Como não se preocupar com notícias sobre vazamento de senhas

O ano começou com vários serviços tendo os dados de seus usuários expostos numa coleção que envolve vazamentos conhecidos e inéditos. Nomes de usuário, e-mails, senhas e outros detalhes sigilosos começaram a circular em sites de torrent.

Esses dados fizeram parte de coleções contendo milhões de senhas únicas e vazaram esta semana. Quem como usuário não cuida da segurança de suas contas deve ter iniciado 2019 preocupado com essas notícias.

Usar a mesma senha em diferentes serviços é uma das práticas condenáveis e dignas de tirar o sossego mesmo. Mas se você não quer mais se importar quando surgirem manchetes assim, trago a seguir algumas coisas que pode fazer para se proteger.

Ative a autenticação por dois fatores

Esse é o básico. Hoje temos muitos serviços compatíveis e a tendência é que cada vez mais eles fiquem cientes dessa ferramenta de segurança e implementem. Já escrevi sobre isso anteriormente e você pode saber mais aqui.

Use um gerenciador de senhas

Você não pode mais usar o pretexto de não conseguir memorizar sequer uma senha forte, quem dirá várias diferentes para os diversos serviços que possui. Com os gerenciadores de senhas, você precisa lembrar apenas de uma.

Desta forma, cada site que você usa pode ter uma combinação diferente contendo letras maiúsculas, minúsculas, caracteres especiais e números. Coisa que nenhum ser humano é capaz de memorizar ou desvendar. Até máquinas terão dificuldade.

Você pode usar, por exemplo, o LastPass ou o 1Password. Caso se preocupe em manter tudo sob seu controle, não tem problema. Experimente o KeePass que é multiplataforma e permite criar bancos de dados criptografados que podem ser salvos na nuvem.

Eles são capazes de preencher automaticamente os campos de login para você em sites (para o KeePass, use a extensão Kee.pm) e aplicativos. Dá até para desbloquear eles usando sua face ou sua digital quando usado em telefones. São muito convenientes.

E ainda podem ser usados juntos com…

Dispositivos de segurança físicos

Com esses aqui, você não vai precisar lembrar uma senha sequer, inclusive. Basta espetá-los ou aproximá-los do dispositivo onde está sendo feita a tentativa de login. Simples assim e você será autenticado.

O mais conhecido entre esses minúsculos equipamentos é a Yubikey, que custa a partir de US$ 20. Outro player desse mercado é o Google Titan Security Key. Eles são dispositivos físicos de segurança que contém uma chave criptográfica privada.

Ao ativar o uso deles, mesmo que saibam a senha do gerenciador ou serviço que você usa, não vão conseguir proceder sem eles. Assim o invasor precisará de: 1) sua senha, 2) acesso físico ao seu telefone desbloqueado e 3) sua chave física para ter sucesso.

Nem preciso dizer que não queira nem pensar em perder esse pequeno aparelho USB. Se seus bolsos forem fundos o bastante (afinal, compra internacional), compre dois dispositivos para caso um se perca.

Se esta for sua primeira vez adquirindo algo assim, compre uma Yubikey Series 5 ou o Google Titan. Além da conexão USB, eles funcionam por NFC (por aproximação). A versão do Google tem até Bluetooth. Isso permite usar ele com qualquer telefone.

A principal conta a proteger com elas é a do seu e-mail. A partir dele, é possível invadir todas as suas outras contas. Mas você pode usar essas chaves físicas em redes sociais também e onde mais for compatível.

Profit

Agora é só aproveitar. Depois de usar ao menos dois terços dessas dicas, você vai ter uma vida online muito mais segura. Da próxima vez que sair a notícia de que dados de conta vazaram, sua preocupação não será com invasões nas suas contas.

Pode parecer muita coisa para quem nunca lidou com isso, mas logo vira rotina e não vai ser incômodo após configurar tudo e começar a usar. Aprenda mais sobre o assunto dando uma olhadinha no site da EFF, porém o conteúdo é em inglês.