Tag senhas

Cinco passos para ter uma vida digital mais segura

Por Rafael Abdo , gerente de segurança da informação da Locaweb

Ao mesmo tempo em que a navegação na Internet está cada vez mais facilitada e difundida na sociedade, as ameaças e os ataques virtuais não param de crescer. Os cibercriminosos, pessoas que cometem crimes virtuais, parecem estar sempre um passo à frente das autoridades.

Além disso, os usuários não estão fazendo sua parte para terem uma vida digital mais segura: pesquisa da Kaspersky Lab, especialista em antivírus, divulgada em 2017, aponta que 51% das pessoas entrevistadas afirmaram usar métodos inseguros para lembrar senhas, enquanto 22% já revelaram dados confidenciais por acidente. Sendo assim, confira cinco passos para se prevenir da ação dos criminosos na web:

Fortaleça suas senhas: seja do banco, e-mail ou redes sociais, o furto de senhas sempre foi o objetivo principal dos criminosos virtuais. Para não ser mais uma vítima, é preciso ter uma combinação forte que dificulte a ação dos bandidos. O ideal é utilizar a criatividade e fugir de informações óbvias, como datas de aniversários e sequências numéricas simples (como 123456). A recomendação é usar, pelo menos, 16 caracteres no código – além de manter uma senha para cada site. Também é importante incluir entre as boas práticas a troca periódica de senhas e a utilização de cofres de senha como lastpass ou 1password.

Atenção ao tipo de informação compartilhada nas redes sociais: a grande maioria dos usuários disponibiliza em seus perfis dados pessoais que podem facilitar a aplicação de ataques de engenharia social, termo utilizado para descrever situações onde alguém faz uso da persuasão, abusando da ingenuidade e confiança do usuário, para obter informações sigilosas. Recomenda-se diminuir a quantidade de informações compartilhadas, sobretudo check-in/check-out, números de documentos, endereços e telefones. Além disso, é importante limitar sempre a visualização do conteúdo apenas para amigos.

Cuidado com redes públicas: o avanço dos dispositivos móveis fez explodir a rede Wi-Fi. A internet sem fio está praticamente em todo o lugar, inclusive por meio de redes públicas em pontos turísticos e lugares com grande fluxo de pessoas. Porém, elas são mais vulneráveis, o que faz um ataque ser mais propenso. A recomendação é nunca utilizar redes sem fio de terceiros. Caso não tenha outra alternativa, antes de enviar informações pessoais ao usar redes públicas, gratuitas ou compartilhadas, certifique-se de que o ambiente online está protegido com o ícone do cadeado ao lado da barra de navegação. Uma alternativa é utilizar uma rede virtual privada (VPN), garantindo a segurança dos seus dados.

Confira as solicitações de acesso de aplicativos e serviços: aplicativos e serviços gratuitos na Internet utilizam seus dados pessoais para comercializarem publicidade personalizada de acordo com hábitos e comportamentos. Se você deseja limitar isso, é preciso conferir as permissões e os termos de uso antes de realizar o download do app.

Preste atenção nos e-mails: os e-mails ainda são a principal arma dos cibercriminosos para roubar informações e senhas. A tática mais frequente é o phishing, que atrai a atenção do usuário e o estimula a clicar em links e aplicações. Desconfie de mensagens duvidosas que receber, mesmo que o remetente seja uma pessoa de confiança – afinal, elas também podem ter sido vítimas de ataques virtuais.

Tags, , , , , , , , , ,

Pesquisa da Kaspersky Lab revela uso inadequado de senhas pelos usuários

unnamed-92

No mundo inteiro, usuários da Internet ainda precisam aprender a usar senhas para se proteger on-line de modo eficiente. Uma pesquisa da Kaspersky Lab mostrou que as pessoas colocam sua segurança online em risco ao tomar decisões incorretas e cometer erros simples em relação às senhas que usam, o que pode gerar consequências de longo alcance.

A pesquisa revelou três erros comuns no uso de senhas que colocam em risco um grande número de usuários da Internet: (1) as pessoas usam a mesma senha em diversas contas, o que significa que se uma delas for descoberta, todas elas poderão ser invadidas; (2) as pessoas usam senhas fracas, fáceis de decifrar e (3) as pessoas armazenam suas senhas sem segurança, invalidando totalmente o objetivo de ter uma senha.

