A seguran\u00e7a online \u00e9 o conjunto de pr\u00e1ticas, ferramentas e h\u00e1bitos que mant\u00eam as suas contas, os seus dados e a sua identidade fora do alcance de quem n\u00e3o deveria ter acesso a eles. Quase tudo o que fazemos hoje passa por um ecr\u00e3: o banco, a sa\u00fade, o trabalho, as conversas com a fam\u00edlia. Cada um desses servi\u00e7os guarda informa\u00e7\u00e3o sobre n\u00f3s e troca essa informa\u00e7\u00e3o atrav\u00e9s da Internet. Proteger essa troca, e proteger o s\u00edtio onde a informa\u00e7\u00e3o fica guardada, \u00e9 aquilo de que esta sec\u00e7\u00e3o trata.<\/p>\n
Aqui na shattered.io olhamos para a seguran\u00e7a a partir da criptografia, a ci\u00eancia que estuda como proteger informa\u00e7\u00e3o. Foi nesse terreno que a nossa equipa deixou marca, ao produzir em 2017 a primeira colis\u00e3o pr\u00e1tica da fun\u00e7\u00e3o de hash SHA-1. Mas a criptografia, por si s\u00f3, n\u00e3o chega. Mesmo o melhor cadeado \u00e9 in\u00fatil se a chave ficar debaixo do tapete. Por isso esta sec\u00e7\u00e3o trata tanto da tecnologia que protege as liga\u00e7\u00f5es como dos comportamentos que decidem, na pr\u00e1tica, se essa prote\u00e7\u00e3o serve para alguma coisa.<\/p>\n
Costuma ser \u00fatil dividir o tema em tr\u00eas frentes que se sobrep\u00f5em. A primeira \u00e9 a prote\u00e7\u00e3o das liga\u00e7\u00f5es, ou seja, garantir que os dados que viajam entre o seu dispositivo e um servidor n\u00e3o podem ser lidos nem alterados por terceiros pelo caminho. A segunda \u00e9 a prote\u00e7\u00e3o das contas, isto \u00e9, impedir que outra pessoa se fa\u00e7a passar por si para entrar onde s\u00f3 voc\u00ea deveria entrar. A terceira \u00e9 a prote\u00e7\u00e3o contra o engano, porque muitos ataques nem sequer tentam furar a tecnologia: convencem a v\u00edtima a abrir a porta de livre vontade.<\/p>\n
Estas tr\u00eas frentes encaixam umas nas outras. Uma liga\u00e7\u00e3o cifrada protege a sua palavra-passe enquanto ela viaja, mas n\u00e3o serve de nada se a palavra-passe for f\u00e1cil de adivinhar. Uma palavra-passe forte protege a conta, mas n\u00e3o impede que um site onde se registou seja invadido e a perca numa fuga de dados. E nenhuma das duas o protege de um email falso que o conven\u00e7a a escrever, de boa vontade, as suas credenciais num formul\u00e1rio fraudulento. A seguran\u00e7a real nasce da combina\u00e7\u00e3o das camadas, n\u00e3o de uma s\u00f3.<\/p>\n
\u00c9 tentador pensar que a seguran\u00e7a s\u00f3 interessa a alvos importantes: empresas, pol\u00edticos, pessoas com muito dinheiro. Na verdade, a maior parte dos ataques n\u00e3o escolhe a v\u00edtima. S\u00e3o autom\u00e1ticos, lan\u00e7ados em massa, \u00e0 procura de qualquer conta fraca, qualquer dispositivo desatualizado, qualquer pessoa distra\u00edda. Reutilizar a mesma palavra-passe em v\u00e1rios s\u00edtios, ignorar as atualiza\u00e7\u00f5es ou clicar sem pensar \u00e9 o que transforma um utilizador comum num alvo f\u00e1cil.<\/p>\n
As consequ\u00eancias de uma falha raramente ficam contidas. Uma \u00fanica conta de email comprometida costuma ser a chave-mestra para tudo o resto, porque \u00e9 por a\u00ed que se recuperam as palavras-passe de todos os outros servi\u00e7os. Uma fuga de dados num site onde se registou h\u00e1 anos pode entregar as suas credenciais a quem as vai experimentar em dezenas de outros s\u00edtios. E um momento de descuido perante uma mensagem bem constru\u00edda pode dar a um desconhecido acesso \u00e0 sua conta banc\u00e1ria. O custo n\u00e3o \u00e9 apenas financeiro: h\u00e1 a invas\u00e3o da privacidade, o tempo perdido a recuperar contas e o desgaste de descobrir que algo nosso anda nas m\u00e3os erradas.<\/p>\n
A boa not\u00edcia \u00e9 que a defesa n\u00e3o exige conhecimentos de especialista. Um pequeno conjunto de h\u00e1bitos, aplicado com consist\u00eancia, trava a esmagadora maioria dos ataques. Palavras-passe \u00fanicas e longas, um gestor de palavras-passe a memoriz\u00e1-las por n\u00f3s, a autentica\u00e7\u00e3o de dois fatores ativada, aten\u00e7\u00e3o cr\u00edtica perante mensagens inesperadas e os dispositivos sempre atualizados. Nenhuma destas medidas \u00e9 dif\u00edcil. O que faz a diferen\u00e7a \u00e9 pratic\u00e1-las todas, e n\u00e3o s\u00f3 uma.<\/p>\n
A partir deste centro, quatro artigos aprofundam os temas que mais pesam na pr\u00e1tica. Cada um pode ser lido por si s\u00f3, mas em conjunto desenham o retrato completo.<\/p>\n
O artigo sobre viola\u00e7\u00f5es de dados<\/a> explica como \u00e9 que os sites s\u00e3o invadidos, que tipo de informa\u00e7\u00e3o acaba exposta, que impacto tem na vida de quem foi afetado e o que se pode fazer para limitar os estragos. \u00c9 o lado da seguran\u00e7a que est\u00e1 fora do nosso controlo direto, porque acontece nos servidores de terceiros, mas que ainda assim nos atinge.<\/p>\n O texto sobre seguran\u00e7a de palavras-passe<\/a> trata daquilo que est\u00e1, esse sim, ao nosso alcance: como criar palavras-passe que resistem, por que motivo o comprimento conta mais do que os s\u00edmbolos esquisitos, como os sites guardam as palavras-passe sem as guardar em texto simples e por que raz\u00e3o um gestor de palavras-passe com dois fatores \u00e9, hoje, a base de qualquer defesa s\u00e9ria.<\/p>\n O artigo sobre HTTPS e TLS<\/a> abre o cadeado que aparece no navegador e mostra o que est\u00e1 por tr\u00e1s dele: como uma liga\u00e7\u00e3o \u00e9 cifrada, o que \u00e9 um certificado, quem s\u00e3o as autoridades que os emitem e, importante, o que o cadeado n\u00e3o garante. Muita gente confia demais nesse pequeno \u00edcone, e conv\u00e9m perceber exatamente at\u00e9 onde vai a sua promessa.<\/p>\n