Seria um mundo ideal se todo mundo fosse honesto e a gente não precisasse se preocupar com assaltos, roubos, furtos, etc, inclusive no mundo digital. Mas o mundo ideal não existe e devemos nos proteger e deixar as chances a nosso favor.
Este tópico foi inspirado neste aqui
Extorsão e proteção de Dados - Tecnologia - Bastter.com e em experiências anteriores.
Por que experiências anteriores? Porque já tive a conta em dois sites de e-commerce invadidas e fizeram compras no meu nome (embora sem ter usado meu cartão então não adiantou de nada) e eu saí mudando todas minhas senhas em todos os sites que eu tinha cadastro para senhas que eu nunca lembrei nem vou lembrar e sempre que precisava acessar esses sites eu ia no bom e velho "esqueci minha senha". Segurança quase garantida mas uma falta de paz danada sempre ter que pedir recuperação de senha e depender do serviço do site de enviar o email de confirmação de conta logo. Já teve vez que esperei horas e nada de email e não consegui resolver meu problema.
Então vamos ver formas de tornar nossas contas mais seguras:
1 - Não use a mesma senha para mais de um serviço
Meio óbvio, né. Inclusive valeu pro meu caso acima. Eu usava a mesma senha em vários sites de e-commerce, e variações da mesma senha em outros sites. Bastou descobrir uma senha que um invasor poderia invadir vários outros sites e pegar dados meus. Então sempre tenha senhas diferentes.
2 - Use senhas fortes, e não senhas estilo "euamomeucachorro" ou "123456"
Esqueça aquela senha que combina o nome da sua mãe com o do seu(sua) namorado(a) e sua data de nascimento.
Senha de banco com os primeiros dígitos do aniversário de 3 membros familiares.
Senha de acesso ao internet banking com o mesmo número do seu celular.
Use variações dessas senhas. Varie e torne elas umas loucuras de caracteres cheios de caracteres especiais como %&*()!@se possível for.
Mas entramos num problema aqui. Onde eu vou armazenar 20 senhas impossíveis de memorizar?
Num caderno no meu quarto? E se eu estiver na rua e precisar acessar uma dessas contas no meu celular?
Num bloco de notas no celular? E se roubarem meu celular? Vão ter todas minhas senhas!
Qualquer outra opção aqui é complicada, então a melhor solução seria...
3 - Use gerenciadores de senhas
Um gerenciador de senha é um programa que vai armazenar todas suas senhas (espera-se que com criptografia em cima) e você só precisa memorizar uma senha, que é a senha do aplicativo ou programa.
E porque eu falei que espera-se que a senha seja armazenada de forma criptografada?
Quem aqui nunca pediu um email de recuperação de senha e recebeu a própria senha antiga ou uma nova senha que já era possível usar no site e deixar essa senha lá?
Essa é uma péssima prática de segurança da informação, pois se você recebeu sua senha limpa e seca no seu email saiba que ela não estava tão bem protegida assim, pois é uma má prática armazenar a senha limpa e seca em bancos de dados, mas era isso que era feito antigamente.
Hoje o certo a se fazer em segurança da informação é armazenar não a senha mas um hash da senha, que, grosso modo, é um conjunto de caracteres gerados por um algoritmo de segurança que bate com a sua senha e ao se fazer um novo login o que é comparado com o dado do banco é o hash da senha e não a senha em si. Mas isso é papo pra outro tópico. Hashs dão um tópico inteiro só sobre eles. Para efeitos deste tópico, saiba que senhas armazenadas em hash são mais seguras e aqueles serviços que você recebia a senha limpa e seca não prezam pela segurança da sua informação.
Dentre os gerenciadores de senha temos algumas opções, sendo possível usar um gerenciador no seu desktop, que vai funcionar offline, como é possível usar um gerenciador online.
Teoricamente gerenciadores locais (como o KeePass), no seu desktop, são mais seguros. São programas que geram senhas criptografadas das senhas que você salva e por não funcionarem online ficam menos vulneráveis a ataques.
Mas temos alguns contras como a falta de praticidade. Se ele é armazenado localmente, você não vai conseguir obter a senha no seu celular. Se roubarem seu computador ou ele pifar, já era, pois as senhas ficam gravadas no disco rígido ou SSD.
