Ciclo de palestras Segurança da Internet - CERT.br: Autenticação

oi meu nome é milhão zuben hewson analista de sistemas do cert.br cert.br centro de estudos resposta e tratamento de incidentes no brasil é pertencente à únic br núcleo de informação e coordenação do ponto br mantido pelo comitê gestor da internet no brasil e nós temos feitos uma vez uma seqüência de palestras tratando sobre o tema de segurança a primeira palestra que já está disponível no canal do nic.br é foi sobre o backup e hoje nós estamos fazendo a nossa segunda palestra sobre a autenticação senhas e verificação em duas etapas vai falar rapidamente sobre o que

é o que é autenticação de forma em geral daí com mais detalhes quais são os grupos de mecanismos de autenticação e aí quais são os cuidados que devem ser tomados em cada um desses mecanismos é bom quando a gente fala em segurança da informação na parte mais específica sobre o controle de acesso a gente tem três as que seriam autenticação autorização ea auditoria autenticação ele é o processo que permite verificar a identidade é de um usuário é assegurando que ele é realmente que ele descer o que garante que os equipamentos e as contas seja utilizado

apenas por aquele usuário a gente tem autorização que o processo que garante que a pena que aquele usuário tem acesso apenas os recursos nem que são autorizados a ele e auditoria que é uma forma de coletar informações sobre o usuário faz é naquele sistema hoje nós vamos focar na parte de autenticação autenticação tem três grupos básicos né três grupos tradicionais no que ela se baseia para poder identificar o usuário não seria aquilo que é apenas usuário sabe até aquilo que é apenas usuário possui e aquilo que que o usuário é você já estariam os três

métodos básicos tão ser baseados em conhecimento em posse e na existência aquilo que é apenas usuário sabe pode ser uma senha uma pergunta de segurança é uma informação pessoal o número pin 81 o padrão é algo que é desenhado para desbloquear uma tela por exemplo aqui aquilo que é apenas usuário possui e é isso tenha realmente com posse pode ser um equipamento que ele tal que ele usa para fazer um acesso seja um notebook um tablet um é um celular pode ser um cartão de senhas pode ser um token de verificação então tem a ver

com a posse e alguns nas tecnologias mais novas que é uma pulseira um anel um relógio com alguns recursos tecnológicos é diferentes e aquilo que o usuário é seja está muito associado com a a biometria então pode ser uma impressão digital a palma da mão é o rosto dele um scanner de retina então está associado a ele nem aquilo que ele é e tem alguns métodos novos que estão sendo considerados mas que ainda não têm um consenso se isso seria um mecanismo de autenticação ou apenas um controle de segurança seria a localização do usuário se

você utilizar o local onde está a localização geográfica de lhe permitir ou não é um acesso ou então a determinar dependendo da rede que ele tiver ele pode ou não acessar e outro que seria referente ao horário em que aquele acesso é tá sendo feito então sim pode ser considerado às vezes como um fator de autenticação ou não dependendo da da classificação que isso que é feita com o método usar ou desses que é melhor isso depende muito depende é do quanto o usuário tem facilidade de neco aquele mecanismo que está sendo usado qual é

o valor da informação que está sendo protegida o custo de implementação e de manutenção da tecnologia que está sendo usada e até mesmo da confiabilidade do mecanismo que vai ser escolhido ele pode ser usado sozinho ou em conjunto por muito tempo foi usado apenas um mecanismo de autenticação que seria a senha que a gente vai ver com mais detalhes mas é chamado de uma autenticação simples né só que aí devido a diversos problemas que a gente vai citar a senha não é mais suficiente ela sozinha já se mostrou insuficiente para controlar o acesso na na

internet então para aumentar a segurança a senha tem sido usado juntamente com algum outro fator de autenticação então isso não é chamado de verificação em duas etapas esse é o nome que a gente usa mais é dependendo do sistema que está sendo acessado pode ser chamado de aprovação de login verificação autenticação de dois fatores verificação autenticação em dois passos então a nomenclatura é varia bastante e aí tem outro e foi evoluindo é pra quê para sistemas que usam três fatores de autenticação é também outro factor authentication e um nome magnético de multi factor é utente

