Guia de Segurança Pessoal – Contas Online

Em nosso último post sobre segurança do navegador, escrevemos sobre como o desenvolvimento de uma mentalidade de segurança mais ampla pode ajudar a manter seu site seguro. Ao tomar medidas para proteger suas contas online, você pode impedir que hackers ganhem acesso não autorizado ao seu site. Há várias maneiras pelas quais as contas comprometidas podem deixá-lo exposto a um incidente de segurança de site – incluindo, mas não se limitando a – seu e-mail, registrar, empresa de hospedagem, repositórios e até mesmo contas de mídia social.

Muitas pessoas entendem a importância de usar senhas fortes, autenticação de dois fatores, gerenciadores de senhas e práticas, com fazer log out após uma sessão. Embora as melhores práticas devam ser implementadas, somos preguiçosos e, às vezes, esquecemos de fazer algumas coisas. Talvez ignoremos o processo inicial de ativação do 2FA ao configurar uma conta e não nos lembramos de fazê-lo mais tarde.

Este post é o segundo da nossa série sobre segurança pessoal . Examinaremos as melhores práticas para proteger suas contas online (lembretes). Se você não faz isso há algum tempo, separe um tempo para auditar suas contas e reforçar a sua postura de segurança global.

1. Gerenciamento de Senhas

O melhor cenário possível é usar senhas completamente exclusivas em todas as suas contas, especialmente para serviços online críticos.

i. Senhas Fortes

Geralmente, é recomendável que suas senhas sejam longas e complexas senhas, essa é a estratégia mais eficaz. Não é difícil para programas maliciosos tentar milhões de senhas para quebrar suas contas.

ii. Medidores da Força da Senha

A maioria dos medidores de força de senhas em páginas de início sde sessão são muito leves para meu gosto e algumas contas online ainda restringem o número e tipo de caracteres que você pode usar. Cuidado.

Tente usar a senha mais longa possível para qualquer sistema. Isso é muito mais fácil com a ajuda de um gerenciador de senhas, que abordaremos em breve.

Também evito usar medidores de força de senhas de terceiros. Quem sabe se eles não estão gravando senhas e outras informações – não vale a pena correr esse risco.

Geralmente, uso senhas com mais de 50 caracteres, com uma mistura aleatória de caracteres especiais minúsculas, maiúsculas, números.

iii. Ferramentas de Gerenciamento de Senhas

Todo o processo de fazer senhas é cansativo. Felizmente, há uma solução. Os gerenciadores de senhas mantêm todas as suas senhas e as auto-preenchem em janelas de login. Muitos gerenciadores de senhas populares também incluem um gerador de senhas. Você só precisa de uma senha mestre para efetuar login no seu cofre de senhas. Sua senha mestre deve ser uma de suas senhas mais fortes.

Navegadores

OS gerenciadores de senhas com base em navegadores devem ser evitados. Cobri isso no meu último post, onde discutimos como os navegadores costumam armazenar senhas em texto simples. O gerenciador de senhas ideal oferece criptografia forte de suas senhas armazenadas.

LastPass

Usei o LastPass por muito tempo porque gostava da conveniência de ter minhas senhas em todos os meus dispositivos. No entanto, tive problemas de conexão ocasionais e não consegui acessá-lo quando isso aconteceu. Isso me lembrou que os gerentes de senhas muitas vezes dependem de um servidor de terceiros – um que não está sob o meu controle, e sobre os quais sei poucos detalhes técnicos.

Não importa o quão seguro um software é, há sempre uma chance de vulnerabilidades estar presente. O LastPass teve seus problemas de segurança no passado, embora rapidamente abordados. Mesmo não sendo minha escolha atual de gerenciador de senhas, o LastPass é uma opção fácil de usar para iniciantes e oferece um teste de segurança útil para ajudar você a certificar-se de que todas as suas senhas são fortes e exclusivas.

KeePass e Yubikey

O único gerenciador de senhas que uso agora é o KeePass, pois me permite controlar meu próprio banco de dados de senhas. Armazeno meu arquivo de configuração do KeePass em um contêiner de arquivos Veracrypt criptografado, incluindo dois backups separados do contêiner de arquivos do Veracrypt em unidades flash armazenadas em locais remotos seguros e separados.

Para desbloquear o meu arquivo KeePass eu uso um sistema de duas partes para inserir minha senha mestre. Primeiro, eu uso uma senha estática Yubikey com 64 caracteres. Depois de inserir meu pendrive USB Yubikey, que mantenho no meu chaveiro físico, insiro o restante da minha senha mestra manualmente. Esta segunda parte da minha senha tem mais de 30 caracteres, e eu a memorizei, não está gravada ou armazenada em nenhum lugar. No caso de eu perder o meu Yubikey primário, também mantenho um backup do Yubikey em um local remoto seguro. Você pode ter somente um keyfile se quiser, mas assim minha senha tem mais de 94 caracteres no total, sinto que é segura o suficiente para mim.

