A primeira quinta-feira de maio é um dia especial. Por mais de uma década, neste dia é comemorado o Dia Mundial da Senha. Para nós da Kaspersky, esta ocasião é significativa. Embora não tenhamos uma festa planejada, aproveitaremos a oportunidade para refletir sobre algo muito importante. É isso mesmo. Vamos falar sobre as senhas! Assim, vamos entender como criá-las, onde armazená-las com segurança e por que devemos evitar a senha “qwerty12345”.
Essas orientações são fundamentais, pois muitas pessoas ainda usam senhas fracas e reutilizadas que são muito fáceis de adivinhar e que já caíram muitas vezes nas mãos de hackers. Por que isso acontece e como resolver essa situação? É o que explicaremos no post de hoje.
Como descobrimos vazamentos?
Nossa rede global de inteligência contra ameaças – Kaspersky Security Network (KSN) – desempenha um papel fundamental. Ela coleta e analisa dados sobre ameaças cibernéticas de todo o mundo, sendo que a maioria dos dados são fornecidos por nossos clientes de forma anônima e voluntária. Nossos algoritmos de aprendizado de máquina (IA) e especialistas humanos analisam esses dados despersonalizados, possibilitando uma resposta ágil às ameaças cibernéticas. O tempo médio para o aprendizado da comunidade KSN após a detecção de uma nova ameaça é de apenas 40 segundos!
Graças a Kaspersky Security Network, sabemos que houve mais de 32 milhões de tentativas de ataque às senhas de usuários da KSN, em 2023. Em 2022, o número foi ainda maior e totalizou impressionantes 40 milhões. Isso se traduz nas tentativas de invasão de senha ocorridas em mais de uma vez por segundo em todo o mundo! Além disso, no final de 2023, a pesquisa mostrou que os ataques não afetam apenas usuários domésticos: as empresas também não estão imunes. De acordo com a pesquisa, 76% das pequenas empresas enfrentaram pelo menos um incidente cibernético nos últimos dois anos. Cerca de um quarto deles (24%) foram causados pelo uso de senhas fracas, repetidas ou antigas.
Como verificamos seus dados
Empregamos três métodos para verificar se seus dados e senhas foram comprometidos:
- Por endereço de e-mail para usuários Kaspersky Standard, Kaspersky Plus e Kaspersky Premium. É simples: os endereços são inseridos no aplicativo de e-mail que você e seus entes queridos usam nas contas on-line. Informamos se algum de seus dados pessoais, inclusive as senhas, vazou para a Internet ou para a dark web. Fique tranquilo, nosso aplicativo não recebe nem armazena os dados comprometidos, apenas fornece informações sobre seu tipo de dado. Enviamos um alerta sempre que uma violação estiver vinculada à sua senha, endereço residencial, dados de identidade, passaporte, número do cartão bancário ou qualquer combinação dessas informações. Não só enviamos um alerta, como nossos especialistas em cibersegurança também oferecem as melhores recomendações sobre ações a serem tomadas após diferentes tipos de vazamentos, já que cada um exige uma resposta específica.
- Por número de telefone para usuários Kaspersky Premium. Este método funciona como a verificação de e-mail, mas com foco nas contas associadas aos números de telefone, em vez dos endereços de e-mail. Geralmente, essas contas pertencem aos serviços mais “sérios”, como bancos, instituições governamentais e grandes lojas on-line, onde os vazamentos de dados podem ter consequências graves. O que é preciso fazer é especificar seu número de telefone no aplicativo para verificarmos se ele apareceu em algum vazamento de dados. Além disso, é possível verificar não apenas o próprio número, mas também os números de todos os entes queridos e parentes. A melhor parte é que basta inserir os endereços de e-mail e os números de telefone uma vez, então, o monitoramento contínuo será feito na Web em busca de vazamentos. Caso seus dados sejam expostos, um alerta será enviado imediatamente, acompanhado de recomendações sobre as ações a serem tomadas.
