Como forçar usuários do sistema a criar e usar senhas fortes

Os usuários de sistemas operacionais Linux e FreeBSD podem alterar as próprias senhas com o comando passwd.
Como administrador do sistema, você pode intervir de várias formas neste processo.
Vamos mostrar, neste breve artigo, como estabelecer as regras para seus usuários alterarem suas senhas.
linux tux badge
Senhas ruins, tais como “abc123”, “senha”, “123456” etc. serão recusadas pelo sistema.
Os exemplos, demonstrados no decorrer do texto, se baseiam em um sistema operacional Debian 9 “Stretch” testing. Aplicam-se automaticamente ao Ubuntu e outros derivados do Debian. Em outros sistemas, é necessário adequar os comandos de instalação do pacote libpam_cracklib — que inclui um módulo PAM que testa a qualidade das senhas, no momento em que são alteradas.

Como o libpam_cracklib funciona

A biblioteca libpam_cracklib verifica a força das senhas através de um método, que segue os seguintes passos:

  1. A nova senha é uma palavra, que consta do dicionário?
  2. A nova senha é um palíndromo?
  3. A nova senha é igual a anterior, com a mudança de apenas uma letra?
  4. A nova senha é uma versão “rotacionada” da sequência anterior?
  5. A nova senha é muito pequena?
    São usados 6 argumentos para fazer esta verificação: minlen, maxclassrepeat, dcredit, ucredit, lcredit, e ocredit.
  6. Opcionalmente, verifica também:
    • se há caracteres repetidos consecutivamente.
    • sequências muito longas de caracteres monotônicos.
    • se a nova senha contém o nome do usuário, em alguma forma.

Como instalar o libpam_cracklib

No Linux, os arquivos /etc/passwd e /etc/shadow, são usados para armazenar informações dos usuários — incluindo senhas.
No Ubuntu e no Debian, use o apt, para instalar:

sudo apt install libpam-cracklib

A instalação deve decorrer em um curto prazo, pois o pacote é de tamanho bem reduzido.
Depois de instalado, tente alterar a sua senha.
Veja alguns exemplos de mensagens de erro:

passwd

Neste exemplo, use respectivamente as senhas ‘justincase’, ‘1234567’ e ‘123’ — obtendo os seguintes resultados:

Mudando senha para justincase.
Senha UNIX (atual):
Nova senha:
SENHA INCORRETA: é baseada no seu nome de usuário
Nova senha:
SENHA INCORRETA: é muito simples/sistemática
Nova senha:
SENHA INCORRETA: é MUITO curta
passwd : Esgotado o número máximo de tentativas para serviço
passwd: senha inalterada

Como configurar o libpam_cracklib

Como você pode ver, no exemplo anterior, o aplicativo já vem basicamente configurado e pronto para usar, logo após a instalação.
É possível fazer alguns ajustes adicionais, contudo, para tornar o sistema mais seguro.
Antes de configurar o libpam, vamos fazer um backup do arquivo de configurações:

sudo cp /etc/pam.d/common-password /root/

A seguir, abra o arquivo em seu editor favorito:

sudo editor /etc/pam.d/common-password

Agora, encontre e substitua a linha:

password      requisite                       pam_cracklib.so retry=3 minlen=8 difok=3

pela seguinte:

password      requisite                       pam_cracklib.so retry=3 minlen=16 difok=3 ucredit=-1 lcredit=-2 dcredit=-2 ocredit=-2

Vamos entender o que foi feito e quais requisitos foram ajustados:

  • retry=3 — Prompt user at most 3 times before returning with error. The default is 1.
  • minlen=16 — Determina o comprimento mínimo (ou minimum length), requerido para a nova senha.
  • difok=3 — Este argumento altera o valor padrão mínimo do número de caracteres novos exigidos para a nova senha, em relação à velha. O padrão é 5.
  • ucredit=-1 — Determina que a nova senha necessita ter, ao menos, 1 caractere em maiúsculas (uppercase).
  • lcredit=-2 — Especifica o número mínimo de letras minúsculas para formar a nova senha.
  • dcredit=-2 — Especifica o número mínimo de dígitos, que devem compor a nova senha.
  • ocredit=-2 — Determina que a nova senha deva conter, no mínimo 2 símbolos.

