Categories
por

As questões de segurança são inseguras quanto à forma de proteger as suas contas

Chris Hoffman é editor-chefe de How-To Geek. Ele escreveu sobre tecnologia durante mais de uma década e foi colunista da PCWorld durante dois anos. Chris escreveu para o The New York Times, foi entrevistado como perito em tecnologia em estações de televisão como a NBC 6 de Miami, e teve o seu trabalho coberto por noticiários como a BBC. Desde 2011, Chris já escreveu mais de 2.000 artigos que já foram lidos quase um bilião de vezes – e isso é só aqui no How-To Geek. Leia mais.

Todos sabemos que devemos criar palavras-passe seguras. Mas, por todo o tempo que passamos preocupados com as nossas palavras-passe, há uma porta traseira em que nunca pensamos. As questões de segurança são muitas vezes fáceis de adivinhar e podem muitas vezes contornar as palavras-passe.

Felizmente, muitos serviços estão a aperceber-se de que as questões de segurança são muito inseguras e a eliminá-las. O Google e a Microsoft já não oferecem perguntas de segurança para as suas contas – em vez disso, é possível recuperar uma conta usando um número de telefone associado.

O “Hack” de Palin

Isto não é apenas um problema teórico. A conta de correio electrónico de Sarah Palin no Yahoo! foi famosa por ter sido “pirateada” no período que antecedeu as eleições de 2008. O “hacker” acabou de utilizar o prompt de redefinição da palavra-passe e respondeu à sua pergunta de segurança. A pergunta foi onde ela conheceu o seu cônjuge, e a resposta – Wasilla High – foi acessível com uma pesquisa rápida no Google.

O problema com as perguntas de segurança

Isto não é apenas um problema para Sarah Palin. Quando criamos contas – desde contas bancárias a contas de correio electrónico – é-nos frequentemente pedido que criemos uma pergunta de segurança. Na maioria das vezes, é-nos fornecida uma lista de perguntas sugeridas como “Onde frequentou o ensino secundário?” e “Qual é o nome de solteira da sua mãe? Alguns websites permitem-lhe criar a sua própria pergunta, mas muitos obrigam-no a escolher a partir da sua lista de perguntas sugeridas. Alguns websites obrigam-no a criar várias perguntas e respostas de segurança, o que significa que não pode simplesmente escolher uma única resposta que seja fácil de lembrar – tem de escolher várias perguntas diferentes e lembrar-se de todas as respostas.

O verdadeiro problema das perguntas de segurança é que as respostas são tão óbvias. As respostas a muitas perguntas de segurança, desde “Qual é o seu aniversário?” até “Onde frequentou o ensino secundário?” são do conhecimento público, se alguém se preocupar em procurar. Podem até ser capazes de as pesquisar no Google. Mesmo que as respostas ainda não sejam do conhecimento público, a maioria das pessoas normais partilharão detalhes como onde conheceram o seu cônjuge e onde frequentaram a escola em conversa normal.

Noções básicas sobre questões de segurança

Se nunca redefiniu a password de uma conta, poderá nunca ter de lidar com as suas próprias questões de segurança e poderá esquecê-las. Muitas vezes é possível clicar num link que diz ter esquecido a sua palavra-passe e, se responder correctamente à pergunta de segurança, é-lhe dado acesso a essa conta. Desta forma, as perguntas de segurança permitem-lhe contornar a sua palavra-passe. A sua conta já não é tão segura como a sua palavra-passe, é apenas uma

Nem todos os serviços irão repor a sua conta e dar acesso a outra pessoa só porque conhecem a resposta à sua pergunta de segurança, mas alguns irão. Outros serviços utilizam perguntas de segurança como parte de um processo de autenticação que irá requerer outras informações pessoais.#%$t#Como escolher e responder a perguntas de segurança

Tenha tudo isto em mente ao escolher perguntas e respostas de segurança. Escolha algo que seria difícil para outras pessoas descobrirem ou adivinharem, não algo como onde frequentou a escola.

A segunda alternativa é optar por não responder a perguntas de segurança. Por exemplo, se lhe for dada a oportunidade de escrever a sua própria pergunta de segurança, pode introduzir uma pergunta como “Qual é a resposta?” ou fazer referência a uma piada que só você saberia. Pode então fornecer uma resposta tão segura como a pergunta – talvez a sua resposta/pergunta seja algo como “Qual é a resposta? “45D%po#Yih8d0Y$fgp(i34t”. Agora só tem uma segunda palavra-passe para a sua conta – escreva-a num local seguro ou guarde-a num gestor de palavras-passe como LastPass ou KeePass para que possa aceder à mesma caso alguma vez precise dela. Com uma resposta como esta, basicamente só tem uma segunda palavra-passe.

Tenha em mente que também não tem de responder a perguntas com precisão. Por exemplo, se a pergunta for “Onde teve o seu primeiro beijo?” e viveu em Nova Iorque toda a sua vida, provavelmente não quer entrar em Nova Iorque – essa é uma resposta realmente óbvia. Talvez a sua resposta seja “Numa Cratera na Lua” ou outra resposta tola de que se lembrará, mas outras pessoas terão mais dificuldade em adivinhar. Claro que mesmo esta resposta é mais óbvia do que uma corda aparentemente aleatória. Talvez a sua resposta a “Onde teve o seu primeiro beijo?” seja 9je7%5yry835#9reou&[e-mail protegido] Mesmo que seja forçado a usar uma determinada pergunta, é livre de introduzir qualquer resposta que lhe agrade, desde que se consiga lembrar dela. É claro que vai querer manter esta resposta segura no caso de alguma vez precisar de a fornecer no futuro.