Gerenciadores online (como o Lastpass, Keypass, Password Safe, etc) trazem praticidade, pois é possível acessar as senhas de qualquer dispositivo, basta ter conexão à internet. Muitos deles disponibilizam extensões de navegador, então você pode acessar seus sites no navegador no desktop e também pode usar aplicativos para ter acesso a suas senhas no celular. A maioria dos gerenciadores sugere as senhas pra você, você nem precisa pensar na senha.
As senhas são armazenadas de forma criptografada, o que dificulta a vida de um invasor.
Os contras são decorrentes dessa praticidade. As senhas ficam armazenadas online, então ficam mais à vista de invasores. Eles terão mais trabalho para descriptografar suas senhas mas não é impossível. Por isso memorize uma senha bastante forte, a do gerenciador de senhas, e não esqueça ela de forma alguma.
EDIT para adicionar uma contribuição do @gustavo:
"
é bem complicado confiar em gerenciadores de senha...
https://www.washingtonpost.com/technology/2019/02/19/password-managers-have-security-flaw-you-should-still-use-one/existem algumas técnicas de como ter uma "lógica mental" para criar e lembrar várias senhas
how to create memorable password - Google Search
se ainda assim for usar gerenciador
pelo menos salve as senhas com um "erro" q vc lembre de corrigir na hora de usar
não salve a senha associada ao serviço
e melhor ainda sem o login/email associado
caso o gerenciador seja quebrado ou vazado, suas senhas serão inúteis por quem tiver acesso a elas
"
Achei interessante a ideia de salvar com um erro as senhas, assim você não perde a praticidade e basta alterar alguns caracteres para um padrão que você criar.
Lembrando sempre que 100% seguro não existe, então podem ocorrer falhas em qualquer sistema de segurança.
Mas e se mesmo assim eu tiver minha conta do Lastpass ou Keypass ou etc invadida? Como me proteger?
4 - Use autenticação de dois fatores.
Autenticação de dois fatores acrescenta uma camada extra de proteção.
Você teve a senha descoberta por um invasor? Ele não vai conseguir acessar seu Gmail se você tiver ativado a autenticação de dois fatores com o uso de um aplicativo gerador de token (a não ser que você tenha sido sequestrado rs não existe segurança 100%).
Dessa forma, você pode adicionar camadas extras de proteção que podem ser o envio de um SMS, uma ligação informando um código, o envio de um Token por email, ou outras formas de proteção que o serviço que você tem conta oferece.
Email principal sem autenticação de dois fatores, mesmo usando gerenciador de senhas, tem um certo nível de vulnerabilidade. Onde for possível usar a autenticação de dois fatores, use, principalmente se for um serviço que você use para atividades sensíveis ou que tenha dados sensíveis seus.
EDIT para incluir a contribuição do @Catullus:
"1. Gerenciador de senhas com autenticação em dois fatores que não seja por SMS;
2. Senha individual para cada conta de e-mail. Essas não entram no gerenciador de senhas. + autenticação em dois fatores sem ser por SMS;
3. Senhas de banco não entram no gerenciador, é preciso ter algum padrão (que não seja óbvio) para lembrá-las.
Por que não usar 2FA por SMS? Porque esse é o elo mais fraco da corrente. Se conseguirem clonar seu chip, teriam acesso a tudo. Não precisariam nem saber a senha, bastaria clicar em "esqueci a senha" e digitar o código recebido."
Esqueci no post original de falar das melhores formas de utilizar autenticação de dois fatores. Como dito acima, SMS é um ponto fraco pois pode haver clonagem de chip. Formas alternativas melhores são usar aplicativos geradores de token como o Google Authenticator, o Authenticator da Microsoft, etc...
O próprio Google usa algumas opções ao acessar a conta do Google e uma delas é se você usa Android, vai uma notificação no seu celular. Outra opção é o Google Authenticator como falei acima. Procure as opções disponíveis que são várias.
SMS é um two pass fraco mas melhor ele do que nenhum. Mas havendo a opção de outra forma, use outra forma mais segura.
E era isso que eu tinha pra falar. Segurança 100% não existe mas usem as chances ao seu favor.
Se tiverem mais sugestões sobre o assunto por favor façam nos comentários abaixo.
