Vamos falar sobre como pode proteger melhor os seus dispositivos e contas online.
O que é a autenticação e por que motivo deve importar?
Muitas vezes, quando precisa de aceder a algo (um dispositivo, uma conta ou até mesmo um local) tem de ter uma forma de provar que é quem diz ser ou, pelo menos, que tem permissão para aceder a essa coisa. Este é um processo a que chamamos "autenticação".
Um exemplo básico é a sua casa. Quando pretende entrar na sua casa, é provável que tenha de utilizar algum tipo de chave para desbloquear a porta. Essa chave física permite-lhe introduzir. Este é um método de autenticação muito básico e que será prejudicado por um grande problema: Se alguém encontrar ou roubar a sua chave, ela poderá entrar na sua casa.
Outro exemplo comum de autenticação é a máquina de pagamento no seu banco. Este é um exemplo ligeiramente mais avançado, uma vez que, em vez de ter apenas uma chave física (normalmente, um cartão asteste na sua carteira) também tem de ter um facto me lembrou – o seu PIN, que normalmente é um número de 4 a 8 dígitos.
Este é um sistema mais seguro porque mesmo que alguém tenha a sua chave física (o cartão) não poderá tirar o seu dinheiro do multibanco porque ainda precisa de saber o seu PIN. Se só têm o seu PIN, continuam a não conseguir obter o seu dinheiro do aparelho porque também precisam do cartão. Precisam de ter ambas as coisas.
Num computador, o tipo de autenticação com que todos estamos familiarizados é ao entrar com um nome de utilizador e palavra-passe. Nestes dias, os nossos dispositivos contêm tantos dos nossos dados importantes que a nossa autenticação é essencial. Se os crooks conseguirem inscrever-se nos seus dispositivos ou serviços à sua medida, podem fazer muitas coisas de mau.
Por isso, vamos ver como os pode proteger facilmente.
Primeiro passo: ativo a autenticação nos seus dispositivos móveis.
A maioria dos smartphones modernos pode desbloquear rapidamente com uma impressão digital ou reconhecimento facial, mas até os que não suportam esses métodos podem ser definidos para exigir que um PIN seja desbloqueado. A turn that on.
Sim, é necessário um passo adicional para desbloquear o telemóvel quando pretender usá-lo, mas adicionar um pequeno passo torna o seu dispositivo muito mais seguro. Se perder o seu telemóvel ou se alguém tiver o seu telefone for perdido ou roubado, é muito menos provável que consiga aceder aos seus dados confidenciais. Isto é especialmente importante se utilizar o seu dispositivo no trabalho ou no banco.
Autenticação multifator (AKA "Verificação em dois passos")
Quando aparece em sua casa e insere a sua chave para desbloquear a porta, essa chave é o que chamamos de "fator". Essa porta bloqueada básica é a autenticação de fator único. Só precisa da chave física.
Existem três tipos básicos de fatores utilizados na autenticação:
-
Algo que sabe – como uma palavra-passe ou um PIN me lembrou.
-
Algo que tem, como um smartphone ou uma chave física, de certa forma.
-
Algo que você é, como a sua impressão digital ou o seu rosto, que o dispositivo pode digitalizar para reconhecê-lo.
A autenticação multifator significa que precisa de mais do que um tipo de fator para entrar. A máquina de pagamento de que falamos é a autenticação de dois fatores – o seu cartão de multibanco a preto e vermelho é um fator e esse PIN me lembrou é o segundo fator.
Quase todos os serviços online agora permite-lhe utilizar a autenticação multifator para também o fazer. Normalmente, o primeiro fator é o seu nome de utilizador e palavra-passe. Normalmente, o segundo fator é um código único especial enviado para o seu smartphone por mensagem SMS. Qualquer pessoa que tentar entrar na sua conta precisaria do seu nome de utilizador e palavra-passe, mas também teria de receber essa mensagem de texto especial. Isto faz com que seja muito mais difícil para os crooks entrarem.
Outra opção para esse segundo fator pode ser uma aplicação de autenticação no seu smartphone, como a aplicação Microsoft Authenticator. A aplicação de autenticação tem algumas formas diferentes de trabalhar, mas o mais comum é semelhante ao método de mensagem de texto. O autenticador gera o código único especial no seu telemóvel para que introduza. Este processo é mais rápido e mais seguro do que uma mensagem de texto porque um atacante determinado poderá conseguir intercetar as suas mensagens SMS; mas não podem intercetar um código gerado localmente.