- Por algoritmo especial em Kaspersky Password Manager. Diferentemente dos métodos anteriores, que examinam todos os possíveis cenários de vazamento, nosso gerenciador de senhas concentra-se na análise das senhas armazenadas nele. Mesmo off-line, podemos dizer quais de suas senhas são fracas ou reutilizadas e quais são suficientemente fortes. Além disso, o Kaspersky Password Manager verifica regularmente todas suas senhas em relação a bancos de dados de credenciais comprometidas e envia uma notificação quando elas são encontradas.
Também é possível verificar se uma senha foi comprometida com o uso de nosso serviço Password Checker on-line. Basta inserir a senha a ser verificada e o sistema informará quantas vezes ela apareceu nos bancos de dados vazados e se ela pode ser considerada segura.
No entanto, esse método tem uma desvantagem em comparação aos três anteriores: requer verificações manuais, enquanto Kaspersky Password Manager, Kaspersky Plus e Kaspersky Premium monitoram automaticamente, e em segundo plano, os possíveis vazamentos.
Então a Kaspersky armazena as senhas de todos os usuários? Não, isso não acontece. Nenhum dos funcionários da empresa, como um desenvolvedor, analista, editor, designer ou até mesmo o próprio Eugene Kaspersky, tem acesso aos seus dados confidenciais. A nossa política de conhecimento zero já foi discutida em detalhes aqui. Logo abaixo, explicaremos por que não podemos acessar suas senhas armazenadas no Kaspersky Password Manager.
Por que armazenar senhas no Kaspersky Password Manager é mais simples e seguro
Podemos considerar que a memorização de todas as senhas ou mesmo mantê-las em aplicativos de anotações é arriscado. O Kaspersky Password Manager dedicado foi desenvolvido especificamente para esta finalidade. Ele cria, armazena e insere automaticamente senhas fortes e exclusivas em sites e aplicativos, verifica se eles estão comprometidos e gera códigos de autenticação de dois fatores.
Aqui está uma explicação simplificada sobre o funcionamento do Kaspersky Password Manager. Todas suas senhas são armazenadas em um cofre criptografado que usa o algoritmo de criptografia simétrica AES-256. Esse padrão de criptografia é considerado forte o suficiente pela NSA dos EUA para ser usado para armazenar os segredos governamentais. A chave de criptografia é sua senha principal, criada durante a configuração inicial do aplicativo. Sempre o Kaspersky Password Manager solicitará essa senha para descriptografar os dados.
É possível manter não apenas as senhas, mas também outros dados importantes como números de cartões bancários, documentos digitalizados, notas e etc., tudo isso no mesmo cofre. Assim, os dados confidenciais são armazenados e sincronizados entre todos os dispositivos na forma criptografada “ultrassecreta”.
Esse nível de segurança supera em muito o armazenamento de senhas em navegadores. Aconselhamos não concordar com as sugestões persistentes de seu navegador para armazenar suas senhas. Essas senhas podem ser extraídas do navegador em poucos segundos.
O acesso ao cofre criptografado no Kaspersky Password Manager é concedido exclusivamente por meio de sua senha principal. Não sabemos qual é a senha e nunca vamos armazená-la em nenhum lugar. Se a senha for esquecida, o conteúdo do cofre ficará inacessível, e então, um novo cofre deverá ser criado. Essa abordagem assegura o mais alto grau de segurança: mesmo que um hacker obtenha acesso ao cofre criptografado do Kaspersky Password Manager, ele não será capaz de descobrir as senhas, informações de cartões bancários ou qualquer outro documento armazenado.
Como é possível verificar se há vazamentos nas senhas se elas são desconhecidas?
É aqui que um Secure Hash Algorithm 1 (SHA-1) entra em cena. Ele reúne todos os dados para criar um valor de hash, ou seja, uma string binária de comprimento fixo exclusiva para os dados de entrada. Por exemplo, se sua senha real for “qwerty12345”, sua representação no “idioma SHA-1” ficaria assim: 4e17a448e043206801b95de317e07c839770c8b8.