“Considerando o volume de informações privadas e sigilosas que armazenamos online, as pessoas deveriam ter mais cuidado ao se proteger com eficácia utilizando senhas. Poder parecer óbvio, mas muitos parecem não perceber que cometem erros simples ao gerenciar senhas. Esses erros funcionam como se fossem uma porta aberta para o acesso a e-mails, contas bancárias, arquivos pessoais e outros”, explica Andrei Mochola, chefe de negócios ao consumidor da Kaspersky Lab.

A pesquisa mostra que muitas pessoas (quase um quinto – 18%) já passaram por uma tentativa de invasão de conta, mas poucas tinham uma segurança por senha eficiente e inteligente em vigor. Por exemplo, apenas um terço (30%) dos usuários da Internet criam senhas novas para diferentes contas online, e uma em cada dez pessoas usa a mesma senha em todas as contas online. Se uma senha for descoberta, elas correm o risco de ter todas as contas invadidas e exploradas.

Além disso, os usuários não criam senhas fortes o suficiente para protegê-los de invasões e extorsões. Apenas metade (47%) deles usa combinações de letras maiúsculas e minúsculas nas senhas, e dois terços (64%) usam uma mistura de letras e números. Isso acontece porque os usuários acreditam que apenas que suas contas em bancos online (51%), de e-mail (39%) e em lojas virtuais (37%) precisam de senhas fortes.

O estudo também mostra que os usuários não cuidam muito bem de suas senhas, pois as compartilham com outras pessoas e utilizam métodos inseguros para lembrar-se delas. Quase um terço (28%) deles já compartilhou uma senha com um familiar próximo, e um décimo (11%) compartilhou uma senha com amigos, o que torna possível o vazamento não intencional das senhas. Mais de um quinto (22%) dos usuários também admitiu que anota as senhas em um caderno para não as esquecer. Mesmo que a senha seja forte, isso deixa o usuário vulnerável, pois outras pessoas podem vê-la e utilizá-la.

Mochola completa: “As pessoas ainda cometem erros simples em relação a suas senhas online. As melhores senhas não se encontram nos dicionários. Elas devem ser longas, incluir letras maiúsculas e minúsculas, números e sinais de pontuação. Porém, como hoje as pessoas têm muitas contas online, não é fácil lembrar de uma senha segura para cada uma delas. O uso de uma solução de gerenciamento de senhas ajuda a lembrar e gerar senhas fortes para minimizar o risco de invasão de contas.”

O Kaspersky Password Manager armazena todas as senhas, URLs e informações de cartões de crédito com segurança, e sincroniza tudo isso em vários dispositivos. O usuário só precisa lembrar-se de uma senha mestra.

Tags, ,

(Não) Digite a sua senha – Por Fernando Amatte

Redes sociais, e-mails, lojas online, armazenamento na nuvem, tanto no universo corporativo quanto no pessoal, são muitos os serviços utilizados diariamente que solicitam logins e senhas para acesso nos quais, na maioria das vezes, os usuários optam pela facilidade de utilizar os mesmos dados.

Nos últimos anos, temos visto diversos casos de ataques cibernéticos a grandes empresas, como o Linkedin, Last.fm, Ashley Madison, Sony e (recentemente) Dropbox, a fim de conseguir as senhas e dados valiosos dos usuários. Estes vazamentos de informações e falhas de segurança são cada vez mais comuns, empresas e usuários devem estar atentos aos riscos que correm, principalmente pelo mau hábito de se usar e-mail corporativo em sites públicos e senhas iguais em diversos cadastros. Com um vazamento público alguém pode ter acesso aos dados privados da empresa.

A lógica é simples, os hackers sabem do mau hábito do compartilhamento de senhas e e-mail e podem tentar obter acesso aos sistemas de uma companhia ou mesmo outros serviços do usuário testando e-mails e senhas vazados por um site público.

Um estudo recente publicado pelo Instituto Ponemon (www.ponemon.org/) com cerca de 3 mil trabalhadores que atuam em organizações dos Estados Unidos e Europa, revela que o comportamento dos funcionários é o maior fator para exposição de informações nas empresas. Apenas 39% dos empregados entrevistados afirmaram que tomam todos os passos necessários para proteger informações corporativas.

Na maioria das vezes, as pessoas menosprezam as consequências do que pode acontecer ou não têm noção de quanto valem os dados que elas guardam. Por incrível que possa parecer, senhas sequenciais do tipo “123456” estão sempre entre as mais utilizadas, reforçando a tese de que as pessoas não dão importância à segurança. Pense o seguinte: o valor do cofre é diretamente proporcional ao bem guardado dentro dele. Logo, é comum o uso de senhas seguras ou complexas em lugares que consideramos guardar algo valioso, como em bancos. O maior problema talvez seja o fato de que as pessoas não tenham conhecimento do valor (monetário ou sentimental) que suas informações têm, até que elas sejam perdidas.