As perguntas de segurança são inseguras. Mas, mesmo que seja obrigado a usá-las ou forçado a usar uma pergunta insegura, nunca será obrigado a fornecer uma resposta precisa. Pode introduzir a resposta que quiser, desde que se lembre dela para mais tarde. Faça o que fizer, certifique-se de que não está a abrir uma porta traseira que um atacante possa usar para contornar a sua palavra-passe.

Qualquer pessoa que tenha entrado no website de uma instituição financeira nos últimos anos conhece o procedimento. Introduza um ID, uma palavra-passe e depois responda a uma série de perguntas, desde a básica (“Qual é o nome de solteira da sua mãe?”) até à tola (“Qual era o nome do seu animal de peluche preferido?”). Os bancos e as empresas de cartões de crédito colocam essas perguntas como uma camada extra de segurança para proteger as suas contas e proteger contra roubo de identidade, mas acontece que nem sempre são eficazes.

Algumas perguntas sofrem da fraqueza de serem facilmente adivinháveis, como “De que cor são os seus olhos?”. Outras, como “Onde andou no liceu?” poderiam ser respondidas por qualquer pessoa que pudesse lo

Em alguns casos, as instituições financeiras dão aos clientes a opção de escreverem as suas próprias questões de segurança. Ao fazê-lo, certifique-se de que as perguntas têm respostas que são memoráveis, imutáveis, únicas e que não podem ser facilmente encontradas online. Exemplos podem ser “Qual foi o seu número de telefone durante o terceiro ano?” ou “Onde teve a sua recepção de casamento?

Se uma empresa não oferecer a opção de perguntas criadas pelo utilizador, obtenha criatividade com respostas às perguntas existentes. Tente adicionar caracteres especiais (desde que sejam fáceis de lembrar), usando múltiplas palavras ou palavras “código” que dão uma volta única a uma pergunta básica como “Qual é a sua cor favorita?”. Quanto mais criativa for a resposta, menos provável é que seja adivinhada por ladrões de identidade que tentam ter acesso às suas contas.

Respostas fracas a questões de segurança podem deixar as contas inseguras. Se dedicar tempo a criar respostas únicas acrescenta uma camada extra de segurança e frustra os esforços dos hackers, ladrões de cartões de crédito e outros vigaristas.

Chris Hoffman é editor-chefe de How-To Geek. Ele escreveu sobre tecnologia durante mais de uma década e foi colunista da PCWorld durante dois anos. Chris escreveu para o The New York Times, foi entrevistado como perito em tecnologia em estações de televisão como a NBC 6 de Miami, e teve o seu trabalho coberto por noticiários como a BBC. Desde 2011, Chris já escreveu mais de 2.000 artigos que já foram lidos quase um bilião de vezes – e isso é só aqui no How-To Geek. Leia mais.

Os sistemas de autenticação de dois factores não são tão infalíveis como parecem. Um atacante não precisa realmente do seu símbolo de autenticação física se conseguir enganar a sua companhia telefónica ou o próprio serviço seguro para os deixar entrar.

Chris Hoffman é editor-chefe de How-To Geek. Ele escreveu sobre tecnologia durante mais de uma década e foi colunista da PCWorld durante dois anos. Chris escreveu para o The New York Times, foi entrevistado como perito em tecnologia em estações de televisão como a NBC 6 de Miami, e teve o seu trabalho coberto por noticiários como a BBC. Desde 2011, Chris já escreveu mais de 2.000 artigos que já foram lidos quase um bilião de vezes – e isso é só aqui no How-To Geek. Leia mais.

A sua companhia telefónica é um elo fraco

Os sistemas de autenticação em duas etapas em muitos websites funcionam enviando uma mensagem para o seu telefone via SMS quando alguém tenta entrar no sistema. Mesmo que utilize uma aplicação dedicada no seu telefone para gerar códigos, há uma boa possibilidade do seu serviço de escolha se oferecer para permitir que as pessoas entrem no seu telefone, enviando um código SMS para o seu telefone. Ou, o serviço pode permitir-lhe remover a protecção de autenticação de dois factores da sua conta após confirmar que tem acesso a um número de telefone que configurou como número de telefone de recuperação.

Tudo isto soa bem. Tem o seu telemóvel, e este tem um número de telefone. Tem um cartão SIM físico no seu interior que o liga a esse número de telefone com o seu fornecedor de telemóveis. Tudo isto parece muito físico. Mas, infelizmente, o seu número de telefone não é tão seguro como pensa.

Se alguma vez precisou de mudar um número de telefone existente para um novo cartão SIM depois de perder o seu telefone ou apenas obter um novo, saberá o que pode fazer muitas vezes inteiramente por telefone – ou talvez até online. Tudo o que um atacante tem de fazer é ligar para o departamento de serviço ao cliente da sua empresa de telemóveis e fingir ser você. Eles vão nee

Há formas ainda mais fáceis. Ou, por exemplo, podem ser encaminhadas chamadas para a companhia telefónica para que as chamadas de voz recebidas sejam encaminhadas para o telefone deles e não cheguem ao seu.

Raios, um agressor pode não precisar de acesso ao seu número de telefone completo. Podem obter acesso ao seu correio de voz, tentar entrar em websites às 3 da manhã, e depois obter os códigos de verificação a partir da sua caixa de correio de voz. Quão seguro é o sistema de correio de voz da sua companhia telefónica, exactamente? Quão seguro é o PIN do seu correio de voz – já definiu sequer um? Nem toda a gente o fez! E, se o fez, quanto esforço seria necessário para um atacante obter o PIN do seu correio de voz, ligando para a sua companhia telefónica?

Com o seu número de telefone, está tudo acabado

O seu número de telefone torna-se o elo fraco, permitindo ao seu agressor remover a verificação em duas etapas da sua conta – ou receber códigos de verificação em duas etapas – via SMS ou chamadas de voz. Quando perceber que algo está errado, eles podem ter acesso a essas contas.