Cada senha exclusiva sempre produz o mesmo hash e, se dois hashes corresponderem, as senhas originais também serão correspondentes. A KSN armazena os hashes calculados para todas as senhas hackeadas, vazadas e conhecidas. Para verificar sua senha, calculamos o hash localmente em seu dispositivo, enviamos apenas a primeira metade desse hash para os servidores da Kaspersky e localizamos todos os hashes de senhas comprometidas com o mesmo início. Esses hashes são enviados de volta ao dispositivo, onde cada um deles é comparado com todo o hash de sua senha. Se uma correspondência exata for encontrada, sua senha foi comprometida.
Assim, não sabemos quais são suas senhas, e elas nunca deixam seu dispositivo de forma não criptografada. É teoricamente possível recuperar a senha original tendo como origem seu hash, mas… hashes completos de suas senhas nunca são enviados para qualquer lugar do dispositivo! Somente fragmentos deles são enviados aos servidores da KSN para comparação, e é impossível restaurar a senha original tendo como origem uma parte de seu hash. Portanto, a verificação de suas senhas com o objetivo de encontrar vazamentos é totalmente segura.
Como criar uma senha principal
Com o Kaspersky Password Manager, basta memorizar a senha principal. O aplicativo usa a senha principal para criptografar seus dados no cofre. Portanto, recomendamos que sua criação seja feita com muito cuidado. Usar “qwerty12345” como sua senha principal é como colocar todos os seus objetos de valor em um cofre e depois deixar a chave na fechadura. Para facilitar o processo e garantir que a senha possa ser lembrada, segue uma dica para torná-la forte e inesquecível ao mesmo tempo:
Pense em uma frase, citação ou letra de música favorita. Pegue uma letra (não necessariamente a primeira!) ou uma combinação de letras de cada palavra na frase e insira caracteres especiais entre elas. Substitua letras que se assemelham a números ou caracteres especiais por seus respectivos símbolos.
Por exemplo:
“Olha Que Coisa Mais Linda Mais Cheia de Graça” – 0!q!С!M!L!M!С!d!G
Uma boa senha não é necessariamente aquela com muitos caracteres especiais difíceis de lembrar, mas aquela que é resistente à quebra. Teste a senha recém-criada com o uso de nosso serviço on-line verificador de senhas. Se houver a confirmação de que sua senha é forte, será possível usá-la como sua senha principal. E essa é a única senha que precisa ser lembrada, pois nosso gerenciador de senhas gerará, salvará e preencherá automaticamente todas as outras senhas em sites e aplicativos.
Se preferir o método antigo de armazenamento de senhas em sua cabeça, use a combinação criada e, para cada serviço e site, adicione uma “extensão” mnemônica para garantir que todas as senhas sejam exclusivas. Temos um guia detalhado sobre esta técnica. E adivinhem? Muitos serviços, inclusive o Kaspersky Password Manager, permitem criar senhas usando… emojis e emoticons.
Resumo
- Use proteção confiável. Isso garantirá que suas senhas e outros dados confidenciais estejam seguros.
- Crie senhas mnemônicas. Essa técnica ajuda a criar senhas com criptografia robusta e fáceis de lembrar.
- Armazene as senhas em um gerenciador de senhas. Uma senha principal com criptografia robusta e única é gerada para ser memorizada, e é com ela que protegemos todos os dados valiosos.
- Não reutilize senhas em serviços e sites. Um vazamento de dados de um serviço pode expor sua senha para hackers, o que facilita para eles o comprometimento de outras contas. Optar pelo uso de senhas exclusivas é a melhor opção, e aqui está o motivo.
- Habilite a autenticação multifator (2FA) sempre que possível. A opção acrescenta uma camada extra de segurança nas suas contas. Mesmo que sua senha esteja comprometida, o código 2FA exclusivo impedirá o acesso não autorizado. É possível até armazenar tokens 2FA e gerar códigos únicos no Kaspersky Password Manager.