Segurana em Senhas

Esta obra foi originalmente desenvolvida pelo CERT.br, do NIC.br, com o propsito de promover a conscien<zao sobre o uso seguro da Internet e baseia-se na Car<lha de Segurana para Internet (hEp://car<lha.cert.br/). Esta obra foi licenciada sob a licena Crea<ve Commons Atribuio-Uso no-comercial-Compar<lhamento pela mesma licena 3.0 Brasil (CC BY-NC-SA 3.0). O CERT.br/NIC.br concede a Voc uma licena de abrangncia mundial, sem royal<es, no-exclusiva, sujeita aos termos e condies desta Licena, para exercer os direitos sobre a Obra denidos abaixo a.Reproduzir a Obra, incorporar a Obra em uma ou mais Obras Cole<vas e Reproduzir a Obra quando incorporada em Obras Cole<vas; b.Criar e Reproduzir Obras Derivadas, desde que qualquer Obra Derivada, inclusive qualquer traduo, em qualquer meio, adote razoveis medidas para claramente indicar, demarcar ou de qualquer maneira iden<car que mudanas foram feitas Obra original. Uma traduo, por exemplo, poderia assinalar que A Obra original foi traduzida do Ingls para o Portugus, ou uma modicao poderia indicar que A Obra original foi modicada; c.Distribuir e Executar Publicamente a Obra, incluindo as Obras incorporadas em Obras Cole<vas; e, d.Distribuir e Executar Publicamente Obras Derivadas. Desde que respeitadas as seguintes condies: Atribuio Voc deve fazer a atribuio do trabalho, da maneira estabelecida pelo <tular originrio ou licenciante (mas sem sugerir que este o apoia, ou que subscreve o seu uso do trabalho). No caso deste trabalho, deve incluir a URL para o trabalho original (Fonte hEp://car<lha.cert.br/) em todos os slides. Uso no comercial Voc no pode usar esta obra para ns comerciais. Compar;lhamento pela mesma licena Se voc alterar, transformar ou criar em cima desta obra, voc poder distribuir a obra resultante apenas sob a mesma licena, ou sob uma licena similar presente. Aviso Em todas as reu<lizaes ou distribuies, voc deve deixar claro quais so os termos da licena deste trabalho. A melhor forma de faz-lo, colocando um link para a seguinte pgina hEp://crea<vecommons.org/licenses/by-nc-sa/3.0/br/ A descrio completa dos termos e condies desta licena est disponvel em: hEp://crea<vecommons.org/licenses/by-nc-sa/3.0/br/legalcode

http://cartilha.cert.br/fasciculos/

Segurana em Senhas

Agenda: Senhas: introduz o conceito de senhas e apresenta algumas das formas como as senhas podem ser indevidamente descobertas. Riscos principais: apresenta algumas das aes que um invasor pode executar caso tenha acesso as senhas. Cuidados a serem tomados: apresenta os cuidados que devem ser tomados para proteger as senhas. Crditos

http://cartilha.cert.br/fasciculos/

Segurana em Senhas

Senhas: Uma senha, ou password, serve para auten<car uma conta, ou seja, usada no processo de vericao da sua iden<dade, assegurando que voc realmente quem diz ser e que possui o direito de acessar o recurso em questo. um dos principais mecanismos de auten<cao usados na Internet devido, principalmente, a simplicidade que possui. A sua conta de usurio de conhecimento geral e o que permite a sua iden<cao. Ela , muitas vezes, derivada do seu prprio nome, mas pode ser qualquer sequncia de caracteres que permita que voc seja iden<cado unicamente, como o seu endereo de e-mail. Para garan<r que ela seja usada apenas por voc, e por mais ningum, que existem os mecanismos de auten<cao. Existem trs grupos bsicos de mecanismos de auten<cao, que se u<lizam de: aquilo que voc : informaes biomtricas (impresso digital, palma da mo, voz e olho). aquilo que apenas voc possui: carto de senhas bancrias, token gerador de senhas. aquilo que apenas voc sabe: perguntas de segurana, senhas.