Agora que você já sabe o significado, tem melhores condições de voltar ao arquivo e reajustar os valores de acordo com a sua própria política de senhas.
Notou os “valores negativos”?
O sinal ‘-‘ indica que se trata de um valor ‘mínimo’.
Use o sinal ‘+’ quando desejar estabelecer um valor ‘máximo’.

estabelecer uma política de senhas mais rígida pode trazer impopularidade ao administrador, mas torna mais difícil a vida de crackers que pretendam penetrar a sua segurança através da força bruta.

Para complementar este texto, sugiro a leitura de Use o apg para gerar senhas mais seguras — que explica como usar o aplicativo para gerar senhas aceitas pelos sistemas mais rígidos de segurança.

Use o apg para gerar senhas seguras para você

Se precisa gerar senhas seguras (realmente seguras) e que não sejam tão difíceis de lembrar, pode usar o utilitário apg, presente na maioria das distribuições GNU/Linux.
O apg gera senhas aleatórias, pronunciáveis (em inglês) e mostra uma string contendo palavras baseadas em cada senha sugerida — que pode ajudar a memorizar a sequência.
Você pode rodar o aplicativo diversas vezes, até encontrar a password que seja do seu agrado.
Neste texto, vou mostrar algumas dicas e exemplos de como rodar o apg, para ajudar você a ter uma ou mais senhas seguras.
apg password generator

Como o apg funciona

O aplicativo cria várias senhas aleatórias, através de 2 algoritmos e um gerador de números aleatórios embutido.
O algoritmo padrão é um gerador de senhas pronunciáveis, projetado por Morrie Gasser.
O outro algoritmo é um gerador aleatório de caracteres, que utiliza quatro conjuntos de símbolos para ajudar a confeccionar a palavra chave.
O resultado é uma combinação do uso destes algoritmos e os parâmetros fornecidos pelo usuário, na linha de comando.

Exemplos de uso do apg password generator

O padrão do apg é exibir 6 senhas, de até 11 caracteres, seguidas da pronúncia “silábica” (em inglês) de cada parte da senha.

apg
GaBlav7jed: (Ga-Blav-SEVEN-jed-COLON)
vib>Bach0 (vib-GREATER_THAN-Bach-ZERO)
EnBoapwur:ov8 (En-Boap-wur-COLON-ov-EIGHT)
JacEn-kuevcam7 (Jac-En-HYPHEN-kuev-cam-SEVEN)
yeolpUc2oj- (ye-olp-Uc-TWO-oj-HYPHEN)
ujyax1KoskOwb! (uj-yax-ONE-Kosk-Owb-EXCLAMATION_POINT)

Para tornar a memorização mais fácil, você tenta se lembrar da pronúncia, disposta na segunda coluna.
Também é possível especificar um outro número de senhas geradas, com a opção ‘-n’. A opção ‘-l’ serve para mostrar a pronúncia da letra, de acordo com o alfabeto fonético da OTAN, na coluna à direita:

apg -n 3 -l
Mabhaur0 Mike-alfa-bravo-hotel-alfa-uniform-romeo-ZERO
Vutudlav Victor-uniform-tango-uniform-delta-lima-alfa-victor
friWroac foxtrot-romeo-india-Whiskey-romeo-oscar-alfa-charlie

Para criar uma senha de acordo com o artigo Use a regra 8 por 4 pra criar uma senha segura, use o seguinte comando:

apg -a 0 -M sNcl -n 6 -x 8 -l
hyiFlib2 hotel-yankee-india-Foxtrot-lima-india-bravo-TWO
jeljyid5 juliett-echo-lima-juliett-yankee-india-delta-FIVE
gholmIc3 golf-hotel-oscar-lima-mike-India-charlie-THREE
chitOst8 charlie-hotel-india-tango-Oscar-sierra-tango-EIGHT
ashAbIg9 alfa-sierra-hotel-Alfa-bravo-India-golf-NINE
UgIsJin3 Uniform-golf-India-sierra-Juliett-india-november-THREE

Veja o que foi feito acima:

  • -a 0 — escolhe o algoritmo de geração de palavras-chave pronunciáveis. Como este é o comportamento padrão do aplicativo, esta opção é desnecessária.
  • -M sNcl — escolhe o modo de criação ‘sNcl’ — ou seja, a senha deve combinar símbolos/numerais, letras maiúsculas e minúsculas.
  • -n 6 — o comando deve exibir 6 resultados.
  • -x 8 — gera senhas com até 8 caracteres (este é também o tamanho mínimo padrão).
  • -l — exibe o texto de pronunciação ao lado.