Mas afinal, o que são senhas seguras?

As senhas ainda são compostas por elementos que o usuário se lembre. Usar uma para cada lugar é bem difícil de memorizar e, deste modo, infelizmente algumas situações compactuam para o uso de informações públicas. Por exemplo, quando te pedem uma senha de 4 dígitos, as primeiras coisas que vem à cabeça são o final de um número telefônico, a sequência numérica da placa de um carro ou uma data (dia/mês ou ano).

Uma senha é tão segura ou forte quanto o tempo que se leva para “descobri-la”. O primeiro passo de um hacker são as tentativas de sequências de números ou letras que tenham a ver com a vida da pessoa, tais como: datas significativas (da pessoa ou de próximos), nomes de conhecidos, lugares, times de futebol etc. Sendo assim, o “atacante” começa estudando o “atacado”, montando uma lista com palavras e números, o que se chama de ataque de dicionário. Caso não dê certo, inicia-se o ataque de força bruta em que todas as combinações de letras e números são tentadas sistematicamente (Ex: aaa, aab, aac, aad…).

Para se ter uma ideia da complexidade desse processo, utilizando as 26 letras do alfabeto e contando somente as letras minúsculas, teríamos duzentas e oito bilhões (208.827.064.576) de combinações para uma senha de oito caracteres (268). Se testássemos uma senha por segundo, levaríamos 2.416.979 dias para testar todas as senhas, aproximadamente 6.621 anos ininterruptos.

Já os computadores podem testar milhares ou milhões de senhas por segundo. Dentro das empresas, provavelmente os sistemas estejam configurados para bloquear um usuário depois de três ou cinco tentativas erradas de senha, visando evitar ataques de dicionário ou ataques de força bruta. Mas, quando existe o vazamento de algum banco de dados o atacante pode testar quantas senhas desejar, pois o atacante controla seu próprio ambiente e não está sujeito às restrições de um ambiente corporativo (ataque offline).

Então, não se esqueça de seguir algumas dicas valiosas:

– Nunca utilize senhas que seguem sequências;
– Utilize letras maiúsculas e minúsculas;
– Não as anote, memorize-as;
– Inclua caracteres especiais;
– Não utilize a mesma senha para diversos serviços.

Ainda que a segurança esteja relacionada à qualidade da senha utilizada, a criptografia dos dados pode ser uma grande forma de ajudar os CSOs (Chief Security Officer) a manterem dados em segurança. Se o problema for memorizar senhas, consulte especialistas para indicar quais são as ferramentas ideais para centralizar a administração, essas soluções armazenam senhas usando bancos de dados com criptografia avançada e uma senha-mestra, que dará acesso a todas.

Como não existem leis relacionadas à responsabilidade do vazamento de senhas no Brasil, raramente sabemos o que vazou, então o empresário brasileiro ainda está pouco atento a este problema. O que falta ainda é uma cultura preventiva e efetiva do comportamento de uso e acesso à informação, pois as tecnologias para combater vazamento de informação e ameaças estão sofisticadas e atendem às principais demandas de proteção.

Fernando Amatte, gerente de segurança cibernética da Cipher, empresa especializada em serviços de cibersegurança.

Tags, ,

Segurança da informação: As lições do vazamento de senhas do Twitter – Por Abílio Pettenazzi

Por Abílio Pettenazzi, Gerente de Produtos da Brasoftware – Especialista em Segurança, Virtualização e Disponibilidade

Os hackers mostraram novamente sua força. Na última semana, foram disponibilizadas, por meio da Deep Web, mais de 32 milhões de senhas de usuários do Twitter. A ideia era vender na internet informações dos usuários afetados, como nome, endereço, e-mail e outras senhas. Deep Web refere-se ao conteúdo da web que não é indexado pelos mecanismos de busca padrão, ou seja, são “invisíveis”.

Esse é mais um caso de sucesso dos cibercriminosos, que cada vez mais invadem sistemas e expõem dados de usuários mundo afora. O site haveibeenpwned.com, por exemplo, traz uma lista com diversos outros casos, como da Forbes, LinkedIn, Myspace, Snapchat, Sony e Vodafone. O portal permite também consultar se sua conta foi afetada.