http://cartilha.cert.br/fasciculos/

Segurana em Senhas

Senhas: Algumas das formas como a sua senha pode ser descoberta so: ao ser usada em computadores infectados. Muitos cdigos maliciosos, ao infectar um computador, armazenam as teclas digitadas (inclusive senhas), espionam o teclado pela webcam (caso voc possua uma e ela esteja apontada para o teclado) e gravam a posio da tela onde o mouse foi clicado; ao ser usada em sites falsos (phishing). Ao digitar a sua senha em um site falso, achando que est no site verdadeiro, um atacante pode armazen-la e, posteriormente, us-la para acessar o site verdadeiro e realizar operaes em seu nome; por meio de tenta<vas de adivinhao; ao ser capturada enquanto trafega na rede, sem estar criptografada; por meio do acesso ao arquivo onde a senha foi armazenada caso ela no tenha sido gravada de forma criptografada; com o uso de tcnicas de engenharia social, como forma a persuadi-lo a entreg-la voluntariamente; pela observao da movimentao dos seus dedos no teclado ou dos cliques do mouse em teclados virtuais.

http://cartilha.cert.br/fasciculos/

Segurana em Senhas

Riscos principais: Nos prximos slides so apresentados alguns dos principais riscos relacionados ao uso de senhas.

http://cartilha.cert.br/fasciculos/

Segurana em Senhas

Riscos principais: Se uma outra pessoa souber a sua conta de usurio e <ver acesso sua senha ela poder us-las para se passar por voc na Internet e realizar aes em seu nome, como: acessar a sua conta de correio eletrnico e: ler seus e-mails; furtar sua lista de contatos; enviar mensagens em seu nome, contendo spam, boatos, phishing e cdigos maliciosos; pedir o reenvio de senhas de outras contas para este endereo de e-mail (e assim conseguir acesso a elas); trocar sua senha, dicultando que voc acesse novamente sua conta.

http://cartilha.cert.br/fasciculos/

Segurana em Senhas

Riscos principais: Se uma outra pessoa souber a sua conta de usurio e <ver acesso sua senha ela poder us-las para se passar por voc na Internet e realizar aes em seu nome, como: acessar o seu computador e : obter informaes sensveis nele armazenadas, como senhas e nmeros de cartes de crdito; apagar seus arquivos; instalar cdigos e servios maliciosos; u<lizar o seu computador para esconder a real iden<dade desta pessoa (o invasor) e, ento, desferir ataques contra computadores de terceiros; trocar sua senha, dicultando que voc o acesse novamente.

http://cartilha.cert.br/fasciculos/

Segurana em Senhas

Riscos principais: Se uma outra pessoa souber a sua conta de usurio e <ver acesso sua senha ela poder us-las para se passar por voc na Internet e realizar aes em seu nome, como: acessar a sua rede social e: denegrir a sua imagem; explorar a conana de seus amigos/seguidores ; enviar mensagens em seu nome, contendo: spam, boatos, phishing e cdigos maliciosos; alterar as conguraes feitas por voc, tornando pblicas informaes privadas; trocar sua senha, dicultando que voc acesse novamente seu perl.

http://cartilha.cert.br/fasciculos/

Segurana em Senhas

Riscos principais: Se uma outra pessoa souber a sua conta de usurio e <ver acesso sua senha ela poder us-las para se passar por voc na Internet e realizar aes em seu nome, como: acessar a sua conta bancria e vericar o seu saldo e extrato; acessar o seu site de comrcio eletrnico e: fazer compras em seu nome; alterar as informaes de cadastro; vericar informaes sobre suas compras anteriores. acessar o seu disposi<vo mvel e: furtar sua lista de contatos e suas mensagens; acessar e/ou copiar fotos e vdeos; bloquear o acesso ao disposi<vo; apagar completamente os dados nele armazenados.

http://cartilha.cert.br/fasciculos/

Segurana em Senhas

Cuidados a serem tomados: Nos prximos slides so apresentados alguns dos principais cuidados que devem ser tomados relacionados a senhas.

