Estamos cansados de ver os youtubers trouxas (pleonasmo) tendo seus canais roubados, pessoas tendo suas contas bancárias zeradas, seus nudes vazados etc., tudo porque não tem o menor apreço pela segurança da informação.
Aprenda de vez em como não ser feito de trouxa por pessoas mais espertas que você!
Antigamente a segurança da informação na interwebs era patética, a ponto de você pedir para alguém colocar teu email nas informações do ICQ e você ir na página de recuperação de senha e literalmente receber a senha da pessoa que, obviamente, usava a mesma senha para tudo. Agora a senha é resetada em vez de você recebê-la.
Outra coisa absurda era poder usar bruteforce para descobrir a senhas, agora depois de X tentativas é bloqueado.
Mas a vida é assim, cada vez que nasce um trouxa, nasce um esperto. Então as técnicas, engenharia social etc., estão sempre evoluindo. O que fazer então?
Tentaram obrigar as pessoas a mudar as senhas frequentemente, mas não adianta porque elas usam as mesmas senhas para tudo. Tentaram usar autenticação em dois fatores usando o número do celular, mas roubar o número do celular também não é muito difícil, ainda mais usando SIM swap (no Brasil então, você vai na operadora e pede um chip novo usando a carteirinha da escola).
Um grande problema de ter algo seguro é a inconveniência. Usar senhas complexas precisa ter um gerenciador para não esquecê-las e sem ele fica inviável logar em outros locais (pois é impossível lembrar).
Usar um autenticador em dois fatores permite usar senhas comuns, já que será necessário algum token para validar a autenticação. O que torna incoveniente também, pois além de ter que decorar a senha, precisa desse dispositivo. O que fazer então?
O mínimo: Verificar sua conta
Email e SMS
Isso é o básico que você deve fazer. É melhor usar um e-mail ou SMS como autenticação em duas etapas do que nada. Para ativar, vá na sua conta Microsoft, na aba Security e depois, no Advanced security options, clique em Get started (ou clique aqui direto, confia).
Lá, clique Add a new way to sign in or verify e coloque o teu e-mail (algum que não seja público, obviamente) e também o número do teu celular. Apesar do SMS não ser algo seguro, eu recomendo habilitar pois se em algum momento você não tiver com acesso à internet, ao menos receberá via SMS alertas de segurança sobre sua conta.
Código de recuperação
Outra dica é criar um código de recuperação, clicando em Generate a new code lá no final da página:
Então imprima e salva em algum lugar seguro como sendo o último recurso quando não tiver mais acesso ao celular e email.
Feito apenas isso, você vai continuar logando na conta com apenas a senha. Basicamente só será solicitado código de verificação para acessar as opções de segurança da conta, fazer grandes mudanças ou em caso de suspeita de acesso. Ou seja, se alguém tiver sua senha não terá grandes dificuldades em acessar a conta.
O recomendável: Usar autenticação em duas etapas
Programas para autenticação
Para evitar que algum verme entre na tua conta apenas com a senha, aquela mesma senha que você usou no Ashley Madison, você deve ao menos habilitar a autenticação em duas etapas, pois assim quando você for logar em algum dispositivo diferente será obrigatório utilizar algum código de acesso.]
Ainda nessa página, lá em Additional security, vá no Two-step verification e clique em Turn on:
Após basta seguir as etapas:
Nessa etapa você escolhe se quer usar o aplicativo da Microsoft ou de terceiros. Eu recomendo usar o da Microsoft mesmo pois é mais integrado e ainda tem outras funções bacanas.
Clique em Get it now e irá para uma tela para ajudar a baixar no celular. Você vai ter que instalar o aplicativo lá e configurar sua conta Microsoft. Não tem muito segredo:
Depois de configurado no celular estará pronto:
Lá no aplicativo você terá o One-time password code que poderá ser usado por qualquer outro serviço que utilize esse tipo de autenticação em duas etapas, como Facebook, Instagram, Linkedin etc. Esse tipo de código é gerado temporariamente e não depende da conexão com a internet, ou seja, caso você use em outro serviço, basta abrir o celular e usar esse código.
Além disso terá outras informações importantes, como ver as atividades recentes em caso de suspeita de acesso indevido e caso use o Microsoft Edge,poderá acessar as senhas salvas nele.
Usando o Microsoft Authenticator, sempre que você tentar ou tentarem logar em sua conta receberá um aviso no celular tanto para alertar quanto para autorizar.
E autorizar no celular:
Isso é muito interessante num cenário que você precisa autorizar outra pessoa a acessar tua conta sem ter que passar a senha. Basta você conversar com a pessoa e pedir para ela digitar o teu email, então você autoria a distância.
