Os 7 hábitos das pessoas altamente “inhackeáveis”

Existem três tipos de pessoas no mundo. As que já foram hackeadas, as que não sabem que foram e as que ainda vão ser. A grande maioria se encontra nos dois primeiros grupos mas necessariamente você está em um desses três grupos.

Não, não estou sendo “apocalíptico” essa é a realidade nua e crua. Num mundo onde um único vazamento de senhas pode chegar 3 BILHÕES de senhas, dezenas de outros acontecem todos os anos, com centenas de empresas ao redor do globo, onde se descobrem mais de 15 MIL vulnerabilidades por ano. Sofrer os efeitos de uma violação de segurança é só uma questão de tempo. A única coisa que você pode fazer é se preparar para isso e tomar ações para reduzir a possibilidade de isso ocorrer por culpa sua. Como parte de suas decisões de ano novo para 2018 você pode desenvolver esses novos hábitos.

Primeiro vou deixar claro que o título desse artigo é fazer uma paródia/brincadeira com o nome do famoso e excelente livro do mestre Stephen R. Covey, Os 7 hábitos das pessoas altamente eficazes. Não existe nada “inhackeável”. Empresas e governos com muito dinheiro e expertise nessa área sendo invadidos todos os anos provam isso. Porém você pode se tornar uma pessoa altamente proficiente e eficaz em segurança da informação e com isso diminuir sensivelmente as chances de isso ocorrer com você. Nessa série de artigos vou enumerar 7 itens que você deve prestar atenção para atingir esse objetivo.

Hábito número 1 — Elas tem uma política sólida de senhas

É quase aterrorizante dizer, mas a senha mais comum do planeta ainda nos dias de hoje é 123456. Sério. O mínimo que você pode fazer é dificultar a vida dos atacantes e usar senhas decentes. Mas aí ocorre um problema. A grande maioria dos profissionais de segurança da informação vai lhe dizer que você precisa ter uma senha com no mínimo 12 caracteres, misturando números, letras e caracteres especiais e deve troca-la frequentemente. E adivinha só? Eles estão errados. Pode sacanear valendo aquele seu amigo pretensioso que se acha o mestre da segurança nas festas da empresa. É hora da vingança seu babaca! Estudos comprovam que trocar a senha com frequência é uma má ideia, isso porque dessa maneira as pessoas tendem a escolher senhas com um determinado padrão.

Me lembro como se fosse hoje há muitos anos atrás eu estava fazendo uma implementação num canal de televisão e a senha do Administrador era: admin96. Anos depois eu voltei lá fazer um outro serviço e adivinhem qual era a senha? admin99. :)

Outro ponto é que senhas com números e letras em maiúsculo não as tornam necessariamente mais fortes, e o homem responsável por todos esses conselhos que já ouvimos à exaustão por aí se arrepende deles. Isso porque esses conselhos seguem a lógica de que adicionar esses caracteres torna mais difícil o processo de adivinhar as senhas em sistemas que trabalham com métodos de força bruta, adivinhando caractere por caractere, mas os softwares para quebra de senha hoje em dia se tornaram cada vez mais inteligentes e utilizam métodos são treinados para aprender padrões provenientes das milhares de senhas vazadas todos os anos.

OK. Mas então como criar boas senhas? A melhor opção é não cria-las. Use um bom gerenciador de senhas e gere uma diferente para cada site ou serviço. Os bons gerenciadores de senha irão gerar senhas randômicas misturando letras, números, caracteres especiais e letras maiúsculas, mas que por serem aleatórias, por definição, não seguem os padrões que a tornariam potencialmente inseguras. Caso queira ser ainda mais cauteloso e diminuir o risco de sua exposição, não use o recurso de autocompletar os campos diretamente no browser desses programas, já que na grande maioria dos casos é exatamente esse recurso que é explorado para eventualmente roubar suas senhas. Para maiores detalhes técnicos recomendo estes estudos aqui e aqui. O melhor método é usar o recurso de copiar de colar do seu sistema operacional.