http://cartilha.cert.br/fasciculos/

10

Segurana em Senhas

Elaborao de senhas: Uma senha boa, bem elaborada, aquela que dikcil de ser descoberta (forte) e fcil de ser lembrada. No convm que voc crie uma senha forte se, quando for us-la, no conseguir record-la. Tambm no convm que voc crie uma senha fcil de ser lembrada se ela puder ser facilmente descoberta por um atacante. Alguns elementos que voc no deve usar na elaborao de suas senhas so: Qualquer ;po de dado pessoal: evite nomes, sobrenomes, contas de usurio, nmeros de documentos, placas de carros, nmeros de telefones e datas (estes dados podem ser facilmente ob<dos e usados por pessoas que queiram tentar se auten<car como voc). Sequncias de teclado: evite senhas associadas proximidade entre os caracteres no teclado, como 1qaz2wsx e QwerTAsdfG, pois so bastante conhecidas e podem ser facilmente observadas ao serem digitadas. Palavras que faam parte de listas: evite palavras presentes em listas publicamente conhecidas, como nomes de msicas, <mes de futebol, personagens de lmes, dicionrios de diferentes idiomas, etc. Existem programas que tentam descobrir senhas combinando e testando estas palavras e que, portanto, no devem ser usadas. http://cartilha.cert.br/fasciculos/ 11

Segurana em Senhas

Elaborao de senhas: Alguns elementos que voc deve usar na elaborao de suas senhas so: Nmeros aleatrios: quanto mais ao acaso forem os nmeros usados melhor, principalmente em sistemas que aceitem exclusivamente caracteres numricos. Grande quan;dade de caracteres: quanto mais longa for a senha mais dikcil ser descobri-la. Apesar de senhas longas parecerem, a princpio, dikceis de serem digitadas, com o uso frequente elas acabam sendo digitadas facilmente. Diferentes ;pos de caracteres: quanto mais bagunada for a senha mais dikcil ser descobri-la. Procure misturar caracteres, como nmeros, sinais de pontuao e letras maisculas e minsculas. O uso de sinais de pontuao pode dicultar bastante que a senha seja descoberta, sem necessariamente torn-la dikcil de ser lembrada.

http://cartilha.cert.br/fasciculos/

12

Segurana em Senhas

Elaborao de senhas: Algumas dicas pr<cas que voc pode usar na elaborao de boas senhas so: Selecione caracteres de uma frase: baseie-se em uma frase e selecione a primeira, a segunda ou a l<ma letra de cada palavra. Exemplo: com a frase O Cravo brigou com a Rosa debaixo de uma sacada voc pode gerar a senha ?OCbcaRddus (o sinal de interrogao foi colocado no incio para acrescentar um smbolo senha). U;lize uma frase longa: escolha uma frase longa, que faa sen<do para voc, que seja fcil de ser memorizada e que, se possvel, tenha diferentes <pos de caracteres. Evite citaes comuns (como ditados populares) e frases que possam ser diretamente ligadas voc (como o refro de sua msica preferida). Exemplo: se quando criana voc sonhava em ser astronauta, pode usar como senha 1 dia ainda verei os aneis de Saturno!!!. Faa subs;tuies de caracteres: invente um padro de subs<tuio baseado, por exemplo, na semelhana visual (w e vv) ou de fon<ca (ca e k) entre os caracteres. Crie o seu prprio padro pois algumas trocas j so bastante bvias. Exemplo: duplicando as letras s e r, subs<tuindo o por 0 (nmero zero) e usando a frase Sol, astro-rei do Sistema Solar voc pode gerar a senha SS0l, asstrr0-rrei d0 SSisstema SS0larr .

http://cartilha.cert.br/fasciculos/

13

Segurana em Senhas

Uso de senhas: No exponha suas senhas cer<que-se de no estar sendo observado ao digit-las; no as deixem anotadas em locais onde outros possam ver um papel sobre sua mesa ou colado em seu monitor; evite digit-las em computadores e disposi<vos mveis de terceiros. No fornea suas senhas para outras pessoas cuidado com e-mails/telefonemas pedindo dados pessoais. Use conexes seguras sempre que o acesso envolver senhas

http://cartilha.cert.br/fasciculos/

14

Segurana em Senhas

Uso de senhas: Evite: salvar as suas senhas no navegador Web; usar opes, como "Lembre-se de mim" e "Con<nuar conectado; usar a mesma senha para todos os servios que acessa (basta ao atacante conseguir uma senha para ser capaz de acessar as demais contas onde ela seja usada). No use senhas de acesso prossional para acessar assuntos pessoais (e vice- versa). Respeite os contextos.