Isto é um problema para praticamente todos os serviços. Os serviços online não querem que as pessoas percam o acesso às suas contas, pelo que geralmente permitem-lhe contornar e remover essa autenticação de dois factores com o seu número de telefone. Isto ajuda se tiver de reiniciar o seu telefone ou obter um novo e tiver perdido os seus códigos de autenticação de dois factores – mas ainda tem o seu número de telefone.

Teoricamente, é suposto haver aqui uma grande protecção. Na realidade, está a lidar com o pessoal de atendimento ao cliente dos prestadores de serviços de telemóvel. Estes sistemas são frequentemente criados para serem eficientes, e um funcionário do serviço de apoio ao cliente pode ignorar algumas das salvaguardas enfrentadas por um cliente que parece zangado, impaciente, e tem o que parece ser informação suficiente. A sua companhia telefónica e o seu departamento de serviço ao cliente são um elo fraco na sua segurança.

Proteger o seu número de telefone é difícil. Realisticamente, as empresas de telemóveis devem fornecer mais salvaguardas para tornar isto menos arriscado. Na realidade, provavelmente quer fazer algo por si próprio, em vez de esperar que as grandes empresas corrijam os seus procedimentos de serviço ao cliente. Alguns serviços podem permitir-lhe desactivar a recuperação ou reiniciar através de números de telefone e avisar profusamente contra isso – mas, se for um sistema de missão crítica, pode querer escolher procedimentos mais seguros de reinicialização, como códigos de reinicialização que pode bloquear num cofre de banco, no caso de alguma vez precisar deles.

Outros procedimentos de reinicialização

Também não se trata apenas do seu número de telefone. Muitos serviços permitem-lhe remover essa autenticação de dois factores de outras formas, se afirmar ter perdido o código e precisar de iniciar sessão. Desde que saiba dados pessoais suficientes sobre a conta, poderá ser capaz de entrar.

Experimente você mesmo – vá ao serviço que assegurou com autenticação de dois factores e finja ter perdido o código. Veja o que é preciso para entrar. Poderá ter de fornecer dados pessoais ou responder a “perguntas de segurança” inseguras na pior das hipóteses. Depende de como o serviço é configurado. Poderá ser possível redefini-lo enviando um link para outra conta de correio electrónico, caso em que essa conta de correio electrónico poderá tornar-se um link fraco. Numa situação ideal, poderá apenas necessitar de acesso a um número de telefone ou códigos de recuperação – e, como vimos, a parte do número de telefone é um elo fraco.

Eis algo mais assustador: não se trata apenas de contornar a verificação em duas etapas. Um atacante pode tentar truques semelhantes para contornar completamente a sua palavra-passe. Isto pode funcionar porque os serviços online querem assegurar que as pessoas possam voltar a ter acesso às suas contas, mesmo que percam as suas palavras-passe.

Por exemplo, veja o sistema de Recuperação de Conta Google. Esta é uma opção de último recurso para recuperar a sua conta. Se afirma não saber nenhuma palavra-passe, ser-lhe-ão eventualmente solicitadas informações sobre a sua conta, como quando a criou e a quem envia frequentemente e-mails. Um atacante que saiba o suficiente sobre si poderia teoricamente utilizar procedimentos de recuperação de senhas como estes para ter acesso às suas contas.

Nunca ouvimos falar do processo de recuperação de conta do Google, mas o Google não é a única empresa com ferramentas como esta. Não podem ser todas totalmente infalíveis, especialmente se um atacante souber o suficiente sobre si.

Quaisquer que sejam os problemas, uma conta com verificação em duas etapas será sempre mais segura do que a mesma conta sem verificação em duas etapas. Mas a autenticação de dois factores não é uma bala de prata, como já vimos com ataques que abusam do maior elo fraco: a sua companhia telefónica.

Se estiver preocupado com a segurança das suas contas em linha mais sensíveis, uma chave física serve como cópia de segurança da sua palavra-passe para verificar a sua identidade. Eis como funcionam.

Uma palavra-passe já não é suficiente para proteger totalmente as suas contas e logins. Os websites e aplicações oferecem autenticação de dois factores e funcionalidades de login biométrico, mas outra forma de proteger as suas contas é através de uma chave de segurança física.

Uma chave física serve como backup da sua palavra-passe para verificar a sua identidade. O tipo certo de chave pode funcionar com o seu computador e telemóvel, através de uma ligação física ou sem fios. Mesmo que alguém descobrisse a palavra-passe de uma das suas contas, não conseguiria entrar sem a chave física. Desde que a chave seja segura e protegida, a sua informação privada está protegida.

Encontrará uma variedade de chaves de segurança para venda, incluindo as do Google, Yubico, e Thetis. A chave de que necessita depende das suas necessidades específicas. Se pretende ligá-la ao seu computador, escolha uma com um conector USB. Para dispositivos móveis, existem chaves com conectores USB-C ou Lightning para dispositivos Android ou iOS. Pode também querer uma que utilize NFC para ligar sem fios, que cobrirá todas as suas bases e não lhe exigirá que ligue a chave de cada vez.

Para esta história, estou a utilizar uma chave de segurança YubiKey 5C NFC da Yubico, devido ao seu suporte para computadores e dispositivos móveis. Esta chave tem tanto um conector USB-C como um NFC incorporado para uma ligação sem fios. Eis como utilizar uma chave de segurança física para proteger as suas contas online.

Configurar uma chave de segurança com um PC Windows

Uma acção que poderá querer tomar é assegurar o seu login no Windows 10 com uma chave de segurança. Neste caso, a chave funciona como uma forma de autenticação de segurança para além do seu nome de utilizador e palavra-passe. No entanto, existe aqui uma grande limitação. A YubiKey funciona apenas com uma conta local no Windows; não funcionará se utilizar uma conta da Microsoft para iniciar sessão no Windows 10. Pode ter tanto uma conta Microsoft como uma conta local no computador, mas o YubiKey só o logará no local.

