Upload
dangduong
View
219
Download
0
Embed Size (px)
Citation preview
EstaobrafoioriginalmentedesenvolvidapeloCERT.br,doNIC.br,comopropósitodepromoveraconscien<zaçãosobreousosegurodaInternetebaseia-senaCar<lhadeSegurançaparaInternet(hEps://car<lha.cert.br/).
Esta obra foi licenciada sob a licença Crea<ve CommonsAtribuição-Uso não-comercial-Compar<lhamento pelamesmalicença3.0Brasil(CCBY-NC-SA3.0).
OCERT.br/NIC.brconcedeaVocêumalicençadeabrangênciamundial,semroyal<es,não-exclusiva,sujeitaaostermosecondiçõesdestaLicença,paraexercerosdireitossobreaObradefinidosabaixo
a. ReproduziraObra,incorporaraObraemumaoumaisObrasCole<vaseReproduziraObraquandoincorporadaemObrasCole<vas;
b. Criar e Reproduzir Obras Derivadas, desde que qualquer Obra Derivada, inclusive qualquer tradução, emqualquermeio,adote razoáveismedidasparaclaramente indicar,demarcaroudequalquermaneira iden<ficarquemudançasforamfeitasàObraoriginal.Umatradução,porexemplo,poderiaassinalarque“AObraoriginalfoitraduzidadoInglêsparaoPortuguês,”ouumamodificaçãopoderiaindicarque“AObraoriginalfoimodificada”;
c. DistribuireExecutarPublicamenteaObra,incluindoasObrasincorporadasemObrasCole<vas;e,d. DistribuireExecutarPublicamenteObrasDerivadas.Desdequerespeitadasasseguintescondições:• Atribuição— Você deve fazer a atribuição do trabalho, da maneira estabelecida pelo <tular originário oulicenciante(massemsugerirqueesteoapoia,ouquesubscreveoseuusodotrabalho).Nocasodestetrabalho,deveincluiraURLparaotrabalhooriginal(Fonte–hEps://car<lha.cert.br/)emtodososslides.• Usonãocomercial—Vocênãopodeusarestaobraparafinscomerciais.• Compar;lhamento pela mesma licença — Se você alterar, transformar ou criar em cima desta obra, vocêpoderádistribuiraobraresultanteapenassobamesmalicença,ousobumalicençasimilaràpresente.
Aviso—Emtodasasreu<lizaçõesoudistribuições,vocêdevedeixarclaroquaissãoostermosdalicençadestetrabalho.Amelhorformadefazê-lo,écolocandoumlinkparaaseguintepágina
hEp://crea<vecommons.org/licenses/by-nc-sa/3.0/br/Adescriçãocompletadostermosecondiçõesdestalicençaestádisponívelem:hEp://crea<vecommons.org/licenses/by-nc-sa/3.0/br/legalcode
1 https://cartilha.cert.br/fasciculos/
Verificação em duas etapas
Agenda:• Senhas:éapresentadaa importânciadassenhasecomoelaspodemserob<das
poratacantessenãoforemdevidamenteelaboradaseusadas.• Verificação em duas etapas: é apresentado o conceito de verificação em duas
etapas e ressalta a importância desse <po de auten<cação para aumentar asegurançadaInternet.
• Principais;posecuidadosaseremtomados:sãoapresentadosalgunsdos<posmaiscomunsusadosnaduplaverificaçãodaiden<dadedousuárioeosprincipaiscuidadosquedevemsertomadosaou<lizá-los.
• Outroscuidados:sãoapresentadosalgunscuidadosadicionais.• Créditos
2 https://cartilha.cert.br/fasciculos/
Verificação em duas etapas
Senhas:A sua conta de usuário é de conhecimento geral e é o que permite a suaiden<ficação. Ela é, muitas vezes, derivada do seu próprio nome, mas pode serqualquer sequência de caracteres que permita que você seja iden<ficadounicamente,comooseuendereçodee-mail.Paragaran<rqueelasejausadaapenasporvocê,epormaisninguém,équeexistemosmecanismosdeauten<cação.Uma senha, ou password, serve para auten<car uma conta, ou seja, é usada noprocessodeverificaçãodasuaiden<dade,assegurandoquevocêérealmentequemdizserequepossuiodireitodeacessarorecursoemquestão.Éumdosprincipaismecanismos de auten<cação usados na Internet devido, principalmente, àsimplicidadequepossui.
