As chaves do reino - proteger os seus dispositivos e contas
Vamos falar sobre como pode proteger melhor os seus dispositivos e contas online.
O que é a autenticação e por que motivo se deve importar?
Muitas vezes, quando precisa de aceder a algo – um dispositivo, uma conta ou até mesmo um local – tem de ter uma forma de provar que é quem diz ser ou, pelo menos, que tem permissão para aceder a essa coisa. Este é um processo a que chamamos "autenticação".
Um exemplo básico é a sua casa. Quando quer entrar na sua casa, provavelmente tem de usar algum tipo de chave para desbloquear a porta. Essa chave física permite-lhe introduzir. Este é um método de autenticação muito básico, e sofre de um grande problema: se alguém encontrar ou roubar a sua chave, pode entrar na sua casa.
Outro exemplo comum de autenticação é a caixa automática no seu banco. Este é um exemplo ligeiramente mais avançado porque, em vez de ter apenas uma chave física (normalmente um cartão de plástico na carteira), também tem de ter um facto recordado – o PIN, que geralmente é um número de 4 a 8 dígitos.
Este é um sistema mais seguro porque mesmo que alguém tenha a sua chave física ( o cartão) não consegue tirar o seu dinheiro da máquina de dinheiro porque ainda precisa de saber o seu PIN. Se tudo o que têm é o seu PIN, ainda não conseguem obter o seu dinheiro do computador porque também precisam do cartão. Têm de ter as duas coisas.
Num computador, o tipo de autenticação que todos conhecemos é iniciar sessão com um nome de utilizador e palavra-passe. Hoje em dia, os nossos dispositivos contêm tantos dos nossos dados importantes que é fundamental que a nossa autenticação seja bem feita. Se os bandidos conseguirem iniciar sessão nos seus dispositivos ou serviços à sua medida, podem fazer muitas coisas más.
Vamos ver como pode protegê-los facilmente.
Primeiro passo: ative a autenticação nos seus dispositivos móveis.
A maioria dos smartphones modernos pode desbloquear rapidamente com uma impressão digital ou reconhecimento facial, mas mesmo aqueles que não suportam esses métodos podem ser definidos para exigir que um PIN seja desbloqueado. Ative-o.
Sim, é necessário um passo extra para desbloquear o telemóvel quando pretender utilizá-lo, mas adicionar esse pequeno passo torna o seu dispositivo muito mais seguro. Se o seu telemóvel for perdido ou roubado, quem tiver o seu telemóvel é muito menos provável que consiga aceder aos seus dados confidenciais. Isto é especialmente importante se utilizar o seu dispositivo para o trabalho ou para a banca.
Autenticação multifator (também conhecida como "Verificação de dois passos")
Quando aparece em sua casa e insere a sua chave para desbloquear a porta, essa chave é o que chamamos de "fator". Essa porta trancada básica é a autenticação de fator único. Só precisa dessa chave física.
Existem três tipos básicos de fatores utilizados na autenticação:
- Algo que sabe, como uma palavra-passe ou UM PIN memorizado.
- Algo que tem, como um smartphone ou uma chave física de algum tipo.
- Algo que é, como a sua impressão digital ou o seu rosto, que o dispositivo pode analisar para o reconhecer.
A autenticação multifator significa que precisa de mais do que um tipo de fator para entrar. A máquina de dinheiro de que falámos é a autenticação de dois fatores – o cartão de multibanco de plástico é um fator e esse PIN lembrado é o segundo fator.
Quase todos os serviços online agora permitem-lhe utilizar a autenticação multifator para iniciar sessão também. Normalmente, o primeiro fator é o seu nome de utilizador e palavra-passe. O segundo fator é normalmente um código único especial enviado para o seu smartphone através de uma mensagem de texto. Qualquer pessoa que tente iniciar sessão na sua conta precisaria do seu nome de utilizador e palavra-passe, mas também teria de receber essa mensagem de texto especial. Isso torna muito mais difícil para os bandidos entrar.
Outra opção para esse segundo fator pode ser uma aplicação de autenticação no seu smartphone, como o Microsoft Authenticator gratuito. A aplicação de autenticação tem algumas formas diferentes de funcionar, mas a mais comum é semelhante ao método de mensagem de texto. O autenticador gera o código único especial no telemóvel para introduzir. Isto é mais rápido e mais seguro do que uma mensagem de texto porque um atacante determinado pode conseguir intercetar as suas mensagens SMS; mas não podem intercetar um código gerado localmente.