Para que isto funcione, terá de descarregar a aplicação Yubico Login para Windows clicando em Yubico Login para Windows (64 bit) ou Descarregar Yubico Login para Windows (32 bit), dependendo do seu sabor do Windows 10. Instale o programa e reinicie o seu computador. No menu Iniciar, abra a pasta para Yubico e clique no atalho para Configuração de Login, depois siga os passos nesta ferramenta para configurar a sua chave.

Depois da sua chave ter sido configurada, reinicie novamente o computador. No ecrã de início de sessão do Windows 10, certifique-se de que o seu login está configurado para utilizar o login Yubico no canto inferior esquerdo do ecrã. Introduza o seu nome de utilizador e palavra-passe do Windows 10. Se o YubiKey ainda não tiver sido inserido, ser-lhe-á pedido que o insira e tente novamente. Deverá então iniciar sessão no Windows.

Se tiver algum problema na configuração do YubiKey, consulte o Guia de Configuração do YubiKey para Windows.

Também pode utilizar o YubiKey como autenticação para iniciar sessão numa variedade de websites, e não apenas naqueles que suportam a norma FIDO2. O número de websites que aceitam chaves de segurança física é limitado mas está sempre a crescer. No entanto, o Google suporta-o, pelo que serviços como o Gmail, Google Calendar, Google Maps, Google Drive, Google Docs, e YouTube, todos trabalharão com uma chave de segurança.

Configurar uma chave de segurança com contas online

Abra o seu navegador favorito (Chrome, Firefox, e Edge são todos suportados) e inicie sessão na sua página de Contas Google. No painel da esquerda, seleccione a configuração para Segurança, depois desça a página e clique em 2 passos de verificação. No ecrã seguinte, clique no botão Começar e inicie sessão com a sua conta Google, se tal lhe for solicitado.

Sob a página Use o seu telefone como segundo passo para iniciar sessão, clique no link Mostrar mais opções e seleccione Chave de Segurança. Clique em Seguinte, depois ligue a sua chave de segurança ao seu computador e clique em OK. Toque no sensor da chave de segurança para a registar, depois nomeie a sua chave de segurança se desejar e clique em Done.

Configurações críticas para que os hackers não possam aceder à sua conta bancária USA TODAY

Pode parecer óbvio que precisa de uma senha forte para impedir que os hackers acedam às suas informações privadas e relatórios financeiros. (Foto: Getty Images/iStockphoto)

Tem de assumir que a sua palavra-passe não é suficientemente forte. Mais vale acreditar que alguém, algures, está a trabalhar 24 horas por dia para invadir as suas contas e roubar o seu dinheiro, a sua identidade e qualquer outra coisa que tenha. Porque é essencialmente verdade.

Talvez tenha tomado precauções. Utiliza software de segurança. Configurou a segurança do seu router para que os hackers não possam aceder a todos os dispositivos da sua rede, obter as suas palavras-passe ou utilizar os seus sistemas como um bot nos seus ataques.

Depois de o fazerem, estão longe de o terem feito. Os hackers são inteligentes e estão sempre em movimento.

Aqui estão cinco soluções simples para proteger o seu negócio, o seu ovo de ninho e o seu futuro.

Não cometa estes erros comuns com palavras-passe

Pode parecer óbvio que necessita de uma senha forte para impedir que os hackers acedam às suas informações privadas e relatórios financeiros. Milhões de pessoas são alvos fáceis devido a palavras-passe inseguras como 12345678 ou Palavra-passe. Também utilizam a mesma palavra-passe para vários sites.

As regras básicas para palavras-passe são: 1) Tem de conter uma colecção aleatória de letras (maiúsculas e minúsculas), números e símbolos; 2) Tem de ter oito caracteres ou mais; e 3) Tem de criar uma palavra-passe única para cada conta.

Esta é uma ordem alta. Embora algo como “Tl|_|,BwwB2R” seja realmente forte, não é fácil de lembrar. Ou será? Deixem-me mostrar-vos como é que a criei.

Comece por pensar numa frase aleatória. Pode usar uma frase, citação ou mesmo uma letra de canção. Eu escolhi uma letra de uma canção de Bruce Springsteen: “Vagabundos como nós, bebé, nascemos para correr”.

Tirei o primeiro carácter de cada palavra para obter “tlu, bwwbtr”. Nada mau, mas poderia ser melhor. Assim, acrescentei alguns símbolos no lugar de letras semelhantes. U torna-se |__|, o “para” da letra original torna-se 2. Depois, capitalizei algumas das letras para fazer uma senha forte de que me lembro facilmente: “Tl|_|,BwwB2R”.

Uma vez que se tem que se pode ajustar a mesma palavra-passe para várias contas. Para o Facebook, pode fazer “Tl|_|$,BwwwB2RFB”. A Amazon pode ser “AmzTl|_|$,BwwwB2R”. Pode fazer um esquema consistente.

Para evitar que os criminosos abram contas bancárias, de serviços públicos e telefónicas em seu nome, é preciso mais do que um congelamento do crédito. Aqui está o que fazer. EUA HOJE

Tornar mais difícil para os hackers decifrar o código

Os hackers podem descobrir rapidamente a sua palavra-passe, mas não conseguem descobrir o código secreto e único que o seu banco lhe envia. A autenticação com dois factores (2FA) é um poderoso método de segurança porque os hackers teriam de roubar fisicamente o seu telefone, introduzir a palavra-passe correcta, e depois introduzir esse código secreto.

Na sequência de hackers em grande escala, a maioria das contas principais oferecem autenticação de dois factores, desde os meios de comunicação social aos bancos.

