”, como e-mails e sites bancários. Se uma pessoa mal intencionada descobrir a senha de seu e-mail pessoal, ela poderá trocar a senha dele e de outros serviços, já que contas de e-mail frequentemente são usadas como mecanismo de recuperação de todas suas senhas.
Tendo várias senhas diferentes, porém, pode haver o problema do esquecimento. Assim, é importante anotá-las em um local longe do computador. Também é possível salvá-las com um aplicativo gerenciador de senhas (ou no navegador web). Nesse caso, assegure-se de usar uma senha forte para ter acesso ao computador e também para ter acesso ao gerenciador de senhas.
Recuperação e alteração de senhas
Mesmo que sejam tomados todos os cuidados descritos, podem ocorrer situações de perda ou extravio da senha. Nesses casos, existem alguns sistemas que permitem a alteração de sua senha, desde que atendidas algumas condições como:
- permitir que você responda a uma pergunta de segurança previamente determinada por você;
- enviar a senha, atual ou uma nova, para o e-mail de recuperação previamente definido por você;
- confirmar suas informações cadastrais, como data de aniversário, país de origem, nome da mãe, números de documentos, etc;
- apresentar uma dica de segurança previamente cadastrada por você;
- enviar por mensagem de texto para um número de celular previamente cadastrado por você.
Os recursos mencionados podem ser muito úteis na recuperação de senhas, mas também podem ser utilizados por atacantes que queiram se apossar de sua conta, assim, recomendam-se os seguintes cuidados:
- cadastre uma dica de segurança que seja vaga o suficiente para que ninguém mais consiga descobri-la e clara o bastante para que você consiga entendê-la. Exemplo: se sua senha for "SS0l, asstrr0-rrei d0 SSisstema SS0larr"5, pode cadastrar a dica "Uma das notas musicais", o que o fará se lembrar da palavra "Sol" e se recordar da senha;
- seja cuidadoso com as informações que você disponibiliza em blogs e redes sociais, pois podem ser usadas por atacantes para tentar confirmar os seus dados cadastrais, descobrir dicas e responder perguntas de segurança;
- evite cadastrar perguntas de segurança que possam ser facilmente descobertas, como o nome do seu cachorro ou da sua mãe. Procure criar suas próprias perguntas e, de preferência, com respostas falsas. Exemplo: caso você tenha medo de altura, pode criar a pergunta "Qual seu esporte favorito?" e colocar como resposta "paraquedismo" ou "alpinismo";
- ao receber senhas por e-mail procure alterá-las o mais rápido possível. Muitos sistemas enviam as senhas em texto claro, ou seja, sem nenhum tipo de criptografia e elas podem ser obtidas caso alguém tenha acesso à sua conta de e-mail ou utilize programas para interceptação de tráfego;
- procure cadastrar um e-mail de recuperação que você acesse regularmente, para não esquecer a senha desta conta também;
- procure não depender de programas gerenciadores de senhas para acessar o e-mail de recuperação (caso você esqueça sua chave mestra ou, por algum outro motivo, não tenha mais acesso às suas senhas, o acesso ao e-mail de recuperação pode ser a única forma de restabelecer os acessos perdidos);
- preste muita atenção ao cadastrar o e-mail de recuperação para não digitar um endereço que seja inválido ou pertencente a outra pessoa. Para evitar isto, muitos sites enviam uma mensagem de confirmação assim que o cadastro é realizado. Tenha certeza de recebê-la e de que as eventuais instruções de verificação tenham sido executadas.
Por fim, se for necessário alterar a senha de credenciais de acesso @unila, pode-se fazer por meio do site https://minhasenha.unila.edu.br/.
Partes deste texto foram transcritos da Cartilha de Segurança para Internet do CERT, disponível em https://cartilha.cert.br/, na qual podem ser obtidas mais informações referentes a Segurança da Informação.