Para alterar os locais onde você irá receber as notificações informando o código de segurança para os nossos sistemas de Autenticação em 2 Fatores – 2FA (2-Factor Authentication), vá em “Contatos” digite o seu nome na caixa de buscas (amarela) e clique sobre seu nome na lista para ter acesso a todos os seus dados.
Na aba “Segurança” você irá encontrar o grupo “Notificações” e lá você poderá marcar em quais meios receberá as mensagens.
Importante:
É necessário selecionar ao menos um meio para receber os códigos ou não terá mais como acessar o sistema. Caso você desmarque todas as opções então o sistema de envio de notificações irá enviar a mensagem para todos os meios, ou seja, tudo desmarcado é o mesmo que tudo marcado.
Porque Utilizamos 2FA
A autenticação em dois fatores é a garantia que ninguém entrará no sistema se passando por você caso sua senha caia em mãos erradas. Através deste recurso é necessário que, além de digitar a senha (primeiro fator) você confirme sua intenção de utilizar o sistema através de um código que será enviado para um de seus meios de comunicação (segundo fator).
Apenas a Senha Não Garante a Segurança Necessária
As autenticações em 1 fator são razoavelmente seguras, porém não atendem os requisitos quando se trata de sistemas sensíveis, principalmente quando o referido sistema manipula dados e informações de outras pessoas como clientes, funcionários e fornecedores.
Segundo Leis nacionais e internacionais é obrigação garantir a sigilosidade dos dados de terceiros que sua empresa ou instituição manipula. Vazamentos de dados sob sua gestão violam a LGPD – Lei Geral de Proteção de Dados e a GDPR – General Data Protection Regulation, que são as leis brasileiras e europeias que regem o tratamento de dados eletrônicos.
Sua Senha Já Pode Ter Sido Vazada
Ainda que você utilize senhas seguras, existe uma forte probabilidade que elas já tenham sido vazadas em algum serviço online. É comum vermos notícias que bancos de dados de grandes empresas foram violados e suas informações estão sendo vendidas no mercado negro da Internet.
Tivemos dois casos de grande repercussão recentemente. Um deles foi o vazamento de dados de mais de 200 milhões de brasileiros contendo endereços de e-mail, senhas, score financeiro, dentre outras. A julgar pela qualidade e quantidade das informações tudo indica que o vazamento teria sido da Serasa porém a instituição se defende dizendo que não houve casos de invasão a seus servidores.
O outro caso de grande repercussão foi a invasão dos sistemas do TSE, no qual o invasor ficou oito meses navegando pelos conteúdos daquela instituição, caso esse que foi detalhadamente contado em documentário do Tecmundo e que colocou em cheque a segurança do sistema de votação eletrônico brasileiro. Em tempo, para evitar controvérsias, o próprio invasor diz na matéria que não teve acesso a qualquer módulo que pudesse comprometer os resultados das eleições.
Existem algumas empresas que oferecem o serviço de informar se os seus dados já foram vazados. A própria Serasa oferece um serviço pago chamado Serasa Premium que monitora vazamentos na Dark Web enquanto o site Have I Been Pwned (pronuncia Powned) oferece tal monitoria gratuitamente.
Vulnerabilidade da Senha e Recomendações
Os profissionais de segurança de redes estão sempre dando o seu máximo para garantir que não hajam invasões a servidores de bancos de dados, porém trata-se de uma guerra árdua contra um inimigo invisível e pode acontecer que, em determinado momento o inimigo vença conforme relatado anteriormente. Então, partindo-se do princípio que, apesar de improvável, um banco de dados pode ser violado temos duas observações importantes a fazer:
Senhas precisam ser salvas nos bancos de dados de forma indecifrável
Sim, isso é possível! Utilizando técnicas ainda mais agressivas que a criptografia. Uma informação que foi criptografada parte do princípio que, em algum momento, ela precisará ser lida, então precisará ser descriptografada. A descriptografia ilegal é um processo quase impossível de ser efetuado porém, se o invasor conseguir acesso à chave criptográfica, ele conseguirá fazer isso facilmente.