Mantenha um registo de todos os seus tostões

A maioria de nós tem pelo menos uma conta bancária (e muitas vezes mais) mais contas de crédito, PayPal e outros depositários do nosso dinheiro. Estes podem ser difíceis de controlar, especialmente quando se tem investimentos adicionais e objectivos pessoais de poupança.

É mais fácil acompanhar as suas finanças empresariais se todas estas contas estiverem agregadas num único local, mesmo à frente dos seus olhos.

Hoje em dia isso significa uma aplicação como a Intuit’s Mint. A aplicação da Casa da Moeda, e outras como esta, podem ajudá-lo a definir orçamentos e a gerir as suas contas. Também pode receber lembretes para pagar as contas quando estas são devidas.

Conheça a sua pontuação de crédito

A sua pontuação de crédito irá dizer-lhe muito sobre hackers. Se vir algo suspeito neles, como contas de cartão de crédito que não tenha aberto, pode alertar qualquer agência de crédito que o esteja a denunciar, seja Experian, Equifax ou TransUnion.

Claro, é mais fácil do que nunca verificar o seu relatório de crédito. Pode verificar sites gratuitos como o site Discover credit card, que diz: “Não tem de ser nosso cliente, e não há qualquer ding para o seu crédito”.

O importante é verificar os seus relatórios de crédito. Deve começar com as três agências de crédito, cada uma das quais lhe dá um relatório de crédito gratuito todos os anos.

Congelar o seu crédito

Já deve ter ouvido conselheiros financeiros a dizer às pessoas para congelarem o seu crédito. Mas pode não saber porque é que eles sugerem isso.

Aqui está uma visão geral simples. Os hackers terão dificuldade em aceder às suas informações pessoais se tiver pedido às agências de crédito para congelar o seu crédito – também não poderá aceder, a menos que lhes peça para o descongelar.

O governo federal, a partir deste ano, mandata que possa congelar o seu crédito gratuitamente, ligando para as três agências de crédito, Experian, Equifax e TransUnion. Eles têm de congelar o seu crédito no prazo de um dia útil após o pedido de congelamento por telefone ou nos respectivos sites.

O que d

Uma palavra-passe já não é suficiente para proteger totalmente as suas contas e logins. Os websites e aplicações oferecem autenticação de dois factores e funcionalidades de login biométrico, mas outra forma de proteger as suas contas é através de uma chave de segurança física.

Uma chave física serve como backup da sua palavra-passe para verificar a sua identidade. O tipo certo de chave pode funcionar com o seu computador e telemóvel, através de uma ligação física ou sem fios. Mesmo que alguém descobrisse a palavra-passe de uma das suas contas, não conseguiria entrar sem a chave física. Desde que a chave seja segura e protegida, a sua informação privada está protegida.

Uma chave física serve como backup da sua palavra-passe para verificar a sua identidade. O tipo certo de chave pode funcionar com o seu computador e telemóvel, através de uma ligação física ou sem fios. Mesmo que alguém descobrisse a palavra-passe de uma das suas contas, não conseguiria entrar sem a chave física. Desde que a chave seja segura e protegida, a sua informação privada está protegida.

Encontrará uma variedade de chaves de segurança para venda, incluindo as do Google, Yubico, e Thetis. A chave de que necessita depende das suas necessidades específicas. Se pretende ligá-la ao seu computador, escolha uma com um conector USB. Para dispositivos móveis, existem chaves com conectores USB-C ou Lightning para dispositivos Android ou iOS. Pode também querer uma que utilize NFC para ligar sem fios, que cobrirá todas as suas bases e não lhe exigirá que ligue a chave de cada vez.

Para esta história, estou a utilizar uma chave de segurança YubiKey 5C NFC da Yubico, devido ao seu suporte para computadores e dispositivos móveis. Esta chave tem tanto um conector USB-C como um NFC incorporado para uma ligação sem fios. Eis como utilizar uma chave de segurança física para proteger as suas contas online.

Configurar uma chave de segurança com um PC Windows

Uma acção que poderá querer tomar é assegurar o seu login no Windows 10 com uma chave de segurança. Neste caso, a chave funciona como uma forma de autenticação de segurança para além do seu nome de utilizador e palavra-passe. No entanto, existe aqui uma grande limitação. A YubiKey funciona apenas com uma conta local no Windows; não funcionará se utilizar uma conta da Microsoft para iniciar sessão no Windows 10. Pode ter tanto uma conta Microsoft como uma conta local no computador, mas o YubiKey só o logará no local.

Para que isto funcione, terá de descarregar a aplicação Yubico Login para Windows clicando em Yubico Login para Windows (64 bit) ou Descarregar Yubico Login para Windows (32 bit), dependendo do seu sabor do Windows 10. Instale o programa e reinicie o seu computador. No menu Iniciar, abra a pasta para Yubico e clique no atalho para Configuração de Login, depois siga os passos nesta ferramenta para configurar a sua chave.

Depois da sua chave ter sido configurada, reinicie novamente o computador. No ecrã de início de sessão do Windows 10, certifique-se de que o seu login está configurado para utilizar o login Yubico no canto inferior esquerdo do ecrã. Introduza o seu nome de utilizador e palavra-passe do Windows 10. Se o YubiKey ainda não tiver sido inserido, ser-lhe-á pedido que o insira e tente novamente. Deverá então iniciar sessão no Windows.

Se tiver algum problema na configuração do YubiKey, consulte o Guia de Configuração do YubiKey para Windows.

Também pode utilizar o YubiKey como autenticação para iniciar sessão numa variedade de websites, e não apenas naqueles que suportam a norma FIDO2. O número de websites que aceitam chaves de segurança física é limitado mas está sempre a crescer. No entanto, o Google suporta-o, pelo que serviços como o Gmail, Google Calendar, Google Maps, Google Drive, Google Docs, e YouTube, todos trabalharão com uma chave de segurança.

