025.1 Lição 1

Ao longo dos séculos, muitas formas de autenticação foram desenvolvidas. Em bares clandestinos (os pontos ilegais de venda de álcool que existiram nos Estados Unidos durante a era da Proibição), as pessoas se autenticavam dizendo uma senha conhecida pela equipe (famosamente “Joe sent me”) e assim, conseguiam entrar. Senhas — ou, mais geralmente, chaves secretas — agora são centrais para a autenticação em computadores.

Especialistas em segurança dividem os tipos de autenticação em algumas categorias: “algo que você sabe” (uma senha), “algo que você tem” (um documento de identidade, um cartão de caixa eletrônico) e “algo que você é” (uma impressão digital, uma leitura da íris).

A identidade e a autenticação são fundamentais para as interações computadorizadas. Precisamos nos identificar e ser autenticados por escolas, empresas, bancos, varejistas, órgãos governamentais, contas de mídia social e muito mais.

Cometer um erro na autenticação pode ter consequências graves. Pessoas perderam suas economias de toda a vida devido a fraudes de identidade ou golpes causados por invasores que se passaram por instituições confiáveis.

Quando você usa um serviço, sua identidade é utilizada das seguintes maneiras básicas:

A autenticação, como vimos, apenas valida que Julie é Julie, e não George ou Ahmed.

A autorização utiliza a identidade autenticada para determinar se você tem o direito de acessar algum recurso. Por exemplo, você pode estar autorizado a ler e escrever arquivos no seu computador, mas não a alterar suas configurações de segurança.

A contabilização (também conhecida como registro) mantém um registro do que você fez, para que um administrador possa verificar coisas suspeitas que aconteceram no passado. Por exemplo, se dados parecerem ter sido roubados, o administrador pode ter interesse em saber que um dos funcionários foi registrado entrando no sistema às 3:00 da manhã. Esse login pode muito bem ter sido feito por um intruso malicioso que roubou as credenciais do funcionário.

As senhas são centrais para identidade e segurança na computação. Embora haja muita discussão sobre alternativas às senhas, essas alternativas ainda se baseiam no mesmo conceito de “algo que você sabe” e exigem a escolha de uma string de texto difícil de adivinhar.

Quando IDs físicos e biometria são usados, eles geralmente são utilizados juntamente com uma senha ou outra chave segura de algum tipo.

Esboçamos algumas regras detalhadas para o gerenciamento de senhas. Felizmente, existem ferramentas disponíveis para auxiliar nesse processo.

Muitas pessoas mantêm uma lista de senhas em papel, e, em algumas circunstâncias, essa pode ser uma maneira razoável de mantê-las. Se você está trabalhando em casa e ninguém entra no seu escritório, uma lista em papel pode ser segura. (No entanto, um ladrão pode encontrá-la.)

E se você tem uma lista em papel, ainda precisa digitar cada senha, o que é inconveniente e propenso a erros. Muitos sites bloqueiam o acesso após algumas tentativas de login, para impedir ataques de força bruta. Portanto, uma lista em papel nunca é ideal.

Uma lista em texto simples no seu computador é ainda menos segura, pois o malware pode instalar uma ferramenta que localiza a lista.

Para a melhor segurança, portanto, use um gerenciador de senhas. Este programa pode ser executado no seu computador pessoal (desktop, laptop ou dispositivo móvel) ou na nuvem. Comece inserindo no gerenciador de senhas as informações de login relevantes para cada serviço ou programa que você usa: seu endereço de e-mail ou nome de usuário, sua senha e as respostas às perguntas de segurança.

Um gerenciador de senhas criptografa suas informações de login para que um intruso não possa usá-las caso o arquivo de dados seja roubado. Se o gerenciador de senhas for executado na nuvem, ele também usa criptografia ao transmitir seus dados entre o seu computador e o servidor na nuvem.

Você precisa lembrar apenas uma senha, chamada de senha mestra, para acessar o gerenciador de senhas. Depois, pode instruir o gerenciador de senhas a fazer login em todos os programas e serviços que você armazenou lá. Alterar senhas também é simples.

Existem vantagens e desvantagens entre usar um gerenciador de senhas offline no seu computador e usar um gerenciador de senhas baseado na nuvem. Você não pode usar o gerenciador de senhas local quando deseja fazer login no computador de um membro da família ou amigo, caso seu sistema fique fora do ar ou você esteja visitando alguém. O gerenciador de senhas na nuvem está disponível em qualquer lugar e é claramente útil quando você está em movimento.

