Autenticação
A maioria das violações de dados relatadas é causada pelo uso de senhas fracas, padrão ou roubadas, segundo diversos relatórios de segurança. Use senhas longas, fortes e únicas; gerencie-as em um gerenciador de senhas seguro; habilite a autenticação em dois fatores; acompanhe vazamentos; e tenha cuidado ao fazer login nas suas contas.
0 de 21 (0%) completas, 0 ignoradas
| Feito? | Dica | Nível | Detalhes |
|---|---|---|---|
essential | Se sua senha for muito curta ou contiver palavras de dicionário, lugares ou nomes, ela pode ser facilmente quebrada por força bruta ou adivinhada por alguém. A forma mais simples de ter uma senha forte é torná-la longa (12+ caracteres) — considere usar uma “frase‑secreta” composta por várias palavras. Alternativamente, use um gerador para criar uma senha aleatória, longa e forte. Evite padrões óbvios e sequências previsíveis. | ||
essential | Se você reutilizar uma senha e algum site em que tenha conta sofrer um vazamento, um criminoso poderá ganhar acesso não autorizado às suas outras contas. Isso costuma ocorrer via tentativas automatizadas em larga escala, conhecidas como Credential Stuffing. Infelizmente é muito comum, mas a proteção é simples — use uma senha diferente para cada uma das suas contas online. | ||
essential | Para a maioria das pessoas, é praticamente impossível lembrar centenas de senhas fortes e únicas. Um gerenciador de senhas gera, armazena e preenche automaticamente suas credenciais de login. Todas as suas senhas ficam criptografadas sob uma senha mestra (que você deve lembrar, e ela deve ser bem forte). A maioria dos gerenciadores possui extensões de navegador e apps móveis, para preencher senhas em qualquer dispositivo. Prefira soluções confiáveis e com histórico de segurança consistente. | ||
essential | Embora possa haver situações em que você precise compartilhar o acesso a uma conta com outra pessoa, geralmente evite fazê‑lo, pois isso facilita a exposição da conta. Se realmente for necessário — por exemplo, em um time com conta compartilhada — use os recursos de compartilhamento do próprio gerenciador de senhas. | ||
essential | Na 2FA você fornece algo que sabe (senha) e algo que tem (por exemplo, um código no celular) para entrar. Assim, mesmo que alguém tenha sua senha (por phishing, malware ou vazamento), não conseguirá acessar a conta. É fácil começar: use um aplicativo autenticador no celular e ative a 2FA nas configurações de segurança da conta. Ao entrar num novo dispositivo, será pedido um código temporário gerado localmente (normalmente a cada 30 segundos). | ||
essential | Ao habilitar MFA/2FA você recebe códigos de recuperação para usar caso perca o método principal. Guarde‑os em local seguro para evitar perda ou acesso indevido. Armazene em papel ou em local seguro no disco (por exemplo, armazenamento offline ou arquivo/unidade criptografada). Evite guardar no gerenciador de senhas, pois fontes de 2FA e senhas devem ficar separadas. | ||
optional | Após um grande vazamento, os dados frequentemente vão parar na internet. Há serviços que coletam esses registros e permitem buscar seu e‑mail para verificar se está em alguma lista. Considere cadastrar seu e‑mail em serviços de monitoramento de vazamentos para receber alertas quando ele aparecer em novos conjuntos de dados. Isso ajuda a trocar senhas rapidamente nas contas afetadas. | ||
optional | Ao digitar senhas em locais públicos, evite ficar na linha de visão de câmeras e de curiosos. Cubra o teclado ao digitar e evite expor senhas em texto claro na tela. | ||
optional | Vazamentos são comuns e é possível que algumas de suas senhas já estejam expostas. Atualizar ocasionalmente as senhas de contas críticas pode ajudar a mitigar riscos. Mas, se todas são longas, fortes e únicas, não há necessidade de trocar com frequência. Forçar trocas periódicas obrigatórias pode levar a senhas mais fracas. | ||
