- Blog
- Dicas de segurança para todos os tipos de usuário
Dicas de segurança para todos os tipos de usuário
Alguns pequenos ajustes que você pode fazer no seu dia-a-dia para tornar seus dados sensíveis e acessos um pouco mais seguros
Você já deve ter visto algumas notícias sobre vazamento de dados. Tem sido um tópico recorrente em diversos portais e sites de notícias e vamos ser sinceros... Quem não tem medo de ter uma senha ou algum dado sensível exposto por aí?
Ao fazer uma pesquisa você consegue encontrar diversas fontes bem confiáveis. No começo do ano passado, inclusive, você talvez tenha ficado sabendo do problema que expôs dados de 220 milhões de brasileiros. Ironicamente esse caso parecia estar relacionado ao Serasa (que vende alguns serviços para combater e notificar vazamento de dados).
Há alguns anos eu tenho tomado alguns cuidados com algumas informações e adotado algumas pequenas decisões e ferramentas no meu dia-a-dia que tem sido cada vez mais importantes. Pequenas decisões sobre como realizar um pagamento, cadastrar uma chave PIX ou criar e gerenciar senhas, que podem ser adotadas por qualquer pessoa, independente de ter um conhecimento técnico de programação ou não.
A ideia desse post não é ser totalmente voltado para quem tem um relacionamento com desenvolvimento de sistemas, mas sim dar algumas pequenas dicas para que qualquer pessoa possa adotar algumas pequenas práticas e elevar o nível de segurança sobre os seus dados. Até porque, em assunto de segurança, eu passo longe de ser um especialista...
Além disso, parte do que eu vou comentar aqui pode servir como ferramenta em alguma emergência, como saber se algum dado seu foi exposto ou se alguma fraude em seu nome foi realizada.
Pra adiantar, nossos tópicos pra esse post vão ser:
- Senhas e como criar senhas fortes
- Como e porque utilizar gerenciadores de senhas
- Autenticação de múltiplos fatores e porque você deve utilizar
- Pequenos ajustes que você pode fazer no seu celular e dispositivos móveis
- Como ter um pouco mais de segurança em sites de compra
- PIX é uma realidade e uma maravilha, mas como podemos usá-lo de forma mais consciente
- Como consultar vazamento de emails
- Como consultar fraudes financeiras de forma gratuita
Como você já deve imaginar, esse post vai ser bem denso, com bastante exemplo e conteúdo, mas tenho certeza que pode ser útil para você ou algum conhecido por aí. Além disso, a ideia é que eu mantenha ele atualizado sempre que alguma dica ou ideia surja.
#Vamos começar pelo básico: criar uma boa senha de acesso
Ter uma boa e “forte" senha de acesso é o primeiro passo para evitar alguns problemas.
A quantidade de pessoas que usa senhas simples como datas de nascimento, nome ou coisas assim para acessar plataformas importantes, é muito grande.
Eu já fiz isso, você muito provavelmente também, é natural... Ninguém (inicialmente) quer perder tempo pensando em senhas mirabolantes, né?
Você talvez não saiba, mas uma das táticas mais simples de descoberta de senhas ou chaves sensíveis se chama força bruta. Isso nada mais é do que algum sistema que vai ficar diversas vezes, através de tentativa e erro, descobrir sua senha.
É nesse ponto que ter uma senha mais elaborada se torna necessário: para fazer com que o trabalho desses sistemas seja praticamente inútil. Você vai ver que com uma senha relativamente simples (mas ainda assim um pouco trabalhada) conseguimos fazer com que esses sistemas de força bruta levem bilhões de anos para descobrir uma senha.
Você pode acessar plataformas como security.org, nessa página onde eles realizam a medição do quão segura é uma senha. Faça alguns testes e você vai ver que muito provavelmente essas senhas simples com apenas nomes e números são rapidamente "crackeadas", isso quer dizer que, alguma pessoa ou sistema tentando tal senha, descobriria de maneira bem rápida (se não instantânea).
Você talvez esteja se perguntando o que é uma "senha forte", e é comum usar esse termo para uma senha que tenha:
- uma quantidade razoável de caracteres (geralmente acima de 8)
- números
- letras maiúsculas
- letras minúsculas
- caracteres especiais (como pontuações)
Conforme você adiciona esses elementos e torna a sua senha mais segura, você vai ver que no mesmo medidor que comentei anteriormente, essa senha começa a se tornar mais difícil de ser descoberta, já dando um trabalho para qualquer pessoa que esteja tentando acessar alguma informação sua. É por isso que diversos sites já fazem com que senhas assim sejam necessárias. Algumas plataformas mostram a "força" da sua senha conforme você cria o cadastro, talvez você até já tenha visto algo assim.