Em ambos os casos, o código especial é alterado sempre e expira após um curto período de tempo. Mesmo que um atacante descobriu que código você inscreveu com ontem, não será bom hoje.
Não é uma incótela?
Um erro comum sobre a autenticação multifator ou a verificação de dois passos é que exige mais trabalho para o fazer. Na maioria dos casos, no entanto, o segundo fator só é necessário na primeira vez que você entrar numa nova aplicação ou dispositivo, ou depois de alterar a sua palavra-passe. Depois disso, o serviço reconhece que está a entrar com o seu fator principal (nome de utilizador e palavra-passe) numa aplicação e dispositivo que tenha utilizado anteriormente, o que lhe permite entrar sem precisar do fator adicional.
No entanto, se um atacante tentar entrar na sua conta, provavelmente não está a utilizar a sua aplicação ou dispositivo. É mais provável que o seu cliente esteja a tentar entrar a partir do respetivo dispositivo, num local mais distante e, em seguida, o serviço pedirá o segundo fator de autenticação, que provavelmente não tem!
Próximo passo: ateste a autenticação multifator em todos os locais onde puder!
Ative a autenticação multifator no seu banco, nas suas contas de redes sociais, nas compras online e em qualquer outro serviço que a suporte. Alguns serviços podem chamar-lhe "verificação de dois passos" ou "2 passos de assinatura" mas é basicamente a mesma coisa.
Normalmente, irá encontrá-lo nas definições de segurança da sua conta.
Os ataques de compromisso de palavra-passe são responsáveis pelos acessos de contas mais bem-sucedidos que vemos e a autenticação multifator pode desfavorável quase todos.
Para obter mais informações, consulte O que é: autenticação multifator.
Diga "olá" Windows Hello
Windows Hello é uma forma mais segura de entrar nos seus Windows 10 ou Windows 11. Ajuda-o a evitar o método antigo de palavra-passe, utilizando o reconhecimento facial, uma impressão digital ou um PIN me lembrodo.
Nota: Para utilizar o Hello Face your device must have a Hello-compatible camera and to use Hello Fingerprint your device must have a Hello-compatible fingerprint reader. Se não tiver nenhum destes elementos, pode comprar câmaras e leitores de impressões digitais compatíveis ou pode simplesmente utilizar o PIN do Olá.
Olá Rosto ou Olá Impressão Digital são tão rápidas e simples como o reconhecimento facial ou o leitor de impressões digitais que pode utilizar no seu smartphone. Quando chegar ao pedido de início de sessão do Windows em vez de lhe ser pedido para introduzir a sua palavra-passe, basta olhar para a sua câmara ou colocar o dedo no leitor de impressões digitais. Assim que o reconhece, está na ação. Normalmente, é quase imediato.
O PIN da Hello funciona da mesma forma que a maioria dos sistemas de introdução de PIN funciona. Ao entrar no Windows irá pedir-lhe o PIN e inscrever-se. O que torna o PIN do Hello especial é que, quando o configura, associa o PIN ao dispositivo com o qual está a trabalhar. Isto significa que, tal como outras formas de autenticação multifator, se um atacante obteva o seu PIN, apenas funcionaria no seu dispositivo. Não podem usá-lo para entrar nas suas contas a partir de qualquer outro dispositivo.
Passo seguinte: a Windows Hello
No seu Windows 10 ou Windows 11 dispositivos, Definições> Opções de> de inscrever-se. Aqui poderá ver os tipos de Windows Hello que o seu dispositivo pode suportar e configurar facilmente.
Escolher palavras-passe melhores
Os únicos que gostam de palavras-passe são os atacantes. As boas podem ser difíceis de me lembrar e as pessoas tendem a reutilizar as mesmas palavras-passe vezes sem conta. Além disso, algumas palavras-passe são comuns a um grande grupo de pessoas: "123456" não é apenas uma palavra-passe indecente, mas também uma das mais utilizadas. E não está a enganar ninguém se "iloveyou" for a sua palavra-passe, ou seja, a o8ª palavra-passe mais comum em 2019.
Esperamos que tenha a autenticação e autenticação multifator Windows Hello, pelo que ainda não está tão dependente das palavras-passe. No caso dos serviços onde ainda é necessária uma palavra-passe, vamos escolher um bom.
O que é uma boa palavra-passe?
