Voltar

Autenticação

Protegendo as credenciais de login das suas contas online

Autenticação

Progresso da seção0/21 · 0%

A maioria das violações de dados relatadas é causada pelo uso de senhas fracas, padrão ou roubadas (de acordo com [este relatório da Verizon](http://www.verizonenterprise.com/resources/reports/rp_dbir-2016-executive-summary_xg_en.pdf)). Use senhas longas, fortes e únicas; gerencie-as em um gerenciador de senhas seguro; habilite a autenticação em dois fatores; acompanhe vazamentos; e tenha cuidado ao fazer login nas suas contas.

  • Essencial

    Se sua senha for muito curta ou contiver palavras de dicionário, lugares ou nomes, ela pode ser facilmente quebrada por força bruta ou adivinhada por alguém. A forma mais simples de ter uma senha forte é torná-la longa (12+ caracteres) — considere usar uma “frase‑secreta” composta por várias palavras. Alternativamente, use um gerador para criar uma senha aleatória, longa e forte. Experimente o [How Secure Is My Password? do Security.org](https://security.org/how-secure-is-my-password/) para ter uma ideia de quão rápido senhas comuns podem ser quebradas. Leia mais sobre como criar senhas fortes em: [securityinabox.org](https://securityinabox.org/en/passwords/passwords-and-2fa/).

  • Essencial

    Se você reutilizar uma senha e algum site em que tenha conta sofrer um vazamento, um criminoso poderá ganhar acesso não autorizado às suas outras contas. Isso costuma ocorrer via tentativas automatizadas em larga escala, conhecidas como Credential Stuffing. Infelizmente é muito comum, mas a proteção é simples — use uma senha diferente para cada uma das suas contas online.

  • Essencial

    Para a maioria das pessoas, é praticamente impossível lembrar centenas de senhas fortes e únicas. Um gerenciador de senhas gera, armazena e preenche automaticamente suas credenciais de login. Todas as suas senhas ficam criptografadas sob uma senha mestra (que você deve lembrar, e ela deve ser bem forte). A maioria dos gerenciadores possui extensões de navegador e apps móveis, para preencher senhas em qualquer dispositivo. Uma boa opção geral é o [Bitwarden](https://awesome-privacy.xyz/essentials/password-managers/bitwarden); veja também [Gerenciadores de Senhas Recomendados](https://awesome-privacy.xyz/essentials/password-managers).

  • Essencial

    Embora possa haver situações em que você precise compartilhar o acesso a uma conta com outra pessoa, geralmente evite fazê‑lo, pois isso facilita a exposição da conta. Se realmente for necessário — por exemplo, em um time com conta compartilhada — use os recursos de compartilhamento do próprio gerenciador de senhas.

  • Essencial

    Na 2FA você fornece algo que sabe (senha) e algo que tem (por exemplo, um código no celular) para entrar. Assim, mesmo que alguém tenha sua senha (por phishing, malware ou vazamento), não conseguirá acessar a conta. É fácil começar: baixe um [aplicativo autenticador](https://github.com/Lissy93/awesome-privacy#2-factor-authentication) no celular e ative a 2FA nas configurações de segurança da conta. Ao entrar num novo dispositivo, será pedido o código exibido no app (funciona sem internet e o código costuma mudar a cada 30 segundos).

  • Essencial

    Ao habilitar MFA/2FA você recebe códigos de recuperação para usar caso perca o método principal. Guarde‑os em local seguro para evitar perda ou acesso indevido. Armazene em papel ou em local seguro no disco (por exemplo, armazenamento offline ou arquivo/unidade criptografada). Evite guardar no gerenciador de senhas, pois fontes de 2FA e senhas devem ficar separadas.

  • Opcional

    Após um grande vazamento, os dados frequentemente vão parar na internet. Há serviços que coletam esses registros e permitem buscar seu e‑mail para verificar se está em alguma lista. [Firefox Monitor](https://monitor.firefox.com), [Have I Been Pwned](https://haveibeenpwned.com) e [DeHashed](https://dehashed.com) permitem cadastro para monitoramento, enviando alertas quando seu e‑mail aparecer em novos conjuntos de dados. Isso ajuda a trocar senhas rapidamente nas contas afetadas. O [Have I Been Pwned](https://awesome-privacy.xyz/security-tools/online-tools/have-i-been-pwned) também oferece alertas por domínio inteiro (útil se você usa aliases com [encaminhamento anônimo](https://github.com/Lissy93/awesome-privacy#anonymous-mail-forwarding)).

  • Opcional

    Ao digitar senhas em locais públicos, evite ficar na linha de visão de câmeras e de curiosos. Cubra o teclado ao digitar e evite expor senhas em texto claro na tela.

  • Opcional

    Vazamentos são comuns e é possível que algumas de suas senhas já estejam expostas. Atualizar ocasionalmente as senhas de contas críticas pode ajudar a mitigar riscos. Mas, se todas são longas, fortes e únicas, não há necessidade de trocar com frequência — anual costuma ser suficiente. Forçar trocas periódicas obrigatórias não é [mais recomendado](https://duo.com/decipher/microsoft-will-no-longer-recommend-forcing-periodic-password-changes), pois leva a senhas mais fracas.