Em ambos os casos, o código especial é alterado sempre e expira após um curto período de tempo. Mesmo que um atacante tenha descoberto o código com que iniciou sessão ontem, não lhes fará nada de bom hoje.
Não é um problema?
Um equívoco comum sobre a autenticação multifator, ou verificação de dois passos, é que requer mais trabalho para iniciar sessão. No entanto, na maioria dos casos, o segundo fator só é necessário na primeira vez que iniciar sessão numa nova aplicação ou dispositivo, ou depois de alterar a sua palavra-passe. Depois disso, o serviço reconhece que está a iniciar sessão com o fator principal (nome de utilizador e palavra-passe) numa aplicação e dispositivo que já utilizou anteriormente e permite-lhe entrar sem precisar do fator adicional.
No entanto, se um atacante tentar iniciar sessão na sua conta, provavelmente não está a utilizar a sua aplicação ou dispositivo. É mais provável que estejam a tentar iniciar sessão a partir do respetivo dispositivo, algures longe, e, em seguida, o serviço IRÁ pedir o segundo fator de autenticação – que quase certamente não têm!
Passo seguinte: ative a autenticação multifator onde puder!
Ative a autenticação multifator no seu banco, nas suas contas de redes sociais, nas compras online e em qualquer outro serviço que o suporte. Alguns serviços podem chamar-lhe "verificação de dois passos" ou "início de sessão em dois passos", mas é basicamente a mesma coisa.
Normalmente, irá encontrá-lo nas definições de segurança da sua conta.
Os ataques de compromisso de palavra-passe são responsáveis pela maioria dos hacks de contas bem-sucedidos que vemos e a autenticação multifator pode derrotar quase todos eles.
Para obter mais informações, veja O que é: Autenticação multifator.
Diga olá ao Windows Hello
Windows Hello é uma forma mais segura de iniciar sessão nos seus dispositivos Windows 10 ou Windows 11. Ajuda-o a afastar-se do método de palavra-passe antigo através do reconhecimento facial, de uma impressão digital ou de um PIN memorizado.
Nota
Para utilizar o Hello Face, o seu dispositivo tem de ter uma câmara compatível com Hello e, para utilizar a Impressão Digital Hello, o seu dispositivo tem de ter um leitor de impressões digitais compatível com Hello. Se não tiver qualquer um destes itens, existem câmaras compatíveis e leitores de impressões digitais que pode comprar ou pode simplesmente utilizar o PIN da Hello.
Hello Face ou Hello Fingerprint são tão rápidos e simples como o reconhecimento facial ou leitor de impressões digitais que pode utilizar no seu smartphone. Quando aceder ao pedido de início de sessão do Windows em vez de lhe for pedido para introduzir a sua palavra-passe, basta olhar para a câmara ou colocar o dedo no leitor de impressões digitais. Assim que te reconhecer, estás dentro. Normalmente, é quase imediato.
O PIN da Hello funciona da mesma forma que a maioria dos sistemas de entrada de PIN. Quando iniciar sessão, o Windows irá pedir o pin e iniciar sessão. O que torna o PIN da Hello especial é que, ao configurá-lo, associa o PIN ao dispositivo com o qual está a iniciar sessão. Isto significa que, tal como outras formas de autenticação multifator, se um atacante obtiver o PIN, só funcionará no seu dispositivo. Não podem utilizá-lo para iniciar sessão nas suas contas a partir de qualquer outro dispositivo.
Passo seguinte: Ativar Windows Hello
Nos seus dispositivos Windows 10 ou Windows 11, aceda a Opçõesde início de sessão deContas> de Definições>. Aí, pode ver que tipos de Windows Hello o seu dispositivo pode suportar e configurá-lo facilmente.
Escolher palavras-passe melhores
As únicas pessoas que gostam de palavras-passe são os atacantes. Os bons podem ser difíceis de lembrar e as pessoas tendem a reutilizar as mesmas palavras-passe vezes sem conta. Além disso, algumas palavras-passe são bastante comuns num grande grupo de pessoas – "123456" não é apenas uma palavra-passe incorreta, mas também é uma das mais utilizadas. E não está a enganar ninguém se "iloveyou" é a sua palavra-passe, que foi a 8ª palavra-passe mais comum em 2019.
Esperamos que tenha ativado a autenticação multifator e Windows Hello, pelo que não está tão dependente das palavras-passe agora. No entanto, para os serviços onde ainda é necessária uma palavra-passe, vamos escolher uma boa.
O que faz uma boa palavra-passe?