queijo francês considerado uma verificação 2003 ou em múltiplas etapas têm que utilizar é recurso de diferentes tipos então por exemplo se pode utilizar aquilo que você sabe junto com aquilo que você possui então aquilo que você sabe junto com aquilo que você é utilizar por exemplo a senha e uma pergunta de segurança os dois pertencem ao mesmo grupo não é considerado é um do fator de autenticação se possa ser considerado uma autenticação forte mas não é considerado um fator duplo ou triplo então tem que ter pelo menos de dois desses grupo low dos 5 dependendo

do que a da implementação que é feita a gente vai falar um pouco sobre todos eles mas só com mais detalhes o que seria essa verificação duas etapas é um recurso extra que ela é oferecido por diversos serviços serviço gmail oferece isso redes sociais e internet banking nuvem em alguns ela ainda é opcional no começo era opcional é na maioria mas isso está mudando então ele já tem visto é um sistema em que é obrigatório se não ativar essa verificação em duas etapas não o usuário não consegue se logar uma camada extra e que vão

ver que ajuda muito a melhorar a segurança das suas contas porque não basta mais um atacante e descobrir apenas uma etapa seja descobrir apenas a sua senha é que descobrir sua senha junto com alguma outra é informação a gente vai falar um pouquinho nos exemplos de cada uma desses nesses grupos né e junto quais são os cuidados que têm que ser tomadas quem optar para o cruzarmos né as senhas que oferecem até o mais comum dos mecanismos usados na internet é muito simples é implementada e com assim com avanço na internet e com a quantidade

cada vez maior de serviços sendo oferecido na internet o usuário acabou ficando em uma posição complicada porque ele tem que gravar e que nessa saber diversas senhas e com essa quantidade tão grande de 6 que ele tem que saber teve um efeito contrário que é as senhas começarem a ser os olhos começaram a escolher sendo cada vez mais fracas e os atacantes também ficar de olho nisso você acha que tem diversos serviços serão oferecidos que baseia seu nome somente em senha então descobrir não é tentar descobrir qualquer senha podem invadir essas contas nesses serviços como

é que uma conta pode ser descoberta na internet pode ser de diversas formas se o usuário não utilizar um computador estiver infectado por algum tipo de malware pode ser por exemplo spy 1 que logan aquele mal e vai com o pt nem vai gravar aquela senha que o usuário ta ta teclando ali está entrando e mandar isso com um atacante se o computador estiver invadido na mesma coisa da mesma forma o atacante pode vir a ter acesso o usuário digitar senha no site falso no site de phishing achando que ele está no site verdadeiro usuário

vai lá e acessa coloca lá a senha dele mas na verdade está sendo um site falso e em vez de mandar o site verdadeiro essa senha vai para o atacante que aí pode também tentar se autenticar como ele através de de força bruta ou seja se uma senha o usuário pode um atacante pode ficar tentando de diversas tentando várias vezes ou então poucas vezes mas durante o período longo de tempo tentar adivinhar com aquela senha a pega o nome ou então qualquer conta do usuário fica tentando pega senhas com 1 234 são seis muito usados

na internet vai tentando tentando até aqui se não for uma senha bem elaborada ele pode conseguir é invadir aquela conta se uma senha estiver trafegando na rede sem criptografia também um atacante pode obtê la se tiver algum tipo de vazamento né aquele arquivo onde estão armazenadas de alguma forma vazarem na internet também um atacante pode ter acesso àquela senha por meio de técnicas de engenharia social seja alguém tentar ligar com o usuário tentar se passar pelo banco e falasse olha eu preciso da sua senha para poder fazer algum tipo de autorização e aí o usuário

acredita que está realmente falando com o banco e passa a ser então se a gente chama de engenharia social sem forma de tentar enganar o usuário a de forma espontânea oferecer contar qualquer a senha dele onde falam mais simples se você acha que está a falar digitando a senha tem alguém perto olhando alguém tome o seu ombro assim tentando verificar qual que é a sua senha ou então vendo aquilo que você clica no mouse então tem muitas formas que alguém pode né um atacante pode usar para tentar descobrir uma senha esse é o atacante tiver

posse da sua senha e se tiver sendo usado um único fator de autenticação ele pode fazer a mesma coisa que você faça a mesma coisa que o usuário dono daquela conta faz então se for uma conta de e mail por exemplo pode ler todas as mensagens a pagar mandar mensagens como sendo ele e aí dentro dessas mensagens colocar por exemplo o link para o phishing ou então atacar é deixar colocar anexado um malware pode fazer todo tipo de atividade é a mesma coisa que o usuário poderia fazer mas o atacante fazer isso de forma maliciosa