Claro que parece ser difícil criar uma senha assim, mas existem algumas pequenas técnicas que a gente pode adotar.
#Criando uma senha forte
Lembro de ter conversado sobre isso com um dos melhores professores que tive no primeiro ano do ensino técnico em informática no IFSP. Se você é fã de música, por exemplo, você pode pegar um trecho ou o nome de uma música e realizar algumas adaptações para que fique mais fácil de lembrar a sua senha e, ainda assim, torná-la numa senha forte e vamos fazer isso juntos.
#Escolhendo uma música, talvez
Estou ouvindo neste exato momento a música "Re-Entry" da banda A Day To Remember e tem uma frase que gosto bastante onde cantam belief is the death of reason
e é exatamente esse trecho que vamos adaptar para virar nossa nova senha. Para tornar as coisas mais fáceis, vamos usar só death of reason
.
#Transformando um trecho da música em uma senha forte
Nossa senha já tem mais de 8 caracteres, o que já facilita nosso trabalho.
Vamos começar removendo os espaços no nosso trecho e trocando eles por alguns caracteres que ainda assim são fáceis de lembrar.
Como temos 2 espaços no nosso trecho, vamos colocar um traço -
nos primeiro e underline _
segundo.
Nossa senha então se torna death-of_reason
. Com isso já temos uma senha com caracteres especiais.
Agora vamos intercalar e tornar nossa primeira e última letra em maiúscula, então temos Death-of_reasoN
.
Para finalizar nossa brincadeira, podemos colocar alguns números na nossa senha. vamos trocar a letra "a" pelo número quatro e todas as letras "o" pelo número zero (para ficar mais fácil de lembrar).
Com isso, nossa senha se torna De4th-0f_reas0N
.
Ao colocar essa senha no medidor que comentamos, você vai se surpreender com o resultado:
Nossa senha levaria 15 bilhões de anos para ser descoberta por algum programa/pessoa que estivesse tentando "hackear" você.
Bem legal e até que simples... Não acha?
#Adotando um gerenciador de senhas
Obviamente o ideal era fazer isso para toda e qualquer senha que você use, mas criar centenas de senhas dessa maneira se torna uma tarefa bem complicada a longo prazo e dificilmente você vai conseguir lembrar todas as suas senhas.
Você pode até pensar em reusar essas senhas, mas ai você abre uma outra brecha de vulnerabilidade: se alguém tiver uma única senha sua, essa pessoa poderá acessar qualquer outro lugar onde você tenha conta.
Nesse momento, adotar um gerenciador de senha se torna bem interessante.
Basicamente o trabalho de um gerenciador de senhas é gerar, armazenar e tornar sua vida mais fácil quando o assunto é criar senhas fortes, por isso o termo "gerenciador".
Em qualquer gerenciador você consegue, com poucos cliques, criar senhas e ditar a quantidade de caracteres vai querer, assim como indicar se quer ou não números, caracteres especiais e diferentes tipos de letras.
Existem diversas alternativas no mercado, algumas opções são:
- 1Password: meu favorito, adotei há alguns anos e não troco por nada... É pago, mas sua sincronização funciona excepcionalmente bem em qualquer plataforma (Windows, MacOS, Linux, Android, iOS) e possui extensões para diversos navegadores, além de possuir um plano família que permite que você compartilhe senhas de forma seguras com outras pessoas (nada mais de copiar e colar senha pelo WhatsApp por aqui);
- LastPass: usei em uma empresa que trabalhei no passado e era uma ferramenta "ok". Nada de excepcional, possuía alguns problemas irritantes como ter que ficar refazendo o login toda vez que a tela era recarregada mas suas extensões de navegador funcionavam bem. Possui bons benefícios no plano gratuito;
- NordPass: criado pela mesma empresa da NordVPN (aliás, uma VPN pode ser algo bem interessante também quando você está acessando internet de algum lugar um pouco menos seguro do que sua própria rede em casa para trazer uma camada extra de segurança), também é pago. Nunca utilizei mas parece ser bem bom;
- BitWarden: é uma solução de código aberto ("open source") e também gratuita. Conheço algumas pessoas que usam e adoram! Também nunca utilizei esse, mas percebi que, obviamente, não possui a interface mais limpa e agradável e também não sei se perde em algum recurso perto dos outros, mas é uma boa opção.