Acontece que uma senha não precisa ser lida em nenhum momento, e a essa altura você vai questionar “mas como você irá saber se digitei a senha correta?”. Existem operações matemáticas que atendem essa questão, no ramo de software chamamos essas operações de geração de hash code. Resumidamente a operação de hash code só tem um sentido, uma vez que se transforma um dado em hash code é impossível fazer a operação reversa para descobrir o conteúdo original que gerou aquele resultado. E como fazemos para comparar? Muito simples, quando você digita a senha nós aplicamos a operação de hash code sobre o valor que você informou e então comparamos esse novo valor com o que está salvo no banco de dados. Dessa forma, caso o banco de dados caia em mãos erradas, o criminoso não terá como descobrir a sua senha.
Importante salientar que a operação de hash code só pode ser utilizada em senhas, outras informações precisam ter o seu valor legível, como por exemplo, seu nome, endereço e telefone precisam estar salvos no banco de dados de tal forma que possam ser recuperados quando houver necessidade de consulta.
Uma forma fácil de você saber se um determinado serviço está utilizando essa técnica de segurança é solicitando que o serviço que te informe a sua senha, como se você tivesse esquecido. Caso o serviço consiga lhe dizer qual é a sua senha ele está cometendo um grave erro de segurança. Se tudo estiver certo tem que ser impossível ler a sua senha no banco de dados. As empresas sérias lhe darão a opção de registrar uma nova senha em caso de esquecimento mas jamais serão capazer de lhe informar a senha que lá estava.
Na Larsoft nós aplicamos essa metodologia em todos os programas que possuem autenticação de usuário. Mesma que algum dia algum criminoso consiga invadir nossos bancos de dados, o que consideramos muito improvável, ele não conseguirá ler a informação das senhas dos usuários cadastrados.
Você deve criar senhas seguras
Isso você já sabe muito bem, mas vamos dar umas dicas importantes. A essa altura você já deve saber que uma senha segura deve misturar letras maiúsculas, minúsculas, números e símbolos, porém tudo isso de nada valerá caso o banco de dados sofra uma invasão e as senhas não estejam devidamente protegidas através de processo hash porque, por mais complexa que seja a sua senha o criminoso terá acesso a ela. A dica que temos para que você se proteja de uma situação dessas é criar uma senha diferente para cada serviço mas, convenhamos, isso fica entre inviável e impraticável.
- A dica é que você crie uma fórmula só sua para criar essas senhas únicas, por exemplo, pegar as três primeiras letras e substituir pelas letras subsequentes, exemplo, Facebook vira Gbd, Instagram vira Jot, Twitter vira Uxj, e daí você pode acresentar uma senha pessoal forte. Dessa forma, digamos que o Instagram que não tenha segurança de senhas no banco de dados, o que não é o caso, isso é apenas um exemplo, caso um criminoso consiga invadi-lo vai descobrir uma senha que só serve para aquele serviço. Ele não conseguirá utilizar essa senha para, por exemplo, acessar o seu Twitter.
- Outra dica super importante é ter o máximo cuidado com o seu e-mail e seu número de telefone celular. Através desses dois recursos é possível que um criminoso consiga reiniciar a sua senha em todos os outros serviços, ou seja, se o criminoso consegue descobrir a senha do seu e-mail, ele vai conseguir trocar a senha de todos os outros serviços que você assina, afinal, quase todos possuem a opção de enviar um link para seu e-mail para reiniciar a senha. Então, sempre que possível, tenha 2FA habilitado no seu e-mail.
- Sempre deixe seu telefone celular bloqueado com senha, configure o dispositivo para bloquear automaticamente após algum curto tempo em desuso. Dessa forma que você perder o telefone ou sofrer um assalto, o criminoso não terá acesso a seu e-mail.
- Deixe sempre habilitado em seu telefone celular um serviço que permita o total apagamento do aparelho remotamente. Caso você perca o aparelho, através desse serviço você conseguirá limpar todo o seu conteúdo. Tudo o que o criminoso terá será um telefone novo, limpo, sem qualquer dado ou informação.
0 comentário