ele pode pedir o reenvio das senhas de outros juntos né a senha hoje é muito usado pra receber a senha quando alguém esquece você vai passar esqueceu a senha você cadastra você perde tem aquele meio que você cadastrou e aí você recebe ali era um link ou uma senha nova tampa pode ser e posse daquele né no acesso àquela conta gmail ele pode conseguir o acesso a outras contas que tem aquele meio é cadastrado e também o atacante pode trocar a senha de forma que você não consiga não de forma simples acessar novamente aquela conta

que tiver acesso pode acessar um equipamento e também coletar todas as informações que estão ali verificar qualquer lista de contato verificar ter acesso a fotos a vídeos toda aquela informação que estiver armazenada em relação à rede social é hoje as contas de redes sociais elas são muito visadas por atacantes porque é tudo ali tudo na rede social se propaga muito rápido então é conseguir invadir uma conta de uma pessoa que tem muitos seguidores e da linha colocar um link um phishing ou então com o mal é a quantidade de vítimas tende a ser grande porque

geralmente as pessoas acreditam naquilo que está recebendo de alguém conhecido e não pensa que pode estar vindo de uma conta invadida em conta de outras redes sociais são muito visadas principalmente é por causa disso não se pode fazer é aquilo que o usuário poderia fazer porém o intuito é malicioso a gente vai passar agora alguns cuidados a gente tem que ter a elaborar ao usar ou quando for all terá uma senha é de forma bem geral é que se deve evitar quando você for criar elaborar uma senha não colocar informações pessoais não colocar o nome

e sobrenome data de aniversário placa do carro qualquer informação que pode ser facilmente é associada a você ou então informação que você coloca na rede social e que se coloca no blog foi lá o nome cachorro o nome do gato e ao que é a sua música preferida então sim coisa que você divulga muito e que qualquer um que tenha acesso às redes sociais não é tem acesso àquela informação também não deve ser utilizado como senha sequência de teclado pode ser muito né foi rapidinho ali que wrt mas isso vai também são seis são seis

que foram muito contestados pelos atacantes quando eles querem invadir uma conta e quando um atacante que invadiu uma conta ele pode pegar um dicionário que está disponibilizado na internet esse dicionário ter por exemplo as palavras de uma determinada língua e ou então ter um personagem sem palavras com muito comuns naquela língua não apenas a definição das palavras e começar a testar assim palavras que são muito comuns também tem que ser evitadas e o que usar netão que deve usar se for principalmente um sistema que o acesso só aceite como é números né como senha tem

que utilizar o número de forma mais aleatória possível não colocar a sua data de aniversário não colocar a rua é o número da sua casa também evitar informações que pode ser associado com você então quanto mais aleatório é melhor diferentes tipos de caracteres é tentar é bagunça um pouco a sua senha para dificultar e usar grande quantidade de caracteres unisse o ano passado ele lançou um guia com dicas sobre elaboração e sobre como tratar senhas e muitas verdes que tenha sido usado de você a criar uma senha misturando caracteres é isso já não está mais

tão forte assim hoje a grande dica é você tem uma grande quantidade de caracteres é melhor você ter é uma saia longa é mais difícil dessa descoberta do que uma senha pequena com caracteres embaralhados então é nesse guia do início é interessante que eles falassem a idéia é tentar melhorar a vida do usuário não criar tantas regras que fica impossível né do usuário se lembrar senha e a ele cabe o cabo optando por soluções que não são recomendadas em uma grande dica assim diferente de muito do que vem sendo falado nos últimos anos né quero

você ter essa só seis misturadas com hoje a grande dica é você ter uma senha longa então ela acaba sendo é o mais seguro e o próprio sistema às vezes ele que eles naquele sindicam pode funcionar sem 123456 é uma ceia mais usada na internet próprio sistema que está ali cadastrando a senha pode evitar ou ali dá algumas dicas para o usuário que olha não utiliza sua senha então ali na própria na própria interface pode ajudar o usuário a escolher melhor a sua senha então que algumas práticas nessa alguém foi lá pra cá elaborar uma