Para escolher uma boa palavra-passe, ajuda conhecer algumas das formas que os atacantes tentam mais frequentemente adivinhar palavras-passe:
- Ataques de dicionário – muitas pessoas utilizam palavras comuns como "dragão" ou "princesa" como palavra-passe para que os atacantes tentem todas as palavras num dicionário. Uma variação é experimentar todas as palavras-passe comuns, como "123456", "qwerty" e "123qwe".
- Força bruta – os atacantes podem tentar todas as combinações possíveis de carateres até encontrarem o que funciona. Naturalmente, cada caráter adicionado adiciona exponencialmente mais tempo, pelo que com a tecnologia atual não é prático para a maioria dos atacantes experimentar palavras-passe com mais de 10 ou 11 carateres. Os nossos dados mostram que muito poucos atacantes tentam até forçar palavras-passe brutas com mais de 11 carateres.
Em qualquer um dos casos em que o atacante não está a escrever manualmente, tem o sistema a tentar automaticamente milhares de combinações por segundo.
Tendo em conta estes tipos de ataques, sabemos que o comprimento é mais importante do que a complexidade e que a nossa palavra-passe não deve ser uma palavra em inglês. Nem mesmo "carinhosamente", que tem 14 carateres de comprimento. Idealmente, a nossa palavra-passe deve ter, pelo menos, 12 a 14 carateres, com letras maiúsculas e minúsculas e pelo menos um número ou símbolo.
Passo seguinte: Vamos criar uma boa palavra-passe
Eis uma sugestão para criar uma palavra-passe com comprimento, complexidade e não é muito difícil de memorizar. Escolha uma citação de filme favorita, linha de um livro ou letra de música e tome a primeira letra de cada palavra. Substitua números e símbolos sempre que adequado para cumprir os requisitos de palavra-passe.
Talvez seja fã de basebol. As duas primeiras linhas da música clássica de basebol "Leva-me para o jogo de basebol" são:
Take me out to the ballgame,
Take me out with the crowd
Tome a primeira letra de cada palavra, com uma substituição óbvia:
Tmo2tb,Tmowtc
São 13 carateres de comprimento, maiúsculas e minúsculas mistas, com números e símbolos. Parece bastante aleatório e seria difícil de adivinhar. Pode fazer o mesmo com qualquer citação, letra ou linha se for longo o suficiente. Só tens de te lembrar que citação ou letra usaste para essa conta e dizê-la de volta à tua cabeça à medida que escreves.
Sugestão
- Se o sistema no qual está a iniciar sessão suportar espaços em palavras-passe, deve utilizá-los.
- Considere utilizar uma aplicação do gestor de palavras-passe. Um bom gestor de palavras-passe pode gerar palavras-passe longas, aleatórias para si e memorizá-las também. Em seguida, só precisa de uma boa palavra-passe, ou melhor ainda, de uma impressão digital ou reconhecimento facial, para iniciar sessão no seu gestor de palavras-passe e o gestor de palavras-passe pode fazer o resto. O Microsoft Edge pode criar e memorizar palavras-passe fortes e exclusivas para si.
Agora que tem uma boa palavra-passe
Existem outros tipos de ataques por palavra-passe a ter em atenção:
Credenciais reutilizadas – se utilizar o mesmo nome de utilizador e palavra-passe no seu banco e no TailwindToys.com e a Tailwind ficar comprometida, esses atacantes vão pegar em todas as combinações de nome de utilizador e palavra-passe que obtiveram da Tailwind e experimentá-las em todos os sites bancários e de cartões de crédito.
Sugestão
Junte-se a Cameron enquanto aprende os perigos de reutilizar palavras-passe neste conto - Cameron aprende sobre reutilizar palavras-passe
Phishing – os atacantes podem tentar ligar-lhe ou enviar-lhe uma mensagem, fingindo ser do site ou serviço, e tentar consoá-lo para "confirmar a sua palavra-passe".
Não reutilize palavras-passe em vários sites e desconfie de qualquer pessoa que o contacte (mesmo que pareça ser uma pessoa ou organização em quem confia) e pretenda dar-lhe informações pessoais ou de conta, clicar numa ligação ou abrir um anexo que não esperava.
|
É mau anotar as suas palavras-passe? Não necessariamente, desde que mantenha o papel numa localização segura. Poderá ser melhor escrever um lembrete para a sua palavra-passe, em vez da palavra-passe em si, caso o papel caia nas mãos erradas. Por exemplo, se estivesses a usar o exemplo "Leva-me para o jogo" que demos acima, podias anotar o nome da tua equipa de basebol favorita como um lembrete do que usaste para a palavra-passe. |
|---|