http://cartilha.cert.br/fasciculos/

15

Segurana em Senhas

Uso de senhas: Crie grupos de senhas, de acordo com o risco envolvido: Crie senhas: nicas e fortes e use-as onde haja recursos valiosos envolvidos. Exemplo: para acesso a Internet Banking ou e-mail; nicas, um pouco mais simples, para casos nos quais o valor dos recursos protegidos inferior. Exemplo: sites de comrcio eletrnico, desde que as informaes de pagamento no sejam armazenadas para uso posterior; simples e reu<lizadas para acessos sem risco. Exemplo: baixar um arquivo. Armazene suas senhas de forma segura: anote-as em um papel e guarde-o em local seguro: este mtodo prefervel a usar senhas fracas pois, mais fcil garan<r que ningum ter acesso ao papel do que evitar que uma senha fraca seja descoberta;. grave-as em um arquivo criptografado: mantenha-a um arquivo criptografado e use-o para cadastrar manualmente suas contas e senhas; use programas gerenciadores de contas/senhas: programas deste <po permitem armazenar grandes quan<dades de contas/senhas em um nico arquivo, acessvel por meio de uma chave mestra.

http://cartilha.cert.br/fasciculos/

16

Segurana em Senhas

Alterao de senhas: Voc deve alterar a sua senha: Imediatamente: sempre que desconar que ela pode ter sido descoberta ou que o computador no qual voc a u<lizou pode ter sido invadido ou infectado. Rapidamente: se um computador onde a senha esteja armazenada seja furtado/perdido; se usar um padro para a formao de senhas e desconar que uma delas tenha sido descoberta (tanto o padro como todas as senhas elaboradas com ele devem ser trocadas pois, com base na senha descoberta, um atacante pode conseguir inferir as demais); se usar uma mesma senha em mais de um lugar e desconar que ela tenha sido descoberta em algum deles (esta senha deve ser alterada em todos os lugares nos quais usada); ao adquirir equipamentos acessveis via rede, como roteadores Wi-Fi e e modems ADSL (muitos destes equipamentos so congurados de fbrica com senha padro, facilmente ob<da na Internet e por isto, se possvel, deve ser alterada). Regularmente: nos demais casos, como forma de assegurar a condencialidade.

http://cartilha.cert.br/fasciculos/

17

Segurana em Senhas

Recuperao de senhas: Mesmo que voc tenha tomado cuidados para elaborar a sua senha e usado mecanismos de gerenciamento, podem ocorrer casos de voc perd-la. Para restabelecer o acesso perdido, alguns sistemas disponibilizam recursos como: permi<r que voc responda a uma pergunta previamente determinada; enviar a senha (atual ou nova) para o e-mail de recuperao previamente denido; conrmar suas informaes cadastrais, como data de aniversrio, pas de origem, nome da me, nmeros de documentos, etc; apresentar uma dica de segurana previamente cadastrada; enviar por mensagem de texto para um nmero de celular previamente cadastrado. Ao usar perguntas de segurana: evite cadastrar questes que possam ser facilmente descobertas, como o nome do seu cachorro ou da sua me; procure criar suas prprias perguntas e, de preferncia, com respostas falsas. Exemplo: caso voc tenha medo de altura, pode criar a pergunta "Qual seu esporte favorito?" e colocar como resposta "paraquedismo" ou "alpinismo.

http://cartilha.cert.br/fasciculos/

18

Segurana em Senhas

Recuperao de senhas: Ao usar dicas de segurana, escolha aquelas que sejam vagas o suciente para que ningum consiga descobri-las e claras o bastante para que voc consiga entend-las. Exemplo: se usar a senha SS0l, asstrr0-rrei d0 SSisstema SS0larr, cadastre a dica Uma das notas musicais, isso o far se lembrar de Sol e se recordar da senha.