Yubikey usa alguns serviços de 2fA e Authy é outra alternativa a se pensar.

iv. Considerações sobre Timeout de Login

Outra coisa a considerar com os gerentes de senhas são os timeouts de sessão de login. A maioria dos gerenciadores de senhas oferece uma maneira de ajustar as configurações de tempo limite. Por exemplo, você nunca deseja verificar a opção de “manter-me conectado” por 30 dias ou o que quer que seja.

Uso KeePassX no MacOS e em KeePassX > Preferences > Security selecionei a primeira, a segunda e a quarta caixas: (10 segundos, 300 segundos). Para a opção General, tenho as primeiras 5 caixas verificadas. Depois que eu terminar de obter as informações de login que preciso, fecho o KeePassX para que ele fique aberto somente enquanto eu precisar dele.

Autenticação de Dois Fatores (2FA)

Ativar 2FA significa adicionar uma segunda linha de defesa depois que sua senha for inserida. Essa senha secundária é muitas vezes limitada no tempo e fica disponível dentro de um aplicativo para dispositivos móveis como o Google Authenticator. Isso significa que um invasor também precisará ter acesso ao seu dispositivo móvel para desbloquear sua conta.

i. 2FA via Apps

Muitos serviços populares usam 2FA, e mais estão se juntando ao movimento. Existe ainda um site que você pode usar para <solicitar 2FA para serviços que ainda não o tenham.

Para ativar o 2FA, faça login em suas contas online e examine os painéis de configurações. Se não conseguir encontrar uma opção para ativar o 2FA, contate a equipe de suporte e informe-os para que saibam da necessidade de implementar o 2FA.

ii) 2FA via SMS

Existem outras formas de 2FA, mas o uso de mensagens de texto (SMS) para receber um código pode ser menos seguro quando o atacante sabe o seu número de telefone. Para casos em que 2FA está disponível apenas por SMS, uso o aplicativo Sudo e um dos números de telefone virtual disponíveis apenas para 2FA. Isso ajuda a reduzir os riscos associados ao 2FA baseado em SMS. Google Voice é a outra opção que você pode usar para a mesma finalidade. Eu não a uso devido à forma como o Google coleta informações, mas é uma opção que você pode considerar.

4. Considerações sobre Segurança de Contas

Há uma série de coisas adicionais que você pode fazer para manter suas contas online blindadas.

i. Contas Inativas

Contas não utilizadas podem ser problemáticas, especialmente quando contêm informações pessoais. Se você não precisa mais de uma conta, exclua essa conta.

ii. Perguntas de Segurança

Para perguntas de segurança, sempre gero uma resposta aleatória à pergunta e adiciono-a às minhas notas criptografadas do KeePass. Esta é uma boa opção para garantir que os hackers não consigam adivinhar as respostas as minhas perguntas de segurança.

iii. Nomes de Usuários e Endereços de Email

O mesmo acontece com qualquer serviço que exija um nome de usuário. Eu gero um nome de usuário aleatório sempre que posso. Eu também uso um endereço de email aleatório Proton Mail com alias únicos para cada serviço que me inscrevo. Nunca forneço o endereço de e-mail principal associado à conta do Proton Mail, nem o uso para enviar e-mails. Desta forma, ninguém sabe o endereço de e-mail associado à conta. Eu uso Proton Mail aliases para as contas online mais importantes, mas têm um limite de 50 aliases atualmente. Para contas menos importantes, uso o Blur que oferece aliases de email grátis, que encaminho para um único alias do Proton Mail.

Também é importante nunca utilizar predefinições para nomes de utilizadores ou senhas, uma vez que estas podem ser facilmente adivinhadas ou comprometidas.

Os hackers são espertos e usarão seu login de um serviço para tentar invadir o mesmo nome de usuário em outras contas. Existem serviços que tornam mais fácil descobrir quais contas usam o mesmo nome de usuário em outros serviços populares. Se você usar a mesma senha para essas contas, você multiplicara seu risco de comprometimento.

iv. Mudando suas Senhas

Apenas para garantir, mudo minhas senhas a cada 6 meses. Se eu esperar um compromisso ou algo suspeito, altero todas as minhas senhas em todos os serviços críticos.

Conclusão

Você tem que equilibrar suas próprias escalas de segurança e conveniência. Eu pessoalmente gosto de tentar maximizar a minha segurança, mas percebo que não é tão divertido assim para todos.

Se você puder aprender a abraçar a arte e a ciência da segurança, verá que esses passos extras são tranquilizadores em um mundo onde as ameaças à segurança cibernética estão se tornando mais complexas e comuns. Em última análise, o que parece paranóia para alguns é uma dura realidade para as pessoas que vêem ataques acontecer todos os dias como resultado de má gestão de contas.

 

fonte: https://blog.sucuri.net/portugues/2017/05/guia-de-seguranca-pessoal-cont...

Scholarly Lite is a free theme, contributed to the Drupal Community by More than Themes.