  • Opcional

    A maior parte dos navegadores oferece salvar credenciais ao fazer login. Evite esse recurso — nem sempre há criptografia adequada, podendo expor suas contas. Prefira um gerenciador de senhas dedicado para armazenar (e preencher) seus logins.

  • Opcional

    Evite fazer login em computadores de outras pessoas — você não sabe se estão limpos. Tenha atenção redobrada com máquinas públicas, onde malwares e rastreamento são mais comuns. É especialmente arriscado para contas críticas (ex.: banco). Se precisar, use janela privada/aba anônima (Ctrl+Shift+N/Cmd+Shift+N) para reduzir o armazenamento de credenciais, cookies e histórico.

  • Opcional

    Alguns sites permitem definir dicas de senha. Muitas vezes as respostas são fáceis de adivinhar. Quando for obrigatório, use respostas aleatórias e registre no seu gerenciador de senhas (ex.: `Primeira escola: 6D-02-8B-!a-E8-8F-81`).

  • Opcional

    Se um site pedir perguntas de segurança (cidade natal, nome de solteira da mãe, primeiro carro etc.), não responda com a verdade. É trivial para atacantes obterem essas informações online ou por engenharia social. Em vez disso, crie respostas fictícias e armazene no gerenciador de senhas. Usar palavras reais é melhor do que caracteres aleatórios, como [explicado aqui](https://news.ycombinator.com/item?id=29244870).

  • Opcional

    Não use PIN curto para acessar seu smartphone ou computador. Prefira senha textual ou um PIN bem mais longo. Sequências numéricas curtas são fáceis de quebrar (um PIN de 4 dígitos tem 10.000 combinações, contra 7,4 milhões em um código alfanumérico de 4 caracteres).

  • Opcional

    Ao habilitar MFA, prefira códigos por aplicativo ou chave de hardware, quando disponíveis. SMS é suscetível a ameaças como [troca de SIM](https://www.maketecheasier.com/sim-card-hijacking) e [interceptação](https://secure-voice.com/ss7_attacks). Além disso, não há garantia de como seu número será armazenado/uso. Do ponto de vista prático, SMS depende de sinal e pode ser lento. Se um serviço exigir número por SMS para recuperação, considere adquirir um número pré‑pago secundário usado apenas para isso.

  • Avançado

    Muitos gerenciadores geram códigos 2FA, mas evite usar o mesmo para senhas e 2FA — isso cria um ponto único de falha. Prefira um [app autenticador dedicado](https://github.com/Lissy93/awesome-privacy#2-factor-authentication) no celular ou computador.

  • Avançado

    Muitos dispositivos oferecem reconhecimento facial. É prático, mas existem formas de [enganá‑lo](https://www.forbes.com/sites/jvchamary/2017/09/18/security-apple-face-id-iphone-x/) usando fotos/vídeos. Diferente da sua senha, seu rosto provavelmente está exposto publicamente.

  • Avançado

    Um [keylogger de hardware](https://en.wikipedia.org/wiki/Hardware_keylogger) é um dispositivo entre o teclado e a porta USB que intercepta teclas (às vezes enviando a um servidor remoto), expondo tudo digitado. Verifique conexões USB após períodos sem supervisão e sinais de violação no teclado. Dados digitados em teclado virtual, colados ou preenchidos por gerenciador de senhas não são capturados por keyloggers de hardware.

  • Avançado

    Chaves U2F/FIDO2 são dispositivos USB/NFC usados no login para verificar sua identidade, substituindo códigos TOTP. Exemplos: [SoloKey](https://solokeys.com) e [NitroKey](https://www.nitrokey.com). Como o navegador conversa diretamente com o dispositivo e valida o certificado TLS, ataques de phishing/redirecionamento são mitigados. Veja uma ótima explicação [neste post](https://security.stackexchange.com/a/71704). Guarde a chave em local seguro. Algumas contas permitem múltiplos métodos de 2FA.

  • Avançado

    Para segurança adicional, um gerenciador offline criptografado dá controle total sobre seus dados. O [KeePass](https://awesome-privacy.xyz/essentials/password-managers/keepass) é popular, com muitos [plugins](https://keepass.info/plugins.html) e forks da comunidade. Clientes comuns: [KeePassXC](https://keepassxc.org) (desktop), [KeePassDX](https://www.keepassdx.com) (Android) e [StrongBox](https://apps.apple.com/us/app/strongbox-password-safe/id897283731) (iOS). A desvantagem é menor conveniência e a necessidade de fazer backup/armazenar com cuidado.

  • Avançado

    Ter senhas diferentes já é um ótimo passo; se você também usar usuário, e‑mail ou número de telefone únicos por conta, fica muito mais difícil obter acesso indevido. Para múltiplos e‑mails, use aliases gerados automaticamente para encaminhamento anônimo ([anything]@seudominio.com chega na sua caixa), permitindo e‑mail diferente por conta (veja [provedores de alias](https://github.com/Lissy93/awesome-privacy#mail-forwarding)). Usuários podem ser gerados e salvos pelo gerenciador; números virtuais podem vir do seu provedor VOIP.

Voltar