Caso você não queira autorizar, basta negar:
E caso não tenha acesso ao celular com o Authenticador, poderá usar outro método tradicional:
Se ainda sim por algum motivo você não tiver acesso a algum dispositivo autorizado, tipo algum bandido roubou teus celulares, tablets e computadores, você ainda tem a opção de acessar usando o aquele código de recuperação:
A grande inconveniência
Usar email ou SMS como autenticação tem suas desvantagens além da insegurança: você irá depender de sinal de telefone ou internet. Mesmo usando o Microsoft Authenticator.
Na prática, você vai usar o teu celular como chave, ou seja, sem ele você não irá conseguir logar em nenhum outro dispositivo.
O SMS só vai ser enviado para o teu celular, não outro dispositivo. Já o email até pode ser enviado para outro dispositivo com a conta já logada, mas dificilmente fora de casa você terá esse dispositivo em mãos, apenas o próprio celular.
Então chegamos na grande inconveniência: se você não tiver sinal de celular não receberá o SMS e não terá internet para receber por email, caso não tenha WiFi. Então você não irá conseguir logar em sua conta.
Porém, é melhor do que qualquer poder acessar tua conta com apenas uma senha.
O melhor: Autenticação sem senha
O melhor jeito de não ter sua senha roubada é simples: não ter senha. Antes exclusivo no Azure para usuários corporativos, a Microsoft lançou a autenticação sem senha para o usuário comum.
Para remover, vá na sua conta Microsoft, na aba Security e depois, no Advanced security options, clique em Get started (ou clique aqui direto, confia de novo).
Na parte de Additional security tem Passwordless account, clique em Turn on.
E depois configurar:
Autorizar no Microsoft Authenticator do celular:
E pronto, você não tem mais senha, LOL
Inclusive sumiu a opção de alterar a senha:
Não vão roubar algo que não existe. Genial! Mas e aí, como faz para logar nas paradas?
Agora a forma de logar é autorizando via autenticação em duas etapas pelo Microsoft Authenticator:
Ou então clicando em I don't have access to my Microsoft Authenticator app e autorizar via e-mail ou SMS:
Caso esteja sem acesso ao email e SMS, basta clicar em I don't have any of these e usar o código de recuperação.
Windows Hello e Security key
Outra forma de logar é clicando em Sign in with Windows Hello or a security key e usar esses recursos.
A forma mais segura sem dúvida é usando uma security key, essas FIDO2 da vida, pois é uma chave física (pendrive) que você espeta e tem acesso a conta.
Se você quer a melhor segurança, muito provavelmente usar isso é a melhor opção. Basta desabilitar todas as formas de login (senha, email, sms e Windows Hello) e usar única e exclusivamente o security key. Porém tem o grande inconveniente de que você precisará carregar o pendrive com você.
Então sem dúvida o modelo mais seguro para o usuário comum é utilizar o Windows Hello.
Não tem segredo, se o seu computador com Windows 10 tem algum tipo de biometria (leitor da digital, leitor da íris, scanner do rosto etc.) basta habilitar e usar uma conta Microsoft:
Então ao logar em sua conta, clique em Sign in with Windows Hello or a security key e terá as opções de usar o Windows Hello (assim como Security key) e selecionar o leitor de digital (ou outros, como íris, facial etc., caso tenha):
O problema desse é que nem todos os serviços e programas tem suporte a isso. Ou seja, pode ser que tenha problemas de compatibilidade com clientes de emails antigos (aqueles que pedem apenas a senha, não tem acesso a API de autenticação da MS).
Conclusão
Essas são as formas de melhorar a segurança da sua conta Microsoft que são interessantes, ainda mais se você utiliza o email dela em cadastros importantes como serviços bancários, governamentais etc.
Aí depende o quão importante sua conta é.
Resumo da porra toda
- Se você é burro: use apenas uma senha (de preferência a mesma que usa no Tinder);
- Se você não é tão burro: pelo menos verifique sua conta usando email ou SMS;
- Se você é um pouco mais esperto: cadastre ao menos o email ou SMS como autenticação em duas etapas;
- Se você é muito esperto: utilize algum programa dedicado para autenticação em duas etapas;
- Se você tem serviços importantes atrelados a sua conta: utilize somente o Windows Hello e /ou chave de segurança física.
É isso aí, pessoal, cansei de ler notícias de gente burra sendo "hackeada" e perdendo dinheiro, canal no youtube ou a perereca caindo na net.
Nenhum comentário:
Postar um comentário