Configurar uma chave de segurança com contas online

Abra o seu navegador favorito (Chrome, Firefox, e Edge são todos suportados) e inicie sessão na sua página de Contas Google. No painel da esquerda, seleccione a configuração para Segurança, depois desça a página e clique em 2 passos de verificação. No ecrã seguinte, clique no botão Começar e inicie sessão com a sua conta Google, se tal lhe for solicitado.

Sob a página Use o seu telefone como segundo passo para iniciar sessão, clique no link Mostrar mais opções e seleccione Chave de Segurança. Clique em Seguinte, depois ligue a sua chave de segurança ao seu computador e clique em OK. Toque no sensor da chave de segurança para a registar, depois nomeie a sua chave de segurança se desejar e clique em Done.

Configurações críticas para que os hackers não possam aceder à sua conta bancária USA TODAY

Pode parecer óbvio que precisa de uma senha forte para impedir que os hackers acedam às suas informações privadas e relatórios financeiros. (Foto: Getty Images/iStockphoto)

Pode agora utilizar a sua chave de segurança Yubico para iniciar sessão em aplicações e websites suportados com o seu telefone. Yubico tem uma base de dados de websites e aplicações compatíveis com YubiKey, que pode utilizar para criar as suas contas existentes com maior segurança. Clique num website suportado, tal como o Twitter, e seleccione o botão Get Setup Instructions.

Autenticação de dois factores . Primeiro terá de configurar a autenticação através de mensagem de texto ou aplicação de autenticação. Uma vez definida, marcar a caixa ao lado da Chave de Segurança.

Ligue a sua chave de segurança ou segure-a na parte superior do seu telefone. Crie um PIN ou palavra-passe para proteger este método de login. Deverá então receber uma mensagem dizendo-lhe que está tudo definido. Da próxima vez que tentar iniciar sessão no Twitter móvel, introduza o seu nome de utilizador e palavra-passe e depois ligue ou segure a sua chave de segurança ao lado do seu telefone para autenticar a sua conta.

Partilhar:

On your phone, sign into the Twitter website. Go to Settings and Privacy > Security and account access > Security >Clique para partilhar no Twitter (Abre em nova janela)

Clique para partilhar no Facebook (Abre em nova janela)

Clique para partilhar no Pinterest (Abre em nova janela)

  • Tem de assumir que as suas palavras-passe não são suficientemente fortes. Mais vale acreditar que alguém, algures, está a trabalhar 24 horas por dia para invadir as suas contas e roubar o seu dinheiro, a sua identidade e qualquer outra coisa que tenha. Porque é essencialmente verdade.
  • Talvez tenha tomado precauções. Utiliza software de segurança. Se não o fizer, toque ou clique aqui para três downloads gratuitos para uma segurança óptima do Windows.
  • Configurou a segurança do seu router para que os hackers não possam aceder a todos os dispositivos da sua rede, obter as suas palavras-passe, ou utilizar os seus sistemas como um bot nos seus ataques. Para ter a certeza, toque ou clique aqui para cinco configurações de segurança do router a ligar antes que seja tarde demais. Depois de o fazer,

As regras básicas para as palavras-passe são 1. Tem de conter uma colecção aleatória de letras (maiúsculas e minúsculas), números e símbolos; 2. Tem de ter oito caracteres ou mais; e 3. Tem de ser criada uma palavra-passe única para cada conta.

É uma ordem alta. Embora algo como “Tl|_|,BwwB2R” seja realmente forte, não é fácil de lembrar. Ou será? Deixe-nos mostrar-lhe como é que a criámos.

Comece por pensar numa frase aleatória. Pode usar uma frase, citação, ou mesmo uma letra de canção. Escolhemos uma letra a partir de uma canção de Bruce Springsteen: “Vagabundos como nós, bebé, nascemos para correr”.

Pegámos no primeiro personagem de cada palavra para obter “tlu, bwwbtr”. Nada mal, mas podia ser melhor. Assim, acrescentámos alguns símbolos no lugar de letras semelhantes. U torna-se |__|, o “para” da letra original torna-se 2. Depois, capitalizámos algumas das letras para fazer uma palavra-passe forte que eu possa facilmente lembrar: “Tl|_|,BwwwB2R”.

Uma vez que se tem que se pode ajustar a mesma palavra-passe para várias contas. Para o Facebook, pode fazer “Tl|_|,BwwwB2RFB”. A Amazon pode ser “AmzTl|_|,BwwwB2R”. Pode fazer um esquema consistente. Toque ou clique aqui para mais ajuda na criação de palavras-passe mais fortes.

Esta é uma ordem alta. Embora algo como “Tl|_|,BwwB2R” seja realmente forte, não é fácil de lembrar. Ou será? Deixem-me mostrar-vos como é que a criei.

Os hackers podem descobrir rapidamente a sua palavra-passe, mas não conseguem descobrir o código secreto e único que o seu banco lhe envia. A autenticação com dois factores (2FA) é um poderoso método de segurança porque os hackers teriam de roubar fisicamente o seu telefone, introduzir a palavra-passe correcta e depois introduzir esse código secreto.

Na sequência de hackers em grande escala, a maioria das grandes contas oferece autenticação de dois factores, desde os meios de comunicação social aos bancos. Se não tiver a certeza de como criar 2FA nas suas contas, temos a sua retaguarda. Toque ou clique aqui para ver os passos para o fazer nas suas contas mais populares visadas pelos hackers.

3. Mantenha-se a par de todos os seus cêntimos

A maioria de nós tem pelo menos uma conta bancária (e muitas vezes mais) mais contas de crédito, PayPal, e outros depositários do nosso dinheiro. Estes podem ser difíceis de controlar, especialmente quando se tem investimentos adicionais e objectivos pessoais de poupança.

É mais fácil acompanhar as suas finanças empresariais se todas estas contas estiverem agregadas num único local, mesmo à frente dos seus olhos.