Uma outra forma de obter senhas pronunciáveis e com a exibição da pronúncia, é com a opção ‘-t’:

apg -a 0 -M n -n 6 -m 11  -E 97 -t
wehydimpid3 (we-hyd-imp-id-THREE)
perchophtyo (perch-opht-yo)
niojkeajeph (ni-oj-keaj-eph)
ebjudfifkie (eb-jud-fif-kie)
necaishgofi (nec-aish-gof-i)
yonawthukki (yon-awth-uk-ki)

Você pode combinar as opções ‘-t’ e ‘-l’:

apg -a 0 -M n -n 6 -m 11  -E 97 -tl
taxikuthcib (tax-ik-uth-cib) tango-alfa-x_ray-india-kilo-uniform-tango-hotel-charlie-india-bravo
gadjerorub5 (gad-jer-or-ub-FIVE) golf-alfa-delta-juliett-echo-romeo-oscar-romeo-uniform-bravo-FIVE
lefkugjasja (lef-kug-jas-ja) lima-echo-foxtrot-kilo-uniform-golf-juliett-alfa-sierra-juliett-alfa
goumnawmej5 (goum-nawm-ej-FIVE) golf-oscar-uniform-mike-november-alfa-whiskey-mike-echo-juliett-FIVE
wedvabeitmy (wed-vab-eit-my) whiskey-echo-delta-victor-alfa-bravo-echo-india-tango-mike-yankee
skyraygimim (sky-rayg-im-im) sierra-kilo-yankee-romeo-alfa-yankee-golf-india-mike-india-mike

Como sempre, é possível obter ajuda do comando com a opção ‘–help’.
Espero que este tutorial te ajude a obter senhas mais seguras.

Use o Hydra para quebrar senhas por força bruta

O THC Hydra é uma ferramenta clássica usada para quebrar senhas. Resumidamente, é um programa para crackear senhas de login na rede e tem, como atrativo o fato de ser bastante rápida.
No Ubuntu 14.04 LTS, é possível instalar o Hydra, pelos repositórios oficiais, na versão 7.5 — sob a advertência de que deve ser usada apenas para meios legais. Tá certo…
For legal purposes only
A versão mais nova, pode ser adquirida no site oficial (link no final do texto) e, até o presente momento, se encontra na versão 8.1 — última atualização em Dezembro de 2014.
A ferramenta tem versões para Linux, Windows e Mac. Neste artigo, vou abordar a instalação e o uso (primeiros passos) no sistema operacional Ubuntu 14.04 LTS — os procedimentos de uso devem ser semelhantes nos outros sistemas.


Acesse mais posts sobre segurança e senhas através da caixa de buscas deste site.

O que dá pra fazer com o Hydra?

Salta aos olhos a possibilidade de se adicionar módulos para aumentar sua funcionalidade.
A ferramenta já foi testada e obteve resultados eficientes sobre vários protocolos de rede. Entre eles, citam-se AFP, Cisco AAA, Cisco auth, Cisco enable, CVS, Firebird, FTP, HTTP-FORM-GET, HTTP-FORM-POST, HTTP-GET, HTTP-HEAD, HTTP-PROXY, HTTPS-FORM-GET, HTTPS-FORM-POST, HTTPS-GET, HTTPS-HEAD, HTTP-Proxy, ICQ, IMAP, IRC, LDAP, MS-SQL, MySQL, NCP, NNTP, Oracle Listener, Oracle SID, Oracle, PC-Anywhere, PCNFS, POP3, POSTGRES, RDP, e Rexec.
O Hydra tem suporte a ataques contra proxies HTTP e SOCKS e ao ‘novo’ protocolo IPv6.
É uma excelente ferramenta, portanto, para experimentar e testar a segurança da sua rede e dos seus aplicativos.

Como o Hydra funciona?

Trata-se de uma ferramenta de quebra de senhas pela força bruta — método de adivinhação de senhas baseado em dicionário ou um banco de dados mais complexo. Em outras palavras, o software tenta todas as possíveis combinações de senhas até acertar.
Como sabemos, a maioria dos usuários usa senhas fracas para se logar nos seus sistemas e aplicativos.
É comum usar senhas baseadas em palavras que se tenha mais facilidade para lembrar: nome do(a) parceiro(a), dos filhos, do cachorro/gato, time de futebol, cidade natal etc.
Estes e outros dados podem ser obtidos através de engenharia social e armazenados em uma lista, que poderá ser usada pelo software para gerar combinações possíveis — e terminar o serviço mais rápido.
O Hydra é conhecido como um dos melhores neste setor e pode ajudar a detectar usuários que usam senhas frágeis. A partir daí, o administrador do sistema poderá encorajá-los a usar senhas melhores.