Quais lições podemos tirar de um caso como este? E por que um roubo de senhas de uma rede social pode trazer insegurança para as empresas?

A partir do momento que os dados foram expostos na Deep Web, um grupo de cibercriminosos que esteja trabalhando em um ataque a uma empresa específica pode se beneficiar desses dados.

Os usuários do Twitter, em sua maioria, estão ligados aos nomes das pessoas físicas que são proprietárias das contas. Por exemplo: a probabilidade da conta do João Silva no Twitter ser @joaosilva ou alguma variante simples desse exemplo como @jsilva ou @silvajoao é bem alta.

Caso esta pessoa trabalhe em uma empresa que está sendo alvo de ataque de cibercriminosos, o acesso a um modelo de senha do usuário irá facilitar o ataque. A probabilidade da senha do Twitter ser igual ou muito parecida à da rede corporativa é alta. É assim que um ataque direcionado para roubar dados de empresa consegue ter sucesso, explorando dados disponíveis dos usuários da empresa na web, seja na Deep Web ou em redes sociais. Por isso, todo cuidado é pouco.

O Cybercrime já virou uma indústria lucrativa que movimenta mais de US$ 1,5 Trilhão de dólares ao ano, de acordo com dados apresentados por empresas do setor de segurança da informação.

Com a chegada do artificio Bitcoin, moeda digital que não possui rastreabilidade em suas transações financeiras, o cibercriminoso agora pode fazer dinheiro virtual e depois trocá-lo por dinheiro real. O Bitcoin acelerou o crime sem fronteira, portanto hoje uma empresa de qualquer tamanho e setor pode ser atacada virtualmente de qualquer lugar do mundo.

Um motivo que aumenta os riscos é o fato de empresas, principalmente de menor porte, possuírem menos investimentos e infraestruturas de segurança, o que facilita o ataque dos cibercriminosos. É como na vida real: é mais fácil invadir uma casa cheia de câmeras, seguranças, cercas elétricas e sistemas de alarme ou uma com uma com apenas portão e grades?

É preciso sempre investir na conscientização de seus usuários, capacitação da equipe de TI e escolher as tecnologias que atendem melhor a necessidade da companhia de acordo com o plano de segurança, sempre levando em conta três fatores: aderência da tecnologia ao ambiente, preço e relacionamento com o fornecedor.

Para o caso da exposição de senhas do Twitter, o ideal seria solicitar a troca de senha de todos os usuários da rede corporativa da empresa, aplicando sempre a regra de senhas padrão com no mínimo oito caracteres, incluindo letras, números e símbolos, que não sejam iguais às últimas 10 senhas gravadas.

E outro ponto importante é divulgar casos como este do Twitter para os colaboradores como forma de alerta tanto para a vida pessoal quanto para prevenção da segurança da informação no ambiente corporativo. Dessa maneira, a empresa pode aprender com o ocorrido e também minimizar os riscos.

Tags, , , , ,

As tecnologias que podem substituir as senhas

view.aspx

 

 

 

 

 

 

 

Qual é a senha mais segura para acessar seus aparelhos e serviços na internet? A resposta é difícil de ser respondida. Atualmente, há o consenso de que as senhas com caracteres diferentes, e com letras maiúsculas e minúsculas são a melhor forma de manter a privacidade a salvo. Há, porém, novas formas de acesso surgindo: a biometria, o reconhecimento fácil e até dos olhos. Todas elas, porém, têm sua eficácia contestada.

A Microsoft, por exemplo, acredita que a biometria é o futuro. Com o uso de senhas cada vez mais discutido, a empresa está se mexendo para ir além no Windows 10. A sua principal aposta é se juntar à aliança FIDO (Fast Identity Online) e adicionar suporte para a tecnologia de biometria no seu novo sistema, com lançamento previsto ainda para 2015.

De acordo com a companhia, “fazer a transição de senhas para uma forma de identidade mais forte é um dos maiores desafios enfrentados na computação online, e acreditamos que a autenticação FIDO, que é objeto de muita discussão, seja o caminho para o sucesso”.
Com o Windows 10, os aparelhos da Microsoft e serviços parceiros de Saas (software as a service) suportados pela autenticação Azure Active Directory podem ser acessados por meio de uma solução de autenticação de dois fatores de nível corporativo. Isto é, sem uma senha.

A aliança FIDO lançou a versão 1.0 e final das especificações de seus dois padrões: o biométrico e outro relacionado à autenticação em dois fatores, em janeiro deste ano, com apoio do Google, do Paypal, da Samsung e de outros gigantes da tecnologia. A elaboração da versão 2.0, por sua vez, ainda está em fase inicial, mas a Microsoft já deu a entender que as formas como implementará biometria em seu sistema terão certa influência nos projetos.