senha você pode pegar uma frase uma frase que você gosta e selecionar alguns caracteres estão aqui no exemplo a gente usa é o cravo brigou com a rosa debaixo de uma sacada e agente gerou uma senha pegando é as iniciais e quando um caractere ele o ponto de interrogação no começo só pra dificultar um pouco isso é uma forma de gerar a senha a outras que seria mais indicado é que eu comentei você escolher uma frase longa então alguma uma frase que tem algum significado com você pra você mas o que você não fique falando

dela o tempo inteiro é nas redes sociais e você pode também inventar um padrão de substituição tá isso né tem que ser um padrão próprio porque têm padrões que já são muito muito usados por isso é o 10 é o office 2010 é em si um patrão que é muito manjado então criar um tentar criar um padrão próprio de de substituição em relação a alguns cuidados que você tem que ter quando estiver utilizando as suas senhas é tem que ter cuidado senão veja quanto for digitar a senha ver se não tem ninguém observando tentando olhar

ali para ver o que você está fazendo não deixassem os anotados em qualquer lugar eu não pegar aquele post escreveu a senha e deixar colada é no seu monitor e aí qualquer um que estiver passando por ali pode acessá los e também ter muito cuidado você para usar equipamentos de outras pessoas né e você tem você não sabe qual é a segurança daquele outro equipamento então você está utilizando o equipamento que você não conhece você vai estar no plenário expondo a sua senha não fornecer sua senha para as outras pessoas é a senha é pessoal

e intransferível não é como a gente sempre fala é pessoalmente por telefone se alguém ligar e tentar impedir sua senha é nunca nunca assim os bancos já em forma fácil nós não pedimos senha por telefone o serviço já né dificilmente algum serviço vai te pedir aquela senha então nunca nunca acreditar nisso sempre utilizar a conexão segura quando envolver senhas ou seja dar uma olhada em seu site que você está acessando é utilizar a attps e na nossa cartilha tem algumas dicas também que pra como reconhecer se um site é e seguro então assim sempre verificar

se alguma informação que está sendo uma formação sensível que está sendo transmitida sim né é ali é uma conexão segura ou não e ter muito cuidado o que a gente tem tendência a aquela senha que é do trabalho você utilizar no seu e mail pessoal ou então vice versa então ter um pouco de cuidado em não misturar os contextos ea gente vai ver também a questão de utilização de senhas então se você utiliza a mesma senha pessoal ou profissional mas no momento que uma conta invadida a outra também pode ser facilmente acessada que você deve

evitar é evitar salvar só senhas no navegador web tem muito mal aqui quando infecta o equipamento ele vai à procura de senhas que podem estar lotadas e podem ser gravadas naquele equipamento e vital essas opções e lembre se de mim e continuará conectado porque também tem muito mal aqui vai né e busca por esse tipo de informação como já falei 'não não reutilizar senha né porque basta nessa tal na verdade facilitando a vida do atacante basta ele conseguiu acesso a uma a conseguir uma senha e ele vai ter acesso a diversos serviços que são algumas

dicas que pode ser seguida você pode criar alguns grupos e senhas você pode criar uma senha muito simples que até vai baixar o manual você pode criar uma senha muito simples e se reutilizar bastante porque o dano ali né se alguém descobrir aquela senha no máximo ele vai baixar o manual de novo por você então se não é um dano grande e agora se for um site não faz bancar no site de comércio eletrônico em que o recurso ali é muito valioso a essência deve criar senhas únicas e sem as fortes agora sim o valor

protegido não é tão grande é aquilo que você está protegendo também talvez você possa é não ter uma senha não é tão forte assim isso é uma dica é você criar diferentes grupos de senhas é você pode anotar 100 no papel mas desde que ela seja armazenado num lugar seguro com o frei não colocar lá né no monitor sem garantir a segurança do local onde ela tá gravado você pode pegar suas senhas e gravar um arquivo criptografado criptografado no seu no seu dispositivo ou então tem diversos sistemas gerenciadores de senha que também é podem podem

auxiliar em relação à alteração de senhas também é uma das mudanças que propõe também a gente já vinha seguindo já vinha indicando na nossa cartilha que é não criar aquele mecanismo que diversas empresas é usavam que era você forçar o empregado o usuário a trocar constantemente a senha e e criar regras muito rígidas e que há não só não pode ele tem que trocar como ele não pode usar a mesma senha que ele usou nas últimas cinco vezes em diversos estudos que mostram que é você forçar o usuário a trocar a senha isso é que