Hoje em dia, isso significa uma aplicação como a Intuit’s Mint. A aplicação da Casa da Moeda, e outras como esta, podem ajudá-lo a definir orçamentos e a gerir as suas contas. Também pode receber lembretes para pagar as facturas quando estas são devidas.

4. Conheça a sua pontuação de crédito

A sua pontuação de crédito irá dizer-lhe muito sobre hackers. Se vir algo suspeito neles, como contas de cartão de crédito que não tenha aberto, pode alertar qualquer agência de crédito que o esteja a denunciar, seja Experian, Equifax, ou TransUnion.

Claro, é mais fácil do que nunca verificar o seu relatório de crédito. Pode verificar sites gratuitos como o site Discover credit card, que diz: “Não tem de ser nosso cliente, e não há ding para o seu crédito”.

O importante é verificar os seus relatórios de crédito. Deve começar com as três agências de crédito, cada uma das quais lhe dá um relatório de crédito gratuito todos os anos. Toque ou clique aqui para saber como verificar o seu crédito gratuitamente.

5. Congelar o seu crédito

Já deve ter ouvido conselheiros financeiros a dizer às pessoas para congelarem o seu crédito. Mas pode não saber porque é que eles sugerem isso.

Aqui está uma visão geral simples. Os hackers terão dificuldade em aceder às suas informações pessoais se tiver pedido às agências de crédito para congelar o seu crédito – também não poderá aceder, a menos que lhes peça para o descongelar.

O governo federal exige que possa congelar o seu crédito gratuitamente telefonando para as três agências de crédito, Experian, Equifax, e TransUnion. Eles têm de congelar o seu crédito no prazo de um dia útil após o pedido de congelamento por telefone ou nos seus websites.

Congelar o seu crédito

Uma vez que os cibercriminosos estão sempre a surgir com novas fraudes e melhores ferramentas, nada é 100% seguro. Mas, a incorporação destas simples configurações de segurança ajudará a salvaguardar as suas contas bancárias online e dar-lhe-á uma oportunidade de luta.

Se estiver preocupado com a segurança das suas contas online mais sensíveis, uma chave física serve como backup da sua senha para verificar a sua identidade. Eis como funcionam.

O governo federal, a partir deste ano, mandata que possa congelar o seu crédito gratuitamente, ligando para as três agências de crédito, Experian, Equifax e TransUnion. Eles têm de congelar o seu crédito no prazo de um dia útil após o pedido de congelamento por telefone ou nos respectivos sites.

Sob a página Use o seu telefone como segundo passo para iniciar sessão, clique no link Mostrar mais opções e seleccione Chave de Segurança. Clique em Seguinte, depois ligue a sua chave de segurança ao seu computador e clique em OK. Toque no sensor da chave de segurança para a registar, depois nomeie a sua chave de segurança se desejar e clique em Done.

Da próxima vez que precisar de iniciar sessão na sua conta Google, certifique-se de que a chave de segurança está inserida no seu computador. Quando introduzir o seu nome de utilizador e palavra-passe, ser-lhe-á pedido que toque na chave para autenticar o seu login. Poderá então utilizar a mesma chave de segurança em qualquer navegador e em qualquer computador para iniciar sessão na sua conta.

Configurar uma chave de segurança com um dispositivo móvel

Para utilizar uma chave de segurança Yubico para autenticações de login no seu telefone, precisa primeiro de descarregar e instalar a aplicação Yubico Authenticator (iOS, Android) no seu dispositivo. Abra a aplicação e siga os passos para ligar o YubiKey ao seu telefone usando USB, Relâmpago, ou NFC sem fios.

Uma chave física serve como backup da sua palavra-passe para verificar a sua identidade. O tipo certo de chave pode funcionar com o seu computador e telemóvel, através de uma ligação física ou sem fios. Mesmo que alguém descobrisse a palavra-passe de uma das suas contas, não conseguiria entrar sem a chave física. Desde que a chave seja segura e protegida, a sua informação privada está protegida.

Encontrará uma variedade de chaves de segurança para venda, incluindo as do Google, Yubico, e Thetis. A chave de que necessita depende das suas necessidades específicas. Se pretende ligá-la ao seu computador, escolha uma com um conector USB. Para dispositivos móveis, existem chaves com conectores USB-C ou Lightning para dispositivos Android ou iOS. Pode também querer uma que utilize NFC para ligar sem fios, que cobrirá todas as suas bases e não lhe exigirá que ligue a chave de cada vez.

Para esta história, estou a utilizar uma chave de segurança YubiKey 5C NFC da Yubico, devido ao seu suporte para computadores e dispositivos móveis. Esta chave tem tanto um conector USB-C como um NFC incorporado para uma ligação sem fios. Eis como utilizar uma chave de segurança física para proteger as suas contas online.

Configurar uma chave de segurança com um PC Windows

Uma acção que poderá querer tomar é assegurar o seu login no Windows 10 com uma chave de segurança. Neste caso, a chave funciona como uma forma de autenticação de segurança para além do seu nome de utilizador e palavra-passe. No entanto, existe aqui uma grande limitação. A YubiKey funciona apenas com uma conta local no Windows; não funcionará se utilizar uma conta da Microsoft para iniciar sessão no Windows 10. Pode ter tanto uma conta Microsoft como uma conta local no computador, mas o YubiKey só o logará no local.

Para que isto funcione, terá de descarregar a aplicação Yubico Login para Windows clicando em Yubico Login para Windows (64 bit) ou Descarregar Yubico Login para Windows (32 bit), dependendo do seu sabor do Windows 10. Instale o programa e reinicie o seu computador. No menu Iniciar, abra a pasta para Yubico e clique no atalho para Configuração de Login, depois siga os passos nesta ferramenta para configurar a sua chave.