Biometria sofre muitas críticas
As fabricantes de smartphones Apple, Samsung e HTC já lançaram produtos que reconhecem os donos pela ponta dos dedos. E, diante da grande frequência com que escândalos sobre invasões de contas e roubos de identidades se repetem, as empresas extrapolam e pesquisam características supostamente únicas do nosso corpo como “arma” para proteger conteúdos digitais.

Mas, apesar de muitos apostarem na eficácia da biometria, outros tantos são críticos ferrenhos do sistema. Segundo especialistas, a biometria esbarra num problema semelhante ao das tradicionais senhas, mas com um agravante. Ambos os sistemas guardam as informações dos usuários em servidores. Quando estes são invadidos ou comprometidos, você possui a opção de mudar sua senha e voltar a acessar o serviço. O que não é possível com a biometria, já que você não pode mudar suas impressões digitais.
Outro problema da biometria seria a invasão de privacidade. Por exemplo, ao deixar sua impressão digital num banco, numa loja ou qualquer outro estabelecimento, você também está deixando toda a sua história. E ainda pior: a impressão digital pode ser coletada para tentativas de invasões e fraudes nas suas contas.

Seja como for, a biometria, se vingar, vai precisar vencer a desconfiança de muita gente, e fornecer soluções para os problemas apresentados por especialistas.

Outras tendências de acessos, também contestadas
Em pré-venda nos EUA, a pulseira Nymi é capaz de transformar batimentos cardíacos em senhas. Ela promete tornar o processo de autenticação digital mais seguro e prático. Contudo, cardiologistas questionam sua eficácia.

Desenvolvido pela companhia Bionym e previsto para chegar ao mercado ainda este ano, por um preço inicial de US$ 79, o acessório mede o eletrocardiograma (ECG) do usuário e o utiliza como login automático em serviços e dispositivos, como e-mail e smartphone. Para isso, utiliza sinal Bluetooth, e, de acordo com o seu site oficial, é capaz de funcionar mesmo que o ritmo cardíaco do usuário esteja alterado por estresse ou medicação, já que analisa o formato da onda do ECG, e não o seu ritmo, apenas uma vez, quando a pulseira é colocada.
Médicos dizem, contudo, que o uso do eletrocardiograma como sistema de identificação é duvidoso, já que existem diferentes padrões. Assim, o ECG não funciona como uma impressão digital.

Reconhecimento facial poderia ser burlado com foto
O Google é uma das empresas que mais batalha para implementar a segurança biométrica em seu sistema operacional Android. A versão Ice Cream Sandwich (4.0) tinha a opção de desbloqueio do aparelho por reconhecimento facial, mas a técnica foi considerada falha, pois especialistas demonstraram que ela poderia ser burlada com o uso de uma fotografia em alta resolução do dono.

Para tentar resolver esse problema, a empresa inseriu na atualização seguinte, a Jelly Bean, a possibilidade de requisitar um piscar de olhos para o desbloqueio.

Reconhecimento de íris pode ser o caminho
Já a Intel apresentou um protótipo de smartphone com tecnologia de segurança inspirada em filmes: o reconhecimento de íris. O aparelho usa a câmera frontal para analisar traços únicos dos olhos. O sistema, apesar de ser apenas um conceito, está pronto para ser incorporado aos produtos no futuro.

Quem está mais perto de lançar um smartphone com reconhecimento de íris é a marca chinesa ViewSonic, que pode comercializar o primeiro aparelho do mundo com essa novidade tecnológica, ainda em 2015.

O scanner de íris, no canto superior do painel do ViewSonic V55, é protegido por um pequeno componente de deslizamento. Assim como as impressões digitais, após a íris ser mapeada no aparelho, a ação poderá ser bloqueada apenas pelo proprietário do dispositivo que passou pelo mapeamento. Com o scanner de íris, é possível permitir que o usuário bloqueie arquivos de vídeos, fotos e outros componentes.

Dessa forma, se o dispositivo foi entregue a alguém que não seja o proprietário do aparelho, esses arquivos são protegidos. Segundo a empresa, com a tecnologia é muito difícil (praticamente impossível) falsificar o padrão da íris de um olho, ao contrário das impressões digitais.

por Ana Clara Nogueira, da  PSafe Tecnologia

Tags, , , , , , ,