Os gerenciadores de senhas offline armazenam os dados de senha localmente no dispositivo do usuário, oferecendo um nível mais alto de segurança, pois os dados não são armazenados na nuvem e não estão vulneráveis a ataques online. Este tipo de gerenciador é ideal para usuários que priorizam a segurança em relação à conveniência e não precisam acessar suas senhas em vários dispositivos. Gerenciadores offline, como o KeePass2, oferecem recursos robustos de segurança, incluindo criptografia local e a capacidade de gerenciar senhas sem uma conexão com a internet. A principal desvantagem é que os usuários são responsáveis por fazer backup de seus dados e podem achar menos conveniente sincronizar as senhas manualmente entre dispositivos.

Os gerenciadores de senhas online armazenam os dados de senha criptografados na nuvem, permitindo que os usuários acessem suas senhas de qualquer dispositivo conectado à internet. Esse recurso de sincronização é particularmente útil para usuários que precisam acessar suas senhas em vários dispositivos, como smartphones, tablets e computadores. Exemplos populares incluem LastPass, 1Password e Dashlane. No entanto, armazenar senhas na nuvem introduz alguns riscos de segurança, já que os dados podem ser acessados caso o serviço seja comprometido ou o gerenciador de senhas na nuvem possa sofrer uma falha, ou você pode perder o acesso à internet. O serviço também pode aumentar seus preços, fechar o negócio ou abandoná-lo de outras formas.

Alguns navegadores web também possuem gerenciadores de senhas. Eles são convenientes enquanto você estiver realizando todo o seu trabalho no mesmo navegador, mas o gerenciador de senhas de um navegador não é acessível de outro navegador.

O KeePass 2 é um gerenciador de senhas popular e gratuito que funciona em todos os sistemas operacionais populares. O site oferece downloads para uma ampla gama de sistemas — Windows, macOS, GNU/Linux, dispositivos móveis populares — e distribui seu código aberto sob a Licença Pública Geral GNU (GPL).

Autenticação única (Single Sign-On - SSO) permite que você faça login em um serviço e depois use outros serviços sem precisar fazer login neles individualmente. Por exemplo, suponha que você mantenha o Facebook aberto no seu computador o tempo todo. Quando você visitar outro serviço, pode aparecer uma caixa de diálogo que permite fazer login usando sua conta do Facebook. O Google é outro serviço popular frequentemente usado para autenticação única.

Trocas de dados complicadas acontecem nos bastidores para possibilitar a autenticação única. A ideia básica é que, após você clicar no ícone apresentado pelo segundo serviço, ele envia uma mensagem para o Facebook e recebe de volta um token (uma mensagem aleatória e criptografada) que autentica você.

Quando você deseja usar a autenticação única, o serviço que você quer utilizar pode não estar rodando no mesmo navegador. Você pode, por exemplo, estar desconectado do Facebook ou tê-lo deixado aberto em outro navegador. Nesse caso, o segundo serviço faz com que o Facebook abra uma caixa de diálogo e peça para você fazer login na sua conta do Facebook. Nesse momento, usar a autenticação única pela primeira vez exige o mesmo esforço que fazer login com uma conta diferente, mas usos posteriores da autenticação única serão fáceis, porque o Facebook continuará aberto.

Assim como no gerenciador de senhas online, depender de um serviço para autenticação única traz um risco: se você perder o acesso à sua conta ou o serviço for descontinuado, você perde o acesso a todos os outros serviços que consultaram esse serviço para obter suas informações de login.

Além disso, quando um novo serviço solicita acesso a outro, ele pode pedir muitos dados sobre você que não são necessários para fazer o login, como localização e data de nascimento, por exemplo. Se for solicitado que você aprove a transferência de dados de um serviço para outro, pense cuidadosamente sobre se deseja que o novo serviço tenha essas informações.

Discutimos como você deve gerenciar suas senhas de forma segura. Mas e quanto ao servidor? Ele precisa reconhecer sua senha. Porém, se ele contiver um banco de dados de usuários e senhas, estará altamente vulnerável a intrusões maliciosas.

As duas principais maneiras de proteger sua senha são hashing e salting. Essas técnicas são conhecidas há muitas décadas, e todos os servidores deveriam usá-las.

O hashing significa passar os caracteres da sua senha por uma função matemática simples, geralmente composta por adições, multiplicações e divisões. Um bom hash produz uma sequência de caracteres de comprimento fixo e aleatório. Como informações são perdidas durante o processo de hashing, ninguém pode reconstruir a senha original a partir do hash. Quando você faz login e envia a senha, o servidor a faz passar pelo processo de hashing e verifica se o resultado corresponde ao que está armazenado em seu banco de dados.