Ao solicitar o envio de suas senhas por e-mail: procure alter-las o mais rpido possvel. Muitos sistemas enviam as senhas em texto claro, ou seja, sem nenhum <po de criptograa e elas podem ser ob<das caso algum tenha acesso sua conta de e-mail ou use sniers; cer<que-se de cadastrar um e-mail de recuperao que voc acesse regularmente para no esquecer a senha desta conta tambm; procure no depender de programas gerenciadores de senhas para acessar o e-mail de recuperao (caso voc esquea sua chave mestra ou, por algum outro mo<vo, no tenha mais acesso s suas senhas, o acesso ao e-mail de recuperao pode ser a nica forma de restabelecer os acessos perdidos); preste muita ateno ao cadastrar o e-mail de recuperao para no digitar um endereo que seja invlido ou pertencente a outra pessoa. Para evitar isto, muitos sites enviam uma mensagem de conrmao assim que o cadastro realizado. Tenha certeza de receb-la e de que as eventuais instrues de vericao tenham sido executadas.

http://cartilha.cert.br/fasciculos/

19

Segurana em Senhas

Phishing e cdigos maliciosos: Descone de mensagens recebidas: no considere que uma mensagem convel com base na conana que voc deposita em seu remetente, pois ela pode ter sido enviada de contas invadidas, de pers falsos ou pode ter sido forjada. Evite clicar/seguir links recebidos via mensagens eletrnicas: procure digitar a URL diretamente no navegador. Evite usar sites de busca para acessar servios que requeiram senhas, como seu Webmail e sua rede social. Seja cuidadoso ao acessar links reduzidos: Use complementos que permitam expandir o link antes de clicar sobre ele

http://cartilha.cert.br/fasciculos/

20

Segurana em Senhas

Privacidade: Procure reduzir a quan;dade de informaes que possam ser coletadas sobre voc. Elas podem ser usadas para adivinhar as suas senhas. Seja cuidadoso com as informaes que voc disponibiliza em blogs e redes sociais. Elas podem ser usadas por invasores para tentar: conrmar os seus dados cadastrais; descobrir dicas de segurana; responder perguntas de segurana.

http://cartilha.cert.br/fasciculos/

21

Segurana em Senhas

Computador: mantenha os programas instalados com as verses mais recentes; remova programas que voc no u<liza mais. Programas no usados tendem a ser esquecidos e a car com verses an<gas (e potencialmente vulnerveis); remova as verses an<gas; tenha o hbito de vericar a existncia de novas verses, por meio de opes disponibilizadas pelos prprios programas ou acessando diretamente os sites dos fabricantes; mantenha os programas instalados com todas as atualizaes aplicadas; congure, quando possvel, para que os programas sejam atualizados automa<camente; programe as atualizaes autom<cas para serem baixadas e aplicadas em horrios em que seu computador esteja ligado e conectado Internet; use mecanismos de segurana, como programas an<spam, an<malware e rewall pessoal, e assegure-se de mant-los atualizados.

http://cartilha.cert.br/fasciculos/

22

Segurana em Senhas

Computador: nunca compar<lhe a senha de administrador; crie uma conta padro e a u<lize para a realizao de suas tarefas ro<neiras; u<lize a conta de administrador apenas o mnimo necessrio; use a opo de "executar como administrador" quando necessitar de privilgios administra<vos; crie tantas contas padro quantas forem as pessoas que u<lizem o seu computador; assegure que todas as contas existentes em seu computador tenham senha; assegure que o seu computador esteja congurado para solicitar a conta de usurio e a senha na tela inicial; assegure que a opo de login (inicio de sesso) autom<co esteja desabilitada; no crie e no permita o uso de contas compar<lhadas, cada conta deve ser acessada apenas por uma pessoa (assim possvel rastrear as aes realizadas por cada um e detectar uso indevido); crie tantas contas com privilgio de administrador quantas forem as pessoas que usem o seu computador e que necessitem destes privilgios.

http://cartilha.cert.br/fasciculos/

23

Segurana em Senhas

Disposi;vos mveis: Cadastre uma senha de acesso que seja bem elaborada. Se possvel, congure-o para aceitar senhas complexas (alfanumricas). Em caso de perda ou furto altere as senhas que possam estar nele armazenadas.