- Além disso, alguns navegadores como o próprio Google Chrome já tem algumas funcionalidades para gerenciar senha que também podem te auxiliar. Claro que se você deixar suas senhas apenas no navegador, provavelmente seus acesso em aplicativos e outros softwares fora desse ambiente pode ser um pouco mais chato, porquê você talvez não tenha a facilidade que um aplicativo dedicado somente às senhas vai te trazer, mas ainda assim é uma boa opção.
Ao adotar alguma dessas diversas soluções, você vai conseguir ter uma ferramenta totalmente dedicada a "lembrar as suas senhas", dessa forma, você vai poder ter senhas muito fortes em qualquer site e lembrar apenas a senha dessa única ferramenta.
#Mas isso é seguro? E se alguém descobre essa minha única senha?
E todo mundo, inevitavelmente, pensa isso...
Cada uma dessas empresas tem uma postagem em suas páginas explicando como seus processos e tecnologia de segurança funcionam. É um conteúdo bem técnico, mas eu garanto que essas empresas e soluções possuem diversas preocupações, tecnologias e estratégias de segurança e criptografia.
Eu tenho certeza que essas táticas vão ser muito mais avançadas do que qualquer bloco de notas que você pode colocar as suas senhas... Seja esse bloco físico ou um arquivo em qualquer drive por aí.
#O que é e como usar autenticação de múltiplos fatores
Talvez você já tenha visto o termo "autenticação de dois fatores" (two-factor authentication ou 2FA) ou até mesmo "autenticação de múltiplos fatores (multiple-factor authentication ou MFA).
A grosso modo, essas autenticações nada mais são do que etapas extras de segurança onde, além de preencher email e senha, você consegue, à partir de algum dispositivo ou algum outro meio de contato (como email ou SMS) autorizar que algum acesso em sua conta seja feito.
Isso garante que somente um dispositivo autorizado por você, como seu celular ou seu email, vão habilitar um acesso.
Sempre que possível, habilite essas autenticações de múltiplos fatores. Boa parte delas, trabalha com um código que é expirado de tempos em tempos fazendo com que esse código tenha uma vida bem curta e expire rapidamente.
Os gerenciadores de senha podem te auxiliar nisso também, permitindo que você gerencie esses códigos sem muita dificuldade.
Alguns sites permitem que você configure seu email ou celular como esse segundo fator de autenticação, assim, toda vez que tentar acessar esse determinado site, um SMS ou email chegará com um código para você validar determinado acesso.
Já que falamos em SMS, nós temos o nosso próximo passo de segurança e alguns ajustes no nosso celular e dispositivos móveis.
#Ajustes nos seus dispositivos móveis
#Mantenha suas notificações bloqueadas
Muitas vezes é possível pegar códigos de redefinição de senha apenas pelas notificações que são exibidas nas telas de bloqueio dos celulares.
Geralmente esses códigos chegam via SMS ou mensagem no WhatsApp e, caso suas notificações não sejam ocultas na tela de bloqueio, você pode ter problemas caso perca ou tenha seu celular furtado ou roubado.
Ocultar o conteúdo dessas notificações é algo bem simples e fácil de se fazer em qualquer celular, então vale a pena deixá-las ocultas sempre que possível.
#Configurar um PIN para seu chip
Como comentei, uma das táticas para entrar em contas ou redefinir alguma senh à partir de uma notificação ou SMS.
Vamos imaginar uma situação onde você teve seu celular furtado ou roubado. Você pode ter notas as suas notificações bloqueadas, mas ainda assim, se quem possui o seu celular tiver acesso ao seu chip pode levar alguma vantagem.
Já existem até relatos de como essas "invasões" ocorrem, basicamente ao pegar um celular bloqueado de outra pessoa, o chip é retirado e colocado em outro aparelho. Inclusive algumas contas de WhatsApp foram "clonadas" assim recentemente.
Naturalmente, se você já possui esses cadastros (até mesmo de autenticações de múltiplos fatores) com identificações via SMS, é possível acessar ou redefinir suas senhas dessa forma.
