No ano passado, vimos uma enxurrada de not\u00edcias sobre vazamentos de dados pessoais de v\u00e1rios servi\u00e7os online e at\u00e9 mesmo de gerenciadores de senhas populares. Se voc\u00ea usa um cofre digital, ao ler sobre esse tipo de roubo de informa\u00e7\u00f5es, provavelmente come\u00e7ar\u00e1 a imaginar um cen\u00e1rio de pesadelo: cibercriminosos acessaram todas as suas contas cujas credenciais de acesso est\u00e3o armazenadas em seu gerenciador de senhas.<\/p>\n
At\u00e9 que ponto esses medos s\u00e3o justificados? Usando o exemplo do Kaspersky Password Manager<\/a>, mostraremos como funcionam as m\u00faltiplas camadas de defesa dos gerenciadores de senhas e o que voc\u00ea pode fazer para fortalec\u00ea-los.<\/p>\n Para come\u00e7ar, vamos analisar por que os gerenciadores de senhas s\u00e3o uma boa ideia. O n\u00famero de servi\u00e7os de internet que usamos est\u00e1 crescendo constantemente, e isso significa que estamos criando muitos logins e senhas. \u00c9 dif\u00edcil lembr\u00e1-los, mas escrev\u00ea-los em lugares aleat\u00f3rios \u00e9 arriscado. A solu\u00e7\u00e3o \u00f3bvia \u00e9 salvar todas as suas credenciais de acesso em um local seguro e, em seguida, bloquear esse cofre com uma \u00fanica chave. Ent\u00e3o voc\u00ea s\u00f3 precisar\u00e1 se lembrar de uma senha principal.<\/p>\n Quando voc\u00ea ativa o Kaspersky Password Manager<\/a> pela primeira vez, ele solicita que voc\u00ea crie uma senha principal que voc\u00ea usar\u00e1 para abrir seu cofre digital. Ent\u00e3o voc\u00ea pode inserir neste cofre os dados de cada servi\u00e7o de internet que voc\u00ea usa: URL, nome de usu\u00e1rio e senha. Voc\u00ea pode fazer isso manualmente ou pode configurar uma extens\u00e3o de navegador do gerenciador de senhas e usar um comando especial para transferir todas as senhas salvas no navegador para o cofre. Al\u00e9m de senhas, voc\u00ea pode adicionar outros documentos pessoais nesse lugar como, por exemplo, identidade digital, dados de um seguro, informa\u00e7\u00f5es de pagamento e fotos importantes.<\/p>\n Quando voc\u00ea precisa visitar um site, voc\u00ea abre o cofre e pode copiar manualmente os dados necess\u00e1rios para o formul\u00e1rio de login ou permitir que o gerenciador de senhas preencha automaticamente as credenciais de login salvas para o site. Depois disso, tudo que voc\u00ea precisa fazer \u00e9 bloquear este cofre.<\/p>\n Agora vamos ver os mecanismos de prote\u00e7\u00e3o. O arquivo do cofre \u00e9 criptografado usando um algoritmo de chave sim\u00e9trica baseado no Advanced Encryption Standard (AES-256), que \u00e9 comumente usado em todo o mundo para proteger dados confidenciais. Para acessar o cofre, voc\u00ea usa uma chave baseada em sua senha principal. Se a senha for forte, os invasores precisar\u00e3o de muito tempo para decifrar o segredo sem a chave.<\/p>\n Al\u00e9m disso, nosso gerenciador de senhas<\/a> bloqueia automaticamente o cofre depois que o usu\u00e1rio fica inativo por um determinado per\u00edodo. Se um invasor conseguir se apossar do dispositivo e conseguir contornar a prote\u00e7\u00e3o do sistema operacional e acessar o arquivo do cofre, ele n\u00e3o poder\u00e1 ler o que est\u00e1 nele se n\u00e3o tiver a senha principal.<\/p>\n Mas cabe a voc\u00ea configurar o autobloqueio. A configura\u00e7\u00e3o padr\u00e3o no aplicativo pode n\u00e3o bloquear o cofre at\u00e9 depois de um longo per\u00edodo de inatividade. Mas se voc\u00ea tem o h\u00e1bito de usar um laptop ou smartphone em um local que pode n\u00e3o ser totalmente seguro, pode configurar o travamento autom\u00e1tico para entrar em a\u00e7\u00e3o ap\u00f3s um minuto.<\/p>\n H\u00e1 outra brecha em potencial: se um hacker plantou um Trojan ou usou outro m\u00e9todo para instalar um protocolo de acesso remoto em seu computador, ele pode tentar extrair senhas do cofre enquanto voc\u00ea estiver conectado a ele. Em 2015, esse recurso de invas\u00e3o foi criado para o gerenciador de senhas KeePass<\/a>. Ele descriptografou e armazenou um arquivo inteiro com senhas que estava sendo executado em um computador com uma sess\u00e3o aberta do KeePass.<\/p>\n Contudo, o Kaspersky Password Manager<\/a> \u00e9 normalmente usado junto com as solu\u00e7\u00f5es antiv\u00edrus da Kaspersky<\/a>, e isso torna muito menos prov\u00e1vel que um gerenciador de senhas seja executado em um computador infectado.<\/p>\n\n O arquivo criptografado com senhas pode ser salvo n\u00e3o apenas em seu dispositivo, mas tamb\u00e9m na infraestrutura de nuvem da Kaspersky \u2014 isso permite que voc\u00ea use o cofre de diferentes dispositivos, incluindo computadores dom\u00e9sticos e telefones celulares. Uma funcionalidade especial nas configura\u00e7\u00f5es permite a sincroniza\u00e7\u00e3o de dados em todos os seus dispositivos com o Kaspersky Password Manager<\/a> instalado. Voc\u00ea tamb\u00e9m pode usar a vers\u00e3o web do gerenciador de senhas de qualquer dispositivo pelo site My Kaspersky<\/a>.