http://cartilha.cert.br/fasciculos/

24

Segurana em Senhas

Computadores de terceiros: Cer<que-se de fechar a sua sesso (logout) ao acessar sites que requeiram o uso de senhas. Procure, sempre que possvel, u<lizar opes de navegao annima. Evite efetuar transaes bancrias e comerciais. Ao retornar ao seu computador, procure alterar as senhas que, por ventura, voc tenha u<lizado.

http://cartilha.cert.br/fasciculos/

25

Segurana em Senhas

Mantenha-se informado: Material de referncia pode ser encontrado na Car<lha de Segurana para Internet. Novidades e dicas podem ser ob<das por meio do RSS e do TwiEer do CERT.br.

http://cartilha.cert.br/fasciculos/

26

Segurana em Senhas

Mantenha-se informado: Outras fontes de informao disponveis so: Portal Internet Segura, que rene as principais inicia<vas de segurana na Internet no Brasil, auxiliando os internautas a localizarem informaes de interesse e incen<vando o uso seguro da rede; O site da Campanha An<spam.br, onde so descritas vrias inicia<vas no combate ao spam tanto para conscien<zao de usurios como de boas pr<cas para administradores de redes e sistemas.

http://cartilha.cert.br/fasciculos/

27

Segurana em Senhas

ESTE SLIDE NO PODE SER REMOVIDO. DEVE SER EXIBIDO EM TODAS AS REPRODUES, INCLUSIVE NAS OBRAS DERIVADAS Esta obra foi originalmente desenvolvida pelo CERT.br, do NIC.br, e promovida pelo Comit Gestor da Internet no Brasil (CGI.br). Ela faz parte de um conjunto de materiais educa<vos com o propsito de promover a conscien<zao sobre o uso seguro da Internet e baseia-se na Car<lha de Segurana para Internet (hEp://car<lha.cert.br/). Esta obra foi licenciada sob a licena Crea<ve Commons Atribuio-Uso no-comercial-Compar<lhamento pela mesma licena 3.0 Brasil (CC BY-NC-SA 3.0). O CERT.br /NIC.br concede a Voc uma licena de abrangncia mundial, sem royal<es, no-exclusiva, sujeita aos termos e condies desta Licena, para exercer os direitos sobre a Obra denidos abaixo a.Reproduzir a Obra, incorporar a Obra em uma ou mais Obras Cole<vas e Reproduzir a Obra quando incorporada em Obras Cole<vas; b.Criar e Reproduzir Obras Derivadas, desde que qualquer Obra Derivada, inclusive qualquer traduo, em qualquer meio, adote razoveis medidas para claramente indicar, demarcar ou de qualquer maneira iden<car que mudanas foram feitas Obra original. Uma traduo, por exemplo, poderia assinalar que A Obra original foi traduzida do Ingls para o Portugus, ou uma modicao poderia indicar que A Obra original foi modicada; c.Distribuir e Executar Publicamente a Obra, incluindo as Obras incorporadas em Obras Cole<vas; e, d.Distribuir e Executar Publicamente Obras Derivadas. Desde que respeitadas as seguintes condies: Atribuio Voc deve fazer a atribuio do trabalho, da maneira estabelecida pelo <tular originrio ou licenciante (mas sem sugerir que este o apoia, ou que subscreve o seu uso do trabalho). No caso deste trabalho, deve incluir a URL para o trabalho original (Fonte hEp://car<lha.cert.br/) em todos os slides. Uso no comercial Voc no pode usar esta obra para ns comerciais. Compar;lhamento pela mesma licena Se voc alterar, transformar ou criar em cima desta obra, voc poder distribuir a obra resultante apenas sob a mesma licena, ou sob uma licena similar presente. Aviso Em todas as reu<lizaes ou distribuies, voc deve deixar claro quais so os termos da licena deste trabalho. A melhor forma de faz-lo, colocando um link para a seguinte pgina hEp://crea<vecommons.org/licenses/by-nc-sa/3.0/br/ A descrio completa dos termos e condies desta licena est disponvel em: hEp://crea<vecommons.org/licenses/by-nc-sa/3.0/br/legalcode http://cartilha.cert.br/fasciculos/

28