Como instalar o Hydra

No Ubuntu e em outras distros baseadas no Debian, o processo de instalação pode ser feito através do apt-get:

sudo apt install hydra

Existe uma versão gráfica do aplicativo hydra-gtk, que não será abordada neste artigo — mas, se quiser instalar, este é o nome do pacote.
Se quiser usar a versão mais atual, baixar o código fonte do site (link no final) e compilar na sua máquina é uma ótima opção.


Use a caixa de busca do site para encontrar artigos sobre criptografia

Como usar o Hydra

Na linha de comando (no terminal), você deve invocar o Hydra e informar, basicamente, duas coisas:

  • um alvo a ser atacado — endereço IPv4, IPv6 ou um nome DNS
  • um serviço ou protocolo, dentre os vários suportados, a ser quebrado

Roteador tecnicolor tela de autenticação
Para exemplificar, vou jogar o Hydra contra um roteador doméstico — cujo login é admin e a senha é a mesma coisa.

hydra -l admin -esn http://192.168.254.254

Veja o meu resultado…

Hydra v7.5 (c)2013 by van Hauser/THC & David Maciejak - for legal purposes only

Hydra (http://www.thc.org/thc-hydra) starting at 2015-07-22 13:04:50
[WARNING] The service http has been replaced with http-head and http-get, using by default GET method. Same for https.
[WARNING] You must supply the web page as an additional option or via -m, default path set to /
[DATA] 2 tasks, 1 server, 2 login tries (l:1/p:2), ~1 try per task
[DATA] attacking service http-get on port 80
[80][www] host: 192.168.254.254   login: admin   password: 
[80][www] host: 192.168.254.254   login: admin   password: admin
1 of 1 target successfully completed, 2 valid passwords found
Hydra (http://www.thc.org/thc-hydra) finished at 2015-07-22 13:04:51

Veja o que foi feito:

  • -l admin — Quando já se sabe, de antemão, o login do sistema em que se deseja entrar, informe-o na linha de comando com a opção ‘-l’.
  • -esn— Neste caso, só o que resta adivinhar é a senha. A opção ‘-esn’ faz com que o Hydra inclua nas suas tentativas a mesma senha do login e a senha em branco — que são situações corriqueiras em se tratando de roteadores domésticos.

No exemplo, abaixo, um ataque ao servidor MySQL local.

hydra 127.0.0.1 mysql -l root -P /usr/share/dict/portuguese -t 4

Uma situação comum, é usar o root como login padrão em instalações “domésticas” do MySQL.
A lista de senhas foi retirada do arquivo de dicionário ‘/usr/share/dict/portuguese’, presente no meu sistema. Você pode usar outro.
A opção ‘-t 4’ informa ao Hydra para rodar 4 tarefas em paralelo, o que ajuda concluir o trabalho mais cedo. O padrão do aplicativo é 16.
Veja o meu resultado:

Hydra v7.5 (c)2013 by van Hauser/THC & David Maciejak - for legal purposes only

Hydra (http://www.thc.org/thc-hydra) starting at 2015-07-22 13:43:06
[DATA] 4 tasks, 1 server, 429196 login tries (l:1/p:429196), ~107299 tries per task
[DATA] attacking service mysql on port 3306
[STATUS] 21726.00 tries/min, 21726 tries in 00:01h, 407470 todo in 00:19h, 4 active
[STATUS] 21484.67 tries/min, 64454 tries in 00:03h, 364742 todo in 00:17h, 4 active
[3306][mysql] host: 127.0.0.1   login: root   password: baleia
1 of 1 target successfully completed, 1 valid password found
Hydra (http://www.thc.org/thc-hydra) finished at 2015-07-22 13:46:45

Como se defender de ataques do Hydra

Há várias formas de se defender de ataques de força bruta.
Veja alguns métodos adotados por administradores de sistemas e engenheiros de rede:

  • Desabilitar ou bloquear contas após um número predeterminado de tentativas de acesso fracassadas.
  • Usar mais de um método de autenticação no sistema.
  • Implementar sistemas de autenticação baseados em hardwares, em vez de senhas.
  • Encorajar os funcionários a usar senhas geradas automaticamente. No ambiente Unix e GNU/Linux, podemos usar o sha1 ou o apg para gerar senhas seguras e difíceis de quebrar.