<\/p>\n Qual \u00e9 a probabilidade de um vazamento de dados se voc\u00ea estiver usando armazenamento em nuvem? Primeiro, \u00e9 importante entender que estamos operando com base no princ\u00edpio do conhecimento zero. Isso significa que seu cofre de senhas \u00e9 t\u00e3o criptografado para a Kaspersky quanto para todos os outros. Os desenvolvedores da Kaspersky n\u00e3o poder\u00e3o ler o arquivo \u2013 apenas algu\u00e9m que conhe\u00e7a a senha principal poder\u00e1 abri-lo.<\/p>\n Muitos \u2014 mas n\u00e3o todos \u2014 dos servi\u00e7os atuais que armazenam senhas e outros segredos seguem um princ\u00edpio semelhante. Portanto, se voc\u00ea vir uma reportagem sobre um vazamento de dados de um servi\u00e7o de armazenamento em nuvem, n\u00e3o entre em p\u00e2nico imediatamente: isso n\u00e3o significa necessariamente que os invasores conseguiram descriptografar os dados roubados. Esse tipo de viola\u00e7\u00e3o \u00e9 como roubar um cofre de um banco sem ter a combina\u00e7\u00e3o para abri-lo.<\/p>\n Nesse caso, a combina\u00e7\u00e3o \u00e9 sua senha principal. Aqui est\u00e1 outro importante princ\u00edpio de seguran\u00e7a: o Kaspersky Password Manager<\/a> n\u00e3o salva sua senha principal em seus dispositivos ou na nuvem. Mesmo que um hacker acesse seu computador ou o servi\u00e7o de armazenamento em nuvem, ele n\u00e3o conseguir\u00e1 roubar sua senha principal do pr\u00f3prio produto. S\u00f3 voc\u00ea conhece essa senha.<\/p>\n No entanto, o vazamento de um arquivo criptografado com senhas tamb\u00e9m pode criar problemas. Depois que os invasores roubam um cofre, eles podem tentar invadi-lo.<\/p>\n Existem dois m\u00e9todos principais de ataque<\/strong>. A primeira \u00e9 a for\u00e7a bruta. Em geral, isso consome muito tempo. Se a sua senha for composta por uma d\u00fazia de caracteres aleat\u00f3rios e incluir letras mai\u00fasculas e min\u00fasculas, n\u00fameros e caracteres especiais, a for\u00e7a bruta de todas as combina\u00e7\u00f5es requer mais de um sextilh\u00e3o de opera\u00e7\u00f5es \u2013 isso \u00e9 \u2026 um n\u00famero inteiro com 21 d\u00edgitos, pessoal!<\/p>\n Mas se voc\u00ea decidiu facilitar sua vida e usou uma senha fraca \u2013 como uma \u00fanica palavra ou uma simples combina\u00e7\u00e3o de n\u00fameros como \u201c123456\u201d \u2013 o scanner autom\u00e1tico ir\u00e1 detect\u00e1-la em menos de um segundo, porque neste caso a for\u00e7a bruta n\u00e3o se baseia em s\u00edmbolos individuais, mas em um dicion\u00e1rio de combina\u00e7\u00f5es populares. Apesar disso, at\u00e9 hoje muitos usu\u00e1rios escolhem essas senhas f\u00e1ceis de descobrir (combina\u00e7\u00f5es de s\u00edmbolos que est\u00e3o h\u00e1 muito tempo nos dicion\u00e1rios dos scanners de hackers).<\/p>\n Os usu\u00e1rios do gerenciador de senhas LastPass<\/a> foram avisados \u200b\u200bsobre esse poss\u00edvel problema em dezembro de 2022. Quando a conta de um desenvolvedor do LastPass foi invadida, os invasores obtiveram acesso \u00e0 hospedagem em nuvem que a empresa usa. Entre outros dados, os cibercriminosos acessar os backups das senhas dos cofres dos usu\u00e1rios. A empresa disse aos usu\u00e1rios que se eles seguissem todas as recomenda\u00e7\u00f5es para criar uma senha principal forte e \u00fanica, eles n\u00e3o teriam com o que se preocupar porque \u201clevaria milh\u00f5es de anos\u201d para que um ataque de for\u00e7a bruta pudesse decifrar as combina\u00e7\u00f5es. As pessoas que usaram senhas mais fracas foram aconselhadas a alter\u00e1-las imediatamente.<\/p>\n Felizmente, muitos gerenciadores de senhas, incluindo o Kaspersky Password Manager<\/a>, agora verificam automaticamente a complexidade de sua senha principal. Se for fraca ou apenas de for\u00e7a m\u00e9dia, o pr\u00f3prio gerenciador emite um aviso ao qual voc\u00ea deve prestar aten\u00e7\u00e3o.<\/p>\n O segundo m\u00e9todo de hacking<\/strong> conta com o fato de que as pessoas costumam usar as mesmas credenciais de login para diferentes servi\u00e7os de internet. Se um dos servi\u00e7os for violado, os invasores for\u00e7ar\u00e3o automaticamente as combina\u00e7\u00f5es de login e senha em outros servi\u00e7os em um ataque conhecido como \u201cpreenchimento de credenciais\u201d. Esse tipo de ataque geralmente \u00e9 bem-sucedido.<\/p>\nPrinc\u00edpios gerais<\/h2>\n
Cofre digital e autobloqueio<\/h2>\n
Conhecimento zero<\/h2>\n
Uma senha principal forte<\/h2>\n
Senha principal \u00fanica<\/h2>\n