Um ajuste simples que você pode fazer para inviabilizar essa tática é colocar uma senha numérica (PIN) no seu chip (também conhecido como SIM card).
É um processo relativamente simples mas que vai mudar dependendo do seu celular e da sua operadora, mas a ideia é colocar uma senha simples e numérica, geralmente 4 dígitos, que bloqueia o seu chip. Dessa forma, sempre que seu celular reiniciar ou seu chip for colocado em um outro dispositivo essa senha será necessária. Bloqueando essas tentativas de acesso maliciosas.
Existem diversas referências ensinando a fazer isso e você pode facilmente pesquisar isso para seu caso. Geralmente os chips já vem com alguns códigos da operadora e geralmente ficam naquele cartão onde vem o seu chip quando você compra. Caso você não tenha mais esse cartão, você consegue configurar esse número facilmente entrando em contato com a sua operadora.
#Desabilitar caixa postal
Talvez você não saiba, mas é possível acessar sua caixa postal à partir de outro dispositivo e isso também abre uma brecha para acessar algumas mensagens que você possa receber, inclusive alguns códigos de acesso.
Com sua operadora é possível facilmente incrementar sua segurança nesse aspecto, seja colocando uma senha na sua caixa postal ou simplesmente desativando essa funcionalidade por completo.
No meu caso, como é raro eu receber uma mensagem na caixa postal, eu simplesmente desativei essa funcionalidade por completo.
#Um pouco mais de tranquilidade em sites de compra
Quem nunca teve seus dados de cartão de crédito "clonados" ou, melhor, "vazados", não é mesmo?
Você está seguindo sua vida normalmente quando, do nada, uma notificação de compra (ou tentativa de compra) aparece.
Geralmente quando isso acontece alguém tenta passar uma compra bem baixa no seu cartão e, depois, vai aumentando o valor da compra até deixar você com uma bela dívida.
Hoje em dia é muito fácil criar um site de compra e diversas plataformas fazem isso quase que de forma instantânea. Claro que sites maiores como Mercado Livre, Amazon e grandes portais possuem preocupações e times dedicados à segurança que essas plataformas menores não possuem, então, via de regra, vale a pena sempre ficar de olho onde você está comprando.
Se estiver realizando alguma compra com cartão e você não conhece o site ou, simplesmente preferir, tente usar alguma outra forma de pagamento que não seja simplesmente colocar os seus dados ali e confiar que suas informações vão estar seguras.
Hoje existem diversas plataformas que fazem a intermediação de pagamentos (gateways) e geralmente essa plataformas, mesmo as menores, são integradas com esses sistemas.
É como se o site que você está realizando a compra não efetuasse a transação financeira por si só usando os dados do seu cartão, ao invés disso, você é redirecionado para alguma plataforma onde vai realizar o pagamento e, depois, o site inicial e quem estava vendendo o produto recebe o valor.
Em resumo, usar essas soluções é fazer com que toda a parte financeira de compra e venda seja terceirizada para uma plataforma específica nessas transações monetárias, evitando compartilhar dados sensíveis e de cartões com um site qualquer.
Algumas dessas plataformas de pagamentos que geralmente estão integradas em diversos sites de compra por aí são:
- PayPal
- MercadoPago
- PagSeguro
Claro que você vai precisar ter uma conta nessas plataformas de pagamento para que elas possam realizar a cobrança no seu cartão, mas, na minha opinião, vale a pena para se ter a tranquilidade que seus dados não vão estar salvos ou mais propensos aos vazamentos de um site desconhecido.
Outra alternativa, claro, é realizar o pagamento por boleto ou até mesmo pix! Dessa forma, além de talvez você conseguir um desconto, você não compartilha nenhum dado de cartão... Claro que qualquer parcelamento aqui é inválido, mas ainda assim pode ser uma opção.
#E por falar em PIX...
Sejamos sinceros... Pix é uma maravilha, não é? Simples, prático, rápido e funciona que é uma beleza!
No entanto, é necessário cadastrar uma chave para receber transferências usando esse método e duas das chaves mais comuns são: telefone, email e CPF.
Eu não sei você, mas eu me sinto desconfortável passando meu telefone e ainda mais desconfortável passando meu CPF pra uma pessoa que eu não conheço se precisar receber alguma transferência.