Depois da sua chave ter sido configurada, reinicie novamente o computador. No ecrã de início de sessão do Windows 10, certifique-se de que o seu login está configurado para utilizar o login Yubico no canto inferior esquerdo do ecrã. Introduza o seu nome de utilizador e palavra-passe do Windows 10. Se o YubiKey ainda não tiver sido inserido, ser-lhe-á pedido que o insira e tente novamente. Deverá então iniciar sessão no Windows.

Se tiver algum problema na configuração do YubiKey, consulte o Guia de Configuração do YubiKey para Windows.

Também pode utilizar o YubiKey como autenticação para iniciar sessão numa variedade de websites, e não apenas naqueles que suportam a norma FIDO2. O número de websites que aceitam chaves de segurança física é limitado mas está sempre a crescer. No entanto, o Google suporta-o, pelo que serviços como o Gmail, Google Calendar, Google Maps, Google Drive, Google Docs, e YouTube, todos trabalharão com uma chave de segurança.

Configurar uma chave de segurança com contas online

Abra o seu navegador favorito (Chrome, Firefox, e Edge são todos suportados) e inicie sessão na sua página de Contas Google. No painel da esquerda, seleccione a configuração para Segurança, depois desça a página e clique em 2 passos de verificação. No ecrã seguinte, clique no botão Começar e inicie sessão com a sua conta Google, se tal lhe for solicitado.

Sob a página Use o seu telefone como segundo passo para iniciar sessão, clique no link Mostrar mais opções e seleccione Chave de Segurança. Clique em Seguinte, depois ligue a sua chave de segurança ao seu computador e clique em OK. Toque no sensor da chave de segurança para a registar, depois nomeie a sua chave de segurança se desejar e clique em Done.

Configurações críticas para que os hackers não possam aceder à sua conta bancária USA TODAY

Pode parecer óbvio que precisa de uma senha forte para impedir que os hackers acedam às suas informações privadas e relatórios financeiros. (Foto: Getty Images/iStockphoto)

Pode agora utilizar a sua chave de segurança Yubico para iniciar sessão em aplicações e websites suportados com o seu telefone. Yubico tem uma base de dados de websites e aplicações compatíveis com YubiKey, que pode utilizar para criar as suas contas existentes com maior segurança. Clique num website suportado, tal como o Twitter, e seleccione o botão Get Setup Instructions.

Autenticação de dois factores . Primeiro terá de configurar a autenticação através de mensagem de texto ou aplicação de autenticação. Uma vez definida, marcar a caixa ao lado da Chave de Segurança.

Ligue a sua chave de segurança ou segure-a na parte superior do seu telefone. Crie um PIN ou palavra-passe para proteger este método de login. Deverá então receber uma mensagem dizendo-lhe que está tudo definido. Da próxima vez que tentar iniciar sessão no Twitter móvel, introduza o seu nome de utilizador e palavra-passe e depois ligue ou segure a sua chave de segurança ao lado do seu telefone para autenticar a sua conta.

Partilhar:

On your phone, sign into the Twitter website. Go to Settings and Privacy > Security and account access > Security >Clique para partilhar no Twitter (Abre em nova janela)

Clique para partilhar no Facebook (Abre em nova janela)

O acesso privilegiado pode ser limitado para que apenas pessoas autorizadas possam consultar dados pessoais de clientes, segredos comerciais, negociações em curso, propriedade intelectual, dados financeiros, entre outros.

A Gestão de Acesso Privilegiado pode direccionar qual o acesso que cada funcionário terá autorização. Assim, só poderão consultar informações relevantes para as suas tarefas. Tudo isto será controlado pelo sistema, independentemente de estarem a trabalhar pessoalmente ou à distância.

Para além dos dados internos, a fim de ter um maior controlo sobre a protecção contra ataques, é também possível restringir o acesso a conteúdos externos em websites e aplicações que representem um certo tipo de ameaça à segurança de uma empresa.

É Possível Proteger as Minhas Palavras-Passe na Nuvem?

Sim. senhasegura é a única empresa no Brasil que oferece um cofre de senhas nativo das nuvens. O serviço SaaS protege as suas credenciais, oferece rotação de senhas, auditoria, e monitorização destas contas privilegiadas.

Desta forma, minimiza as funções do departamento administrativo de segurança e permite que o processo decorra de forma eficiente e a um custo mais baixo. Por conseguinte, é ideal para pequenas e médias empresas, devido às suas vantagens.

O PAM é a mesma coisa que o IAM?

Não. Embora ambos tenham o princípio de controlar os dados de uma empresa, os dois funcionam normalmente de forma complementar, cada um com a sua própria funcionalidade.

Em comparação, podemos dizer que o PAM é um pouco mais elaborado. A Gestão de Identidade e Acesso (IAM) é uma ferramenta utilizada pelos administradores para gerir facilmente os utilizadores e legitimar o acesso a determinados recursos da empresa.

Apesar disso, este tipo de sistema tem algumas lacunas quando se trata de contas privilegiadas. É neste ponto que o PAM se torna essencial, pois funciona de uma forma mais ampla e detalhada. Esta solução pode informá-lo de tudo o que está a ser feito, que sessões foram iniciadas, e quem está a aceder a certas informações.

Em suma, uma solução PAM controla tudo relacionado com estes dados dentro da empresa, conseguindo filtrar a acessibilidade e assegurar o armazenamento seguro de toda a informação.

Tem mais alguma pergunta sobre o assunto? Entre em contacto com a equipa senhasegura, pois podemos ajudá-lo a encontrar o produto ideal para as suas necessidades.

Garantir a segurança da sua empresa já não tem de ser uma preocupação. Temos a certeza disso, pois somos especialistas quando se trata de PAM Solution. Visite o nosso website e saiba mais sobre todos os nossos produtos e serviços.