Se escolher uma boa palavra-passe, é importante saber algumas das formas mais comuns de os atacantes tentarem adivinhar as palavras-passe:
-
Ataques de dicionário – muitas pessoas utilizam palavras comuns como "dragon" ou "dragon" como palavra-passe para que os atacantes experimentem todas as palavras num dicionário. Uma variação é experimentar todas as palavras-passe comuns, como "123456", "qwerty" e "123qwe".
-
Força bruta – os atacantes podem simplesmente tentar todas as combinações de carateres possíveis até encontrarem o que funciona. Cada caráter adicionado aumenta exponencialmente mais tempo, pelo que, com a tecnologia atual, não é prático para a maioria dos atacantes experimentar palavras-passe com mais de 10 ou 11 carateres. Os nossos dados mostram que são muito poucos os atacantes que tentam forçar a forçar palavras-passe com mais de 11 carateres.
Em qualquer um dos casos, o atacante não as está a escrever manualmente, é porque o seu sistema experimenta automaticamente milhares de combinações um segundo.
Dado esses tipos de ataques, sabemos que o comprimento é mais importante do que a complexidade e que a nossa palavra-passe não deve ser uma palavra-passe em inglês. Nem sequer "afetadamente", que tem 14 carateres de comprimento. Idealmente, a nossa palavra-passe deve ter pelo menos 12 a 14 carateres, com letras maiúsculas e minúsculas e pelo menos um número ou símbolo.
Próximo passo: vamos criar uma boa palavra-passe
Eis uma sugestão para criar uma palavra-passe com comprimento, complexidade e não é difícil de me lembrar. Escolha uma citação de filme favorita, uma linha de um livro ou letra de música e tire a primeira letra de cada palavra. Substitua números e símbolos quando adequado para cumprir os requisitos de palavra-passe.
Talvez seja um fã de basebol. As duas primeiras linhas da música clássica de basebol "Levem-me para o jogo de bola" são:
Levem-me para o jogo de bola,
Levem-me para fora com toda a gente
Tire a primeira letra de cada palavra, com uma substituição óbvia:
Tmo2tb,Tmowtc
São 13 carateres com caixa mista, com números e símbolos. Parece muito aleatório e seria difícil de adivinhar. Pode fazer a mesma coisa com qualquer aspa, letra ou linha, se for suficientemente longa. Só tem de se lembrar que aspas ou letras usou para essa conta e dizê-la na sua cabeça à medida que escreve.
Sugestões:
-
Se o sistema em que está a entrar suportar espaços em palavras-passe, deve usá-los.
-
Considere utilizar uma aplicação de gestor de palavras-passe. Um bom gestor de palavras-passe pode gerar palavras-passe longas e aleatórias para si e lembrar-se delas também. Só precisa de uma boa palavra-passe ou, melhor ainda, de uma impressão digital ou reconhecimento facial, para entrar no seu gestor de palavras-passe e o gestor de palavras-passe pode fazer o resto. Microsoft Edge pode criar e lembrar-se de palavras-passe seguras e exclusivas para si.
Agora que tem uma boa palavra-passe
Existem outros tipos de ataques de palavra-passe que deve ter em conta:
-
Credenciais reutilizadas : se utilizar o mesmo nome de utilizador e palavra-passe no seu banco e no TailwindToys.com e no Tailwind ficar comprometida, esses atacantes utilizarão todas as combinações de nome de utilizador e palavra-passe que obt têm do Tailwind e experimentá-las em todos os sites de cartões de crédito e bancários.
Sugestão: Junte-se ao Cameron à medida que aprende os perigosos da reutilização de palavras-passe neste conto. O Cameron aprende a reutilizar palavras-passe
-
Phishing – os atacantes podem tentar ligar-lhe ou enviar-lhe uma mensagem, pretendendo ser do site ou serviço e tentar fazê-lo "confirmar a sua palavra-passe".
Não reumente palavras-passe em múltiplos sites e tenha cuidado com qualquer pessoa que o contacte (mesmo que pareça ser uma pessoa ou organização em quem confia) e quer que lhes forneça informações pessoais ou de conta, clique numa ligação ou abra um anexo de que não estava à espera.
É mau escrever as suas palavras-passe? Não necessariamente, desde que mantenha esse papel num local seguro. Talvez seja melhor anotar um lembrete para a sua palavra-passe, em vez da palavra-passe, caso o papel caia nas mãos erradas. Por exemplo, se estiver a utilizar o exemplo "Levar-me para o jogo de bola" que lhe fornecia acima, poderia anotar o nome da sua equipa de basebol favorita como um lembrete do que usou para a palavra-passe. |