3 https://cartilha.cert.br/fasciculos/
Verificação em duas etapas
Senhas(cont.):Algumasdasformascomoasuasenhapodeserdescobertasão:
• aoserusadaemcomputadoresinfectados.Muitoscódigosmaliciosos,aoinfectarum computador, armazenam as teclas digitadas (inclusive senhas), espionam otecladopelawebcam(casovocêpossuaumaeelaestejaapontadaparaoteclado)egravamaposiçãodatelaondeomousefoiclicado;
• ao serusadaemsites falsos (phishing).Aodigitara sua senhaemumsite falso,achando que está no site verdadeiro, um atacante pode armazená-la e,posteriormente,usá-laparaacessarositeverdadeiroerealizaroperaçõesemseunome;
• pormeiodetenta<vasdeadivinhação;
• aosercapturadaenquantotrafeganarede,semestarcriptografada;
• pormeiodoacessoaoarquivoondeasenhafoiarmazenadacasoelanãotenhasidogravadadeformacriptografada;
• comousodetécnicasdeengenhariasocial,comoformaapersuadí-loaentregá-lavoluntariamente;
• pelaobservaçãodamovimentaçãodos seusdedosno tecladooudos cliquesdomouseemtecladosvirtuais.
4 https://cartilha.cert.br/fasciculos/
Verificação em duas etapas
Verificaçãoemduasetapas:A verificação ou auten<cação em duas etapas (two-factor authen6ca6on, tambémchamada de aprovação de login, verificação ou auten<cação em dois fatores ou,ainda,verificaçãoouauten<caçãoemdoispassos)adicionaumasegundacamadadeproteçãonoacessoaumaconta,dificultandoqueelasejaindevidamenteacessada,mesmocomoconhecimentodasenha.Éumrecursoopcionaloferecidopordiversosserviços de Internet, como Webmail, redes sociais, Internet Banking e dearmazenamentoemnuvem.
Verificação em duas etapas
https://cartilha.cert.br/fasciculos/ 7
Verificaçãoemduasetapas(cont.):Averificaçãoemduasetapascostumaserumaconfiguraçãoopcionaldesegurançaepode ser desa<vada quando não mais desejada. Ao habilitá-la você estaráaumentandoasegurançadesuacontae,casonãodesejemaisu<lizá-la,bastaquevocêadesabilite.
Na verificação em duas etapas são u<lizados dois passos de checagem, ou seja, éfeitaumaduplaverificação.Adicionandoumasegundaetapadeverificaçãoficamaisdijcilainvasãodeumacontadeusuário.Mesmoqueumatacantevenhaadescobriruma senha ela, isoladamente, não será suficiente para que ele consiga acessar aconta. O atacante necessitará executar a segunda etapa, o que tornará a invasãomaisdijcildeserrealizada.
Verificação em duas etapas
https://cartilha.cert.br/fasciculos/ 8
Verificaçãoemduasetapas(cont.):Existem três grupos básicos de mecanismos de auten<cação, que se u<lizam de:aquiloquevocêé (informaçõesbiométricas,comoasua impressãodigital,apalmadasuamão,asuavozeoseuolho),aquiloqueapenasvocêpossui(comoseucartãodesenhasbancáriaseumtokengeradordesenhas)e,finalmente,aquiloqueapenasvocêsabe(comoperguntasdesegurançaesuassenhas).A escolha do mecanismo a ser usado depende de questões como o “valor” dainformaçãoqueestásendoprotegidaeocustodeimplementaçãoemanutençãodasolução.Mecanismos que envolvam biometria, por exemplo, podem necessitar deequipamentosespeciaisdereconhecimento.Poroutrolado,oenviodeumcódigodeverificação para um telefone celular, via mensagem de texto, pode ser bemmaissimplesdevidoàfacilidadedeacessoeàpopularizaçãodestesdisposi<vos.