Porém você ainda precisa gerar pelo menos uma senha segura — a para acessar o gerenciador de senhas — e eu recomendo que você gere pelo menos umas 4 e mantenha somente em sua mente essas senhas. As outras 3 você usará nos serviços mais críticos que você utilizar (e-mail, login de rede social, login da conta corporativa, etc…). E como gerar uma senha segura? Minha recomendação é que você pense numa frase, por exemplo: O Telegram é muito melhor que o WhatsApp. E depois use somente as iniciais dessa frase, preferencialmente adicionando alguns números e caracteres especiais. No caso no nosso exemplo ficaria “#OTehmmqoW@321!” voilá! Você tem uma senha, não baseada em dicionário, com complexidade suficiente para aguentar ataques de senha extremamente sofisticados. Mas existe mais na questão das senhas que simplesmente escolher uma boa. Em resumo:

1- Não se incomode em ficar trocando a senha regularmente a menos que você tenha razões para acreditar que ela foi comprometida. O site Have I been Pwned é uma excelente fonte para descobrir isso, além disso, preste atenção nos e-mails que você recebe dos serviços que utiliza, a grande maioria deles te envia alertas de atividades suspeitas em sua conta e normalmente fornecem recursos para você acompanhar os registros de acesso.

2- Não reutilize senhas. Espera, vou repetir de novo. NÃO REUTILIZE SENHAS! Fui claro? Se a senha do seu Facebook é a mesma que a do seu e-mail você é o que chamamos de presa fácil na mão dos atacantes maliciosos.

3- “Trole” o recurso de pergunta secreta. Sim, to falando sério. Caso alguém queira invadir especificamente uma conta sua, a primeira coisa que ele irá fazer será uma pesquisa minuciosa sobre você na internet. Como eu sei disso? Não pergunte. Continuando aqui, o invasor irá utilizar desde técnicas especiais de busca no Google a recursos e softwares de OSINT (Open Source Intelligence) e irá levantar a maior quantidade possível de informações sobre você. Nome da mãe, do pai, do cachorro, onde nasceu, onde cresceu, nome da avó, nome das professoras, está notando um padrão aqui? Sim querido gafanhoto, os atacantes sabem quais são as “perguntas secretas” mais comuns e irão tentar levantar essa informação na internet. Na verdade isso não é nem preciso, uma vez que ele caso seja esperto, irá tentar fazer login e solicitar qual a pergunta secreta escolhida, e dessa forma só precisará pesquisar por essa informação. Então a melhor opção é literalmente inventar uma resposta falsa e usar o seu gerenciador de senhas para guarda-la e lembrar posteriormente.

4- Não use, vou falar de novo, NÃO USE o recurso de salvar senhas do seu navegador. Ele é extremamente inseguro.

Hábito número 2 — Elas usam um segundo fator de autenticação

Como foi dito anteriormente, sua senha pode vazar a qualquer minuto, não importa o quão boa ela seja. Não depende de você e não tem nada que você possa fazer pra impedir isso. O que você pode fazer? Usar o que chamamos de segundo fator de autenticação. Basicamente é um conceito que para obter acesso, você precisa informar algo que você sabe (a senha) + algo que só você tem. Normalmente isso é um token temporário gerado por um programa ou enviado para você por SMS. Dessa maneira, mesmo que sua senha vaze, atacantes não conseguiram ter acesso, pois eles não tem o que você tem (Ui!).

Os principais fornecedores tais como provedores de e-mail, redes sociais, e serviços importantes já fornecem essa opção para ser habilitada. Então configure esse recurso nos serviços que são mais importantes para você. Nominalmente isso tem que estar habilitado no mínimo em sua conta de e-mail principal. Adicionalmente eu recomendaria também habilitar nas redes sociais e evitar que alguém tenha acesso a todas aquelas conversas inocentes que você teve via messenger do Facebook por exemplo. Claro, nada disso resolve se o “atacante” morar com você e você deixar a sua conta logada no computador.

Além disso alguns cuidados são necessários para aumentar ainda mais a sua segurança e diminuir o risco de você ser hackeado:

1- Desabilite o recurso de pré-visualização de mensagens no seu celular. Muitos serviços enviam mensagens de SMS como segundo fator de autenticação, e caso esse recurso esteja ativado, não é preciso nem saber a senha do seu celular para obter essa informação.

2- Adicionalmente use um aplicativo no estilo AppLock para pedir uma senha especial antes de abrir o seu aplicativo gerador de tokens (provavelmente Google Autenticator) garantindo que alguém não vá pegar rapidamente seu celular e utilizá-lo para fazer login em um dos serviços onde você ativou o recurso de 2FA.

Como se trata de um tema bem longo, resolvi lançar esse guia em uma série de artigos. A cada semana cobrirei mais um ou dois hábitos para que a leitura não fique cansativa. Fiquem ligados para as próximas partes. Por hoje é só pessoal!