optional | A maior parte dos navegadores oferece salvar credenciais ao fazer login. Evite esse recurso — nem sempre há criptografia adequada, podendo expor suas contas. Prefira um gerenciador de senhas dedicado para armazenar (e preencher) seus logins. | ||
optional | Evite fazer login em computadores de outras pessoas — você não sabe se estão limpos. Tenha atenção redobrada com máquinas públicas, onde malwares e rastreamento são mais comuns. É especialmente arriscado para contas críticas (ex.: banco). Se precisar, use janela privada/aba anônima (Ctrl+Shift+N/Cmd+Shift+N) para reduzir o armazenamento de credenciais, cookies e histórico. | ||
optional | Alguns sites permitem definir dicas de senha. Muitas vezes as respostas são fáceis de adivinhar. Quando for obrigatório, use respostas aleatórias e registre no seu gerenciador de senhas (ex.: | ||
optional | Se um site pedir perguntas de segurança (cidade natal, nome de solteira da mãe, primeiro carro etc.), não responda com a verdade. É trivial para atacantes obterem essas informações online ou por engenharia social. Em vez disso, crie respostas fictícias e armazene no gerenciador de senhas. Usar palavras reais é melhor do que caracteres aleatórios, como explicado aqui. | ||
optional | Não use PIN curto para acessar seu smartphone ou computador. Prefira senha textual ou um PIN bem mais longo. Sequências numéricas curtas são fáceis de quebrar (um PIN de 4 dígitos tem 10.000 combinações, contra 7,4 milhões em um código alfanumérico de 4 caracteres). | ||
optional | Ao habilitar MFA, prefira códigos por aplicativo ou chave de hardware, quando disponíveis. SMS é suscetível a sequestro de número (SIM swap) e interceptação, e pode não ser adequado como método principal. Do ponto de vista prático, SMS depende de sinal e pode ser lento. Se um serviço exigir número por SMS para recuperação, considere usar um número secundário dedicado somente a esse fim. | ||
advanced | Muitos gerenciadores geram códigos 2FA, mas evite usar o mesmo para senhas e 2FA — isso cria um ponto único de falha. Prefira um aplicativo autenticador dedicado no celular ou computador. | ||
advanced | Muitos dispositivos oferecem reconhecimento facial. É prático, mas existem formas de enganá‑lo usando fotos ou vídeos. Diferente da sua senha, seu rosto provavelmente está exposto publicamente. | ||
advanced | Um keylogger de hardware é um dispositivo entre o teclado e a porta USB que intercepta teclas (às vezes enviando a um servidor remoto), expondo tudo digitado. Verifique conexões USB após períodos sem supervisão e sinais de violação no teclado. Dados digitados em teclado virtual, colados ou preenchidos por gerenciador de senhas não são capturados por keyloggers de hardware. | ||
advanced | Chaves de segurança compatíveis com U2F/FIDO2 são dispositivos USB/NFC usados no login para verificar sua identidade, substituindo códigos TOTP. Como o navegador conversa diretamente com o dispositivo e valida o certificado TLS, ataques de phishing/redirecionamento são mitigados. Guarde a chave em local seguro. Algumas contas permitem múltiplos métodos de 2FA. | ||
advanced | Para segurança adicional, um gerenciador offline criptografado dá controle total sobre seus dados. A desvantagem é menor conveniência e a necessidade de fazer backup/armazenar com cuidado. Considere essa opção se preferir manter todo o controle localmente e estiver disposto a administrar sincronização e cópias de segurança por conta própria. | ||
advanced | Ter senhas diferentes já é um ótimo passo; se você também usar usuário, e‑mail ou número de telefone únicos por conta, fica muito mais difícil obter acesso indevido. Para múltiplos e‑mails, use aliases gerados automaticamente para encaminhamento anônimo, permitindo e‑mail diferente por conta. Usuários podem ser gerados e salvos pelo gerenciador; números virtuais podem ser obtidos junto ao seu provedor de telefonia ou VOIP. |