Use a caixa de busca para encontrar mais artigos sobre segurança.

Referências

Site oficial do THC Hydra: https://github.com/vanhauser-thc/thc-hydra.
Site do Concise-courses: https://www.concise-courses.com/hacking-tools/password-crackers/thc-hydra/.

Como encriptar um arquivo no Linux com gpg

O GnuPG, ou GPG, é uma ferramenta completa e poderosa que permite encriptar e proteger suas informações e sua comunicação.
O software oferece um sistema versátil de gestão de chaves, bem como módulos de acesso para todos os tipos de diretórios de chaves públicas.
logo do GnuPG
Neste artigo, vou mostrar como usar as opções básicas de encriptar e decriptar arquivos, na linha de comando — muito embora ela possa ser facilmente integrada a outras aplicações gráficas.
Por ser software livre o GnuPG respeita sua liberdade, sua privacidade e tem código aberto a auditorias.
O Ubuntu 14.10 LTS vem com a versão clássica, que tem foco na portabilidade.

O aplicativo vem já instalado nas grandes distribuições Linux — o que inclui o Fedora, o Ubuntu, Linux Mint, Debian etc. — e segue os padrões definidos pelo OpenPGP

Contudo, é possível baixar outras versões estáveis e mais avançadas, com suporte a outros recursos, no site oficial (veja os links ao final do artigo).

Mesmo que você não tenha nada a esconder, o uso de encriptação ajuda a preservar a privacidade das pessoas com quem você se comunica e dificulta a vida dos burocratas que comandam sistemas de vigilância, mundo afora.

Se você tem informações importantes a esconder — tais como dados da sua empresa, você está em boa companhia. Este é o sistema usado por Edward Snowden para esconder documentos comprometedores da NSA.

Como encriptar com o gpg

O comando pode ser usado para encriptar e decriptar eficientemente arquivos no Linux, FreeBSD e outros sistemas operacionais. Pode ser usado, também para criar assinaturas digitais.
Abra um terminal (Ctrl + Alt +T, no Ubuntu) e experimente os exemplos que seguem.
Para simplesmente encriptar um arquivo no Linux, use o gpg com a opção -c.
No exemplo, abaixo, o gpg é usado para encriptar o arquivo historico.txt:

gpg -c historico.txt

Após fornecer a senha e confirmar, o sistema irá criar um segundo arquivo historico.txt.gpg criptografado — este é o arquivo seguro.
Se este arquivo tiver informações sensíveis, é prudente apagar o original.
gpg confirmar senha

Use senhas seguras para sua conta de usuário e senhas de frase para sua chave GnuPG secreta.
A sua senha é a parte mais frágil de todo o sistema de encriptação —. Programas de ataque por força bruta ou dicionário são fáceis de fazer e implementar.

Como decriptar um arquivo, com o gpg

Aproveitando o exemplo já dado, vou mostrar abaixo como recuperar os dados do arquivo encriptado historico.txt.gpg. É simples:

gpg historico.txt.gpg

gpg-password-decriptar-box
Diferenças entre um arquivo “normal” e criptografado:

ls -lah hist*
-rw-r--r-- 1 justincase henry 805 Jan 20 16:16 historico.txt
-rw-r--r-- 1 justincase henry 318 Jan 20 14:57 historico.txt.gpg

Se você esquecer a senha, será impossível reverter a criptografia.
O arquivo com extensão .gpg é um arquivo binário, em oposição ao original .txt.

Como usar o padrão ASCII

Você pode criar arquivos encriptados no padrão ASCII, em vez de usar o padrão OpenPGP (binário e mais seguro), com a opção -a.
Veja como:

gpg -ac historico.txt

O procedimento resultará na criação do arquivo historico.txt.asc, cujo conteúdo pode ser visto assim:

cat historico.txt.asc 
-----BEGIN PGP MESSAGE-----
Version: GnuPG v1

jA0EAwMCOg2umLcrybhgycBpiRafCJBUEyKIyDMfXzEfCd+PwJVxI/+63ypL8lFZ
7+0YgzmSee+sooLTplJGbvlAVz23Y2KCcgmOC3v0URvUkT+7qhCsWLqYP0J21Ikr
Ie3DpqYwWxi9jeZ6Ae8cQDu0tUNVDV4zyV4Oim/DQZk7WwpIXgwwjnbfHEtdLqX3
etfq5OD8FMJN2nPoigIwLF6oq3m+CWGC64BqRx8QS81qMk6W8qmssC9iFYk84Csp
jOebc98pPjnt/5tnkHuISMRicLjtWKvlok2P80Nmv6h6WjkfpMmMZ4vAlkM7GtLl
IHiU9rPp31djpwpQoNQQN8VzJxMq4IdR0JAMaOUSV/oY6Q3voJOW8NW4+sOgLqAr
Ur9Tzwn+WMOo2pxBdjZ0/xI4mG6txDy6YLlh
=Tp7M
-----END PGP MESSAGE-----

Referências

10 dicas para criar senhas à prova de hackers.