Verificação em duas etapas
https://cartilha.cert.br/fasciculos/ 9
Principais;posdecuidadosaseremtomados:Nospróximosslidessãoapresentadosalgunsdosprincipais<posdeverificaçõesquesão feitasna segundaetapa. Sãoapresentados tambémosprincipais cuidadosquevocêdevetomarparacadaumdos<poscitados.
10 https://cartilha.cert.br/fasciculos/
Verificação em duas etapas
Códigodeverificação:Éumcódigoindividualcriadopeloserviçoeenviadodeformaqueapenasvocêpossarecebê-lo, por exemplo por e-mail, chamada de voz oumensagem de texto (SMS)para o telefone celular que você cadastrou. Também pode ser gerado por umaplica<voauten<cador,instaladoemseudisposi<vomóvel.
Algunsexemplosdeaplica<vosauten<cadoressão:• GoogleAuthen6catorhEps://support.google.com/accounts/answer/1066447?hl=pt-BR
• Auten<cador–MicrososhEp://www.windowsphone.com/pt-br/store/app/auten<cador/e7994dbc-2336-4950-91ba-ca22d653759b
11 https://cartilha.cert.br/fasciculos/
Verificação em duas etapas
Tokengeradordesenhas:Tambémchamadodechaveeletrônica,éum<podedisposi<voeletrônicoquegeracódigos usados na verificação da sua iden<dade. Cada código é válido por umdeterminado período, geralmente alguns segundos, e após esse tempo um novocódigoégerado.Ocódigopodesergeradoautoma<camenteounecessitarquevocêcliqueemumbotãoparaa<vá-lo.
Verificação em duas etapas
https://cartilha.cert.br/fasciculos/ 14
Disposi;voconfiável:Éumcomputadoroudisposi<vomóvelquevocêfrequentementeusaparaacessarsuascontas.Podesernecessárioinserirumcódigodesegurançanoprimeiroacesso.Elenãoserá́necessárionosdemais,poisseudisposi<voserá“lembrado”,casovocêassimoconfigure.
Verificação em duas etapas
https://cartilha.cert.br/fasciculos/ 17
Outroscuidados:São apresentados alguns cuidados adicionais que você deve ter para aumentar asegurançadesuascontasdeacesso.
20 https://cartilha.cert.br/fasciculos/
Verificação em duas etapas
Dadospessoais:Aousarperguntasdesegurançaparafacilitararecuperaçãodesenhas,eviteescolherquestões cujas respostaspossamser facilmenteadivinhadas, comoonomedo seucachorrooudasuamãe.Procurecriarsuasprópriasperguntase,depreferência,comrespostasfalsas.
Exemplo:casovocêtenhamedodealtura,podecriarapergunta“Qualseuesportefavorito?”ecolocarcomoresposta“paraquedismo”ou“alpinismo”.
Verificação em duas etapas
https://cartilha.cert.br/fasciculos/ 21
Senhas:Umasenhaboa,bemelaborada,éaquelaqueédijcildeserdescoberta(forte)efácildeser lembrada.Nãoconvémquevocêcrieumasenhafortese,quandoforusá-la,nãoconseguirrecordá-la.Tambémnãoconvémquevocêcrieumasenhafácildeserlembradaseelapuderserfacilmentedescobertaporumatacante.
Algunselementosquevocênãodeveusarnaelaboraçãodesuassenhassão:
• Qualquer ;po de dado pessoal: evite nomes, sobrenomes, contas de usuário,númerosdedocumentos, placasde carros, númerosde telefones edatas (estesdadospodemserfacilmenteob<doseusadosporpessoasquequeiramtentarseauten<carcomovocê).