Além disso, se você possui conta em mais de um banco e quer reusar o seu CPF ou telefone como chave pix você não vai conseguir, já que esse dado fica atrelado à uma conta específica.
Você também tem a opção de gerar um código aleatório em alguns bancos, mas é algo que fica mais difícil de se lembrar também.
Nesse cenário, o email acaba sendo a solução mais segura e versátil e segura de todas. Talvez você pense que precisaria de um email diferente para cada chave PIX de cada conta, mas isso não é verdade.
Vou ensinar um pequeno truque que podemos aplicar e manter o mesmo email em qualquer chave PIX que você queira.
Muita gente não sabe, mas você pode colocar um caracter de "mais" no seu email e adicionar qualquer texto depois dele. Por exemplo, seu email ao invés de ser batatinha@gmail.com
poderia ser batatinha+qualquercoisa@gmail.com
e as ferramentas de email ainda assim vão ser capazes de identificar e enviar o email para sua caixa original.
Dessa forma, você pode ter uma chave PIX de email para cada banco, mas todas, no fim das contas, serão o mesmo email!
Tudo que mudaria é esse +algumacoisa
do seu email. Por exemplo, vamos supor que a pessoa proprietária do email batatinha@gmail.com
tem conta no banco Itaú e no NuBank. Ela poderia usar o mesmo email em cada um desses bancos, da seguinte forma:
batatinha+itau@gmail.com
seria a chave PIX para o banco Itaúbatatinha+nubank@gmail.com
seria a chave PIX para o NuBank
Bem bacana, né?
Algumas pessoas usam essa estratégia até pra outros tipos de cadastro, por exemplo, colocando +spotify
e +netflix
nos cadastros de email de serviços como os de streaming para conseguir controlar melhor o fluxo de emails.
Outra dica que talvez você não saiba é que, da mesma forma como esse sinal de "mais" e qualquer texto que vier depois é ignorado pelas plataformas de email, os pontos também são.
Ou seja, mandar email para batatinha@gmail.com
, bata.tinha@gmail.com
ou b.a.t.a.t.i.n.h.a@gmail.com
no fim das contas dá tudo na mesma e é uma única caixa postal que vai receber o email enviado.
Além dessas dicas, quero deixar alguns pequenos extras que podem te ajudar em algum momento.
#Extra 1: como saber se meu email foi vazado?
Gosto muito da plataforma Have I Been Pwned e ela é bem simples. Ao colocar seu email você consegue facilmente descobrir se ouve algum vazamento anunciado onde esse seu email estivesse presente.
Alguns gerenciados de senha são integrados com ferramentas parecidas (pelo menos o 1Password é) e te enviam notificação quando algum vazamento aconteceu, facilitando sua vida e fazendo com que você só precise trocar a senha nesses determinados sites.
#Extra 2: como saber se existe alguma fraude financeira no meu CPF de forma gratuita?
Você consegue fazer algumas pequenas consultas no site do Serasa e, se quiser, consultar os planos deles (o que chega a ser irônico, rs).
Você consegue fazer consultas parecidas de forma gratuita no Registrato do Banco Central. Basicamente é através do Registrato que todas as instituções financeiras autorizadas pelo Banco Central a funcionar podem avaliar informações sobre as pessoas.
O acesso é gratuito e você consegue consultar diversas informações como em quais bancos você possui contas abertas e encerradas e até mesmo se existem e quais empréstimos foram feitos no seu nome.
É bem simples e você consegue acessar pelo cadastro já utilizado do gov.br em várias outras plataformas do governo.
#Lembre-se: mantenha sua segurança em dia e duvide sempre de qualquer contato estranho.
Muitas dessas estratégias e tecnologias ainda podem ser burladas se você for pego sem prevenção.
Seja de ligações "nada suspeitas" querendo confirmar códigos, promoções que enviam códigos para seu email ou SMS e qualquer contato fora do comum. Sempre duvide e nunca passe informações suas adiante.
Existe um nome para essas maneiras de encontrar e até mesmo senhas sem nem precisar usar nenhum sistema ou "estratégia hacker" mirabolante e se chama engenharia social.
Se manter em alerta quando alguma coisa acontece e tentar cair nessas táticas é um passo muito importante e essencial nessa jornada por segurança.
Espero que com esse enorme post você possa melhorar sua segurança e, quem sabe, garantir um pouco mais de tranquilidade em meio à tantos vazamentos e golpes que temos por aí!