Vou enumerar as dicas que hackers e especialistas em segurança digital seguem para lidar com as próprias senhas. Você pode usar algumas delas e adaptar outras à sua realidade.

LEIA MAIS:

Conheça a regra “8 por 4” para criar senhas seguras e fáceis de memorizar.

Crie uma senha nova e única a cada cadastro novo

Site novo, cadastro novo… senha nova! E não vale criar sequencias do tipo minhasenha1, minhasenha2 etc. A senha tem que ser inteiramente diferente das anteriores.
vpn-secure-network1-150x150

Mude todas as suas senhas, em todas as suas contas, a cada 6 meses

É semelhante à regra para substituir sua escova de dentes.
Marque em um calendário as datas para trocar suas senhas. Ataques de força bruta podem levar algum tempo para se concretizar e permitir a invasão. Se no meio disto, o cracker se deparar com uma troca de senha programada por você, seu ataque será frustrado, ainda em andamento — o “coitado” vai ter que começar tudo zero.

Não anote suas senhas

De que adianta evitar uma senha fraca e cometer o erro de deixá-la anotada em uma folha de papel?
Há estudos mostrando o quanto é comum as pessoas deixarem suas senhas anotadas em algum lugar perto de seus computadores. Saiba que os invasores já leram todos estes estudos.
Gerenciadores de senhas são a solução ideal para quem precisa lembrar suas senhas.

Não compartilhe

Senhas não são compartilháveis — Lembra da escova de dentes? Pois é.
Há outras formas de se compartilhar conteúdos que sejam do interesse de outras pessoas, sem a necessidade de entregar-lhes as suas senhas.
O problema aqui, geralmente, não é confiar ou não na sua esposa ou no seu marido. O problema está no fato de que você vai ter que dizer a senha em voz alta ou escrevê-la em um papelzinho para passar pra outra pessoa. Acredite nos especialistas: isto não dá certo.

Sites diferentes, senhas diferentes

As pessoas me odeiam quando eu digo isto…
Recentemente, um importante fórum na Internet teve sua segurança quebrada. Os invasores tiveram acesso a todas as senhas de seus usuários. Este incidente deixou vulneráveis todos os que utilizavam aquela mesma senha em outros sites, webmail, redes sociais, blogs etc.
Evite também usar a mesma senha para as contas de webmail, outra senha única para todas as redes sociais etc.

Alguém por perto? Cuidado ao digitar a sua senha

Tenha o cuidado de não digitar a sua senha quando alguém está olhando por cima do seu ombro. Se você usa apenas um dedo para digitar ou é lento, é muito fácil descobrir sua senha desta forma.

Não envie senhas por email

Sites de bancos ou que forneçam serviços online nunca vão te pedir seu nome de usuário ou senha. Um invasor pode se fazer passar por suporte técnico e te pedir informações deste tipo. Não caia nessa.

Troque senhas comprometidas

Se a segurança de algum site, no qual você tinha cadastro, foi comprometida, troque sua senha imediatamente. Se desconfiou que alguém pode ter descoberto sua senha, troque-a.

A opção de lembrar senha no navegador

Embora seja uma grande comodidade, esta solução apresenta graves riscos.
Estes riscos podem ser minimizados com algumas atitudes:

  • Se o seu navegador tiver a opção de perfil, use-a
  • Se o seu sistema operacional tiver a opção de perfil, use-a. Mesmo em computadores compartilhados por vários membros da família, o ideal é que cada um faça seus acessos dentro de seu próprio perfil
  • Se o computador usado não te pertence, lembrar a senha no navegador é uma péssima ideia

Evite digitar senhas em computadores que não te pertencem

Invasores podem instalar key loggers para capturar as senhas digitadas na máquina. Portanto, evite este tipo de situação.
Algumas pessoas instalam seu próprio sistema em um pendrive para fazer uso dele em cyber cafes e outros computadores públicos.

Saiba mais…