• Sequênciasdeteclado:evitesenhasassociadasàproximidadeentreoscaracteresno teclado, como “1qaz2wsx” e “QwerTAsdfG”, pois são bastante conhecidas epodemserfacilmenteobservadasaoseremdigitadas.
• Palavras que façam parte de listas: evite palavras presentes em listaspublicamenteconhecidas,comonomesdemúsicas,<mesdefutebol,personagensdefilmes,dicionáriosdediferentes idiomas,etc.Existemprogramasque tentamdescobrir senhas combinando e testando estas palavras e que, portanto, nãodevemserusadas.
22 https://cartilha.cert.br/fasciculos/
Verificação em duas etapas
Senhas(cont.):Algunselementosquevocêdeveusarnaelaboraçãodesuassenhassão:
• Números aleatórios: quanto mais ao acaso forem os números usados melhor,principalmenteemsistemasqueaceitemexclusivamentecaracteresnuméricos.
• Grandequan;dadedecaracteres:quantomaislongaforasenhamaisdijcilserádescobrí-la. Apesar de senhas longas parecerem, a princípio, dijceis de seremdigitadas,comousofrequenteelasacabamsendodigitadasfacilmente.
• Diferentes;posdecaracteres:quantomais“bagunçada”forasenhamaisdijcilserádescobri-la.Procuremisturarcaracteres,comonúmeros,sinaisdepontuaçãoe letras maiúsculas e minúsculas. O uso de sinais de pontuação pode dificultarbastantequeasenhasejadescoberta,semnecessariamentetorná-ladijcildeserlembrada.
23 https://cartilha.cert.br/fasciculos/
Verificação em duas etapas
Senhas(cont.):Algumasdicasprá<casquevocêpodeusarnaelaboraçãodeboassenhassão:
• Selecionecaracteresdeumafrase:baseie-seemumafraseeselecioneaprimeira,asegundaouaúl<maletradecadapalavra.Exemplo:comafrase“OCravobrigoucomaRosadebaixodeumasacada”vocêpodegerarasenha“?OCbcaRddus”(osinaldeinterrogaçãofoicolocadonoinícioparaacrescentarumsímboloàsenha).
• U;lizeumafraselonga:escolhaumafrase longa,quefaçasen<doparavocê,quesejafácildesermemorizadaeque,sepossível,tenhadiferentes<posdecaracteres.Evitecitaçõescomuns(comoditadospopulares)efrasesquepossamserdiretamenteligadasàvocê(comoorefrãodesuamúsicapreferida).Exemplo:sequandocriançavocêsonhavaemserastronauta,podeusarcomosenha“1diaaindavereiosaneisdeSaturno!!!”.• Façasubs;tuiçõesdecaracteres: inventeumpadrãodesubs<tuiçãobaseado,porexemplo, na semelhança visual (“w” e “vv”) ou de foné<ca (“ca” e “k”) entre oscaracteres. Crie o seu próprio padrão pois algumas trocas já são bastante óbvias.Exemplo: duplicando as letras “s” e “r”, subs<tuindo “o” por “0” (número zero) eusando a frase “Sol, astro-rei do Sistema Solar” você pode gerar a senha “SS0l,asstrr0-rreid0SSisstemaSS0larr”.
24 https://cartilha.cert.br/fasciculos/
Verificação em duas etapas
Senhas(cont.):• evitereu<lizarsuassenhas,nãouseamesmasenhaparaacessardiferentessites;• nãoforneçasuassenhasparaoutrapessoa,emhipótesealguma;• cer<fique-sedenãoestarsendoobservadoaodigitarassuassenhas;• altereassuassenhassemprequejulgarnecessário;
• cer<fique-sedeu<lizarserviçoscriptografadosquandooacessoaumsiteenvolverofornecimentodesenhas;
• seja cuidadoso ao usar a sua senha em disposi<vos e computadorespotencialmenteinfectadosoucomprome<dos.