Invasores determinados e bem financiados encontraram uma maneira de atacar os hashes: eles criam um enorme banco de dados de strings e seus hashes associados (o que pressupõe que eles possam determinar qual função de hash está sendo usada). Esse banco de dados é chamado de tabela arco-íris (rainbow table). Se o invasor invadir um servidor e obter os hashes, ele consulta cada hash na tabela arco-íris e tenta as várias strings que correspondem.

Portanto, o hashing deve ser complementado com o salting (pitada de sal). Isso significa adicionar uma string curta e única — chamada de salt ou nonce — à senha do usuário. Em seguida, a combinação da senha e do salt é submetida ao processo de hashing.

As contas de e-mail são frequentemente a porta de entrada para nossas identidades digitais, servindo como um hub central para gerenciar o acesso a vários serviços online, incluindo redes sociais, comércio eletrônico, bancos e até plataformas relacionadas ao trabalho. Por isso, garantir a segurança das contas de e-mail é um dos aspectos mais críticos da segurança de TI. Uma conta de e-mail comprometida pode levar a uma série de violações de segurança, já que invasores podem usá-la para redefinir senhas e obter acesso não autorizado a outros serviços conectados.

Para proteger as contas de e-mail, é essencial implementar medidas de segurança fortes. Uma das estratégias mais eficazes é usar a autenticação multifatorial.

O monitoramento regular da atividade da sua conta de e-mail também é uma prática importante. Fique atento a quaisquer tentativas de login incomuns ou mudanças nas configurações, como regras de encaminhamento que você não configurou. Esses podem ser indicadores de que alguém está tentando obter acesso não autorizado à sua conta.

O monitoramento de contas pessoais para vazamentos de senhas é uma prática essencial para manter a segurança digital e proteger sua identidade online. Vazamentos de senhas ocorrem quando hackers obtêm acesso não autorizado a bancos de dados contendo credenciais de usuários, que podem então ser expostas ou vendidas na dark web.

Para mitigar os riscos associados aos vazamentos de senhas, é crucial ser proativo no monitoramento de suas contas em busca de sinais de comprometimento. Um método eficaz é configurar alertas nos motores de busca para seus nomes de usuário ou endereços de e-mail.

Além disso, verificadores de vazamentos de senhas são ferramentas valiosas para identificar credenciais comprometidas. Websites e serviços como Have I Been Pwned e Google’s Password Checkup podem verificar seu endereço de e-mail ou senha em bancos de dados de vazamentos conhecidos para determinar se suas informações foram expostas.

Se você receber um alerta de que sua senha foi comprometida, é importante agir rapidamente. Altere sua senha imediatamente no site afetado e em qualquer outro site onde você possa ter usado a mesma senha.

Navegadores modernos, como Google Chrome, Firefox e Safari, possuem recursos de segurança integrados que alertam os usuários caso suas senhas tenham sido comprometidas em uma violação de dados. Esses navegadores podem detectar quando as senhas salvas não são mais seguras e notificar os usuários sobre quais contas estão afetadas, incentivando-os a tomar medidas para proteger suas informações.

Quando você usa o gerenciador de senhas integrado de um navegador, ele armazena suas credenciais de login de forma segura para vários sites. Se alguma dessas senhas armazenadas corresponder a uma violação de dados conhecida, o navegador emitirá um alerta de segurança.

Bancos online e o uso de cartões de crédito oferecem conveniência e acessibilidade para os usuários gerenciarem suas finanças de qualquer lugar. No entanto, essa conveniência vem com riscos de segurança significativos, pois esses serviços são alvos principais de cibercriminosos que buscam roubar informações pessoais e ativos financeiros.

Uma das bases para a segurança do banco online é o uso de conexões seguras, geralmente indicadas por uma URL que começa com https:// e um ícone de cadeado na barra de endereços do navegador. Sempre verifique se você está no site legítimo do banco antes de inserir qualquer informação pessoal. Ataques de phishing, onde sites fraudulentos imitam sites legítimos, são uma ameaça comum. Outro aspecto crítico de segurança é a autenticação multifatorial (MFA), que a maioria dos bancos agora exige ou oferece como opção.

Evite usar computadores públicos ou compartilhados, pois eles podem estar infectados com malware que pode capturar suas teclas digitadas ou roubar suas credenciais de login. Da mesma forma, redes Wi-Fi públicas costumam ser inseguras e podem ser usadas por invasores para interceptar seus dados. Se você precisar usar Wi-Fi público, considere usar uma Rede Privada Virtual (VPN) para criptografar sua conexão e proteger suas informações.