Verificação em duas etapas
https://cartilha.cert.br/fasciculos/ 25
Disposi;vosmóveis:Antesdeadquirirumdisposi<vo:• considereosmecanismosdesegurançaquesãodisponibilizadospelosdiferentes
modelosefabricanteseescolhaaquelequeconsiderarmaisseguro;• caso opte por adquirir ummodelo já usado, procure restaurar as configurações
originais,ou"defábrica",antesdecomeçarausá-lo;• evite adquirir um disposi<vo móvel que tenha sido ilegalmente desbloqueado
(jailbreak)oucujaspermissõesdeacessotenhamsidoalteradas.Estaprá<ca,alémde ser ilegal,podeviolaros termosdegaran<ae comprometera segurançaeofuncionamentodoaparelho.
Aousarseudisposi<vo:• sedisponível,instaleumprogramaan6malwareantesdeinstalarqualquer<pode
aplicação,principalmenteaquelasdesenvolvidasporterceiros;• mantenhaosistemaoperacionaleasaplicações instaladassemprecomaversão
maisrecenteecomtodasasatualizaçõesaplicadas;• fique atento às no}cias veiculadas no site do fabricante, principalmente as
relacionadasàsegurança;• nãosigalinksrecebidospormeiodemensagenseletrônicas.Aosedesfazerdoseudisposi<vo:
• lembre-se de apagar todas as informações nele con<das e de restaurar asconfiguraçõesdefábrica.Dessaformavocênãocorreoriscodopróximodonooudealguémquevenhaateracessoaelepossaacessarsuasinformações.
26 https://cartilha.cert.br/fasciculos/
Verificação em duas etapas
Disposi;vosmóveis(cont.):Emvirtudedotamanhoreduzido,doaltovalorfinanceiroquepodempossuir,pelostatus que podem representar e por estarem em uso constante, os disposi<vosmóveis podem ser facilmente esquecidos, perdidos ou atrair a atenção deassaltantes.Emcasodeperdaoufurto:
• informesuaoperadoraesoliciteobloqueiodoseunúmero(chip);
• altereassenhasquepossamestarnelearmazenadas(porexemplo,asdeacessoaoseue-mailouredesocial);
• bloqueie cartões de crédito cujo número esteja armazenado em seu disposi<vomóvel;
• se <ver configurado a localização remota, você pode a<vá-la e, se acharnecessário,apagarremotamentetodososdadosnelearmazenados
• configure-o para que seja localizado e bloqueado remotamente, por meio deserviçosdegeolocalização;
• configure-o, quando possível, para que os dados sejam apagados após umdeterminadonúmerode tenta<vasdedesbloqueio semsucesso (useestaopçãocom bastante cautela, principalmente se você <ver filhos e eles gostarem de"brincar"comoseudisposi<vo).
27 https://cartilha.cert.br/fasciculos/
Verificação em duas etapas
Computador:• mantenhaosprogramasinstaladoscomasversõesmaisrecentes;
• removaprogramasquevocênãou<lizamais.Programasnãousadostendemaseresquecidoseaficarcomversõesan<gas(epotencialmentevulneráveis);
• removaasversõesan<gas;• tenha o hábito de verificar a existência de novas versões, por meio de opções
disponibilizadaspelosprópriosprogramasouacessandodiretamenteossitesdosfabricantes;
• mantenhaosprogramasinstaladoscomtodasasatualizaçõesaplicadas;
• configure, quando possível, para que os programas sejam atualizadosautoma<camente;
• programe as atualizações automá<cas para serem baixadas e aplicadas emhoráriosemqueseucomputadorestejaligadoeconectadoàInternet;
• usemecanismosdesegurança,comoprogramasan6spam,an6malwareefirewallpessoal,eassegure-sedemantê-losatualizados.
Verificação em duas etapas
https://cartilha.cert.br/fasciculos/ 28
Mantenha-seinformado:Materialdereferênciapodeserencontradona“Car<lhadeSegurançaparaInternet”.
Novidadesedicaspodemserob<daspormeiodoRSSedoTwiEerdoCERT.br.
29 https://cartilha.cert.br/fasciculos/
Verificação em duas etapas
Mantenha-seinformado(cont.):Outrasfontesdeinformaçãodisponíveissão:
• PortalInternetSegura,quereúneasprincipaisinicia<vasdesegurançanaInternetno Brasil, auxiliando os internautas a localizarem informações de interesse eincen<vandoousosegurodarede;
• OsitedaCampanhaAn<spam.br,ondesãodescritasváriasinicia<vasnocombateao spam tanto para conscien<zação de usuários como de boas prá<cas paraadministradoresderedesesistemas.
30 https://cartilha.cert.br/fasciculos/
Verificação em duas etapas
ESTESLIDENÃOPODESERREMOVIDO.DEVESEREXIBIDOEMTODASASREPRODUÇÕES,INCLUSIVENASOBRASDERIVADAS
EstaobrafoioriginalmentedesenvolvidapeloCERT.br,doNIC.br,eépromovidapeloComitêGestordaInternetnoBrasil(CGI.br).Elafazpartedeumconjuntodemateriaiseduca<voscomopropósitodepromoveraconscien<zaçãosobreousosegurodaInternetebaseia-senaCar<lhadeSegurançaparaInternet(hEps://car<lha.cert.br/).
EstaobrafoilicenciadasobalicençaCrea<veCommonsAtribuição-Usonão-comercial-Compar<lhamentopelamesmalicença3.0Brasil(CCBY-NC-SA3.0).
OCERT.br/NIC.brconcedeaVocêumalicençadeabrangênciamundial,semroyal<es,não-exclusiva,sujeitaaostermosecondiçõesdestaLicença,paraexercerosdireitossobreaObradefinidosabaixoa. ReproduziraObra,incorporaraObraemumaoumaisObrasCole<vaseReproduziraObraquandoincorporadaemObrasCole<vas;b. CriareReproduzirObrasDerivadas,desdequequalquerObraDerivada,inclusivequalquertradução,emqualquermeio,adoterazoáveismedidasparaclaramenteindicar,demarcaroudequalquermaneiraiden<ficarquemudançasforamfeitasàObraoriginal.Umatradução,porexemplo,poderiaassinalarque“AObraoriginalfoitraduzidadoInglêsparaoPortuguês,”ouumamodificaçãopoderiaindicarque“AObraoriginalfoimodificada”;c. DistribuireExecutarPublicamenteaObra,incluindoasObrasincorporadasemObrasCole<vas;e,d. DistribuireExecutarPublicamenteObrasDerivadas.Desdequerespeitadasasseguintescondições:• Atribuição—Vocêdevefazeraatribuiçãodotrabalho,damaneiraestabelecidapelo<tularorigináriooulicenciante(massemsugerirqueesteoapoia,ouquesubscreveoseuusodotrabalho).Nocasodestetrabalho,deveincluiraURLparaotrabalhooriginal(Fonte–hEps://car<lha.cert.br/)emtodososslides.• Usonãocomercial—Vocênãopodeusarestaobraparafinscomerciais.• Compar;lhamentopelamesmalicença—Sevocêalterar,transformaroucriaremcimadestaobra,vocêpoderádistribuiraobraresultanteapenassobamesmalicença,ousobumalicençasimilaràpresente.
Aviso—Emtodasasreu<lizaçõesoudistribuições,vocêdevedeixarclaroquaissãoostermosdalicençadestetrabalho.Amelhorformadefazê-lo,écolocandoumlinkparaaseguintepáginahEp://crea<vecommons.org/licenses/by-nc-sa/3.0/br/Adescriçãocompletadostermosecondiçõesdestalicençaestádisponívelem:hEp://crea<vecommons.org/licenses/by-nc-sa/3.0/br/legalcode
31 https://cartilha.cert.br/fasciculos/
Verificação em duas etapas