ele acaba acaba escolhendo 6 cada vez mais fracas né então a senhora já tenho todo um trabalho de criar uma senha forte e se ele cuida da senha ou seja ele não expõe a senha é não tem porque ficar forçando ele a trocar constantemente aquela senha então é mas em alguns casos realmente é o usuário tem que trocar quando que ele tem que trocar imediatamente exemplo se tiver alguma desconfiança que aquela senha é tenha sido descoberta então às vezes a gente vê na internet a senha de um determinado serviço foram vazados então talvez valesse um

momento é você ir lá e já trocar sua senha se você usou um computador e que depois se descobriu aquele computador está infectado também se tem que trocar imediatamente a sua senha aí quando quando você deve trocar a senha rapidamente se você perder um computador um equipamento e aí você vai lá e troca todas as senhas que estavam né do serviço que podem ser acessados por aquele equipamento se você usar um padrão de formação de senha e uma das suas senhas foi descoberto então assim e se pode lá outra né uma dancinha foi descoberta usando

aquele padrão tem grande chance de o atacante tentar né brinca o padrão tentar descobrir as outras senhas então alterar a senha e também alterar o padrão e sempre que você adquiriu o equipamento é que é acessível pela internet hoje infelizmente tem diversos equipamentos que vem um senha padrão é o então até mesmo sem senha só será efetivamente você tem um equipamento desse você deve também alterar rapidamente a senha quando a gente fala sobre a eu tinha a gente vê o que um dos grandes problemas hoje relacionado à internet das coisas essa grande quantidade de equipamentos

vindo com senha padrão ou sem senha esses equipamentos estão participando de de ataques na internet então sempre que você adquire esse tipo de equipamento é bom você ir lá e alterar a senha ou colocar uma senha e vendendo da casa né se não tiver e nos demais casos regularmente isso daí é o que for é o que você achar que é satisfatório para você não tem um número maior número assim que a gente possa indicar em relação à recuperação de senhas né existe momento que você vai esquecer sua senha que você vai ter que ir

lá e de alguma forma tentar é recuperá lá então tem algumas opções que você pode já configurar como por exemplo mandar um e mail alternativo então você esqueceu a senha da sua conta de e mail você pode configurar um e mail alternativo para receber aquela a senha da sua conta principal é você pode cadastrar uma pergunta uma dica de segurança para ajudar você a lembrar um número de celular para daí você receber também um link para você trocar a sua senha se você for usar alguma dica de segurança né que é um recurso pra ajudar

você a lembrar da sua senha também é muito cuidado com a dica que você vai colocar não colocar uma dica muito fácil eo sistema vai mostrar pra você e isso vai passar a dica é qual é o nome do seu cachorro também essa informação está na nota nas redes sociais então ter um pouco de cuidado no que você vai escolher e quando você solicitar sua senha receberá sua senha por e mail tentar trocá lo o mais rápido possível hoje está um pouco mais difícil de acontecer mas em alguns casos a senha em rinha em texto

claro por e mail assim nesses casos você tinha que ir lá e trocar rapidamente nessa senha para casa alguém né se tivesse um acesso aos e-mails poderia também receber isso ou que alguém tivesse vendo que está passando pela rede e cadastrar uma conta de e-mail que você acessa regularmente senão você vai ter dois problemas e vai esquecer duas senhas aí você não vai é ser bem mais difícil você conseguir acessar em relação à pergunta de segurança ela é também considerado como um tipo de autenticação porque ela é uma informação pessoal né ela geralmente usado em

conjunto com um com a senha pra a recuperação e tem esse cuidado né se for colocar alguma pergunta de segurança é não colocar algo que seja muito muito fácil de descobrir que têm casas público de contas que foram invadidos justamente porque alguém foi lá e ficou tentando aquelas perguntas de segurança padrão até que conseguiu descobrir uma resposta dá uma dica às vezes você pode criar sua própria questão não utilizar aquela questão que está lá já pré pré definida estão falando agora de outros tipos né de identificação a gente falou daquilo que apenas você sabe nem

se você quer um conhecimento daquilo agora ele vai falar daquilo que apenas você possui aquilo que você tem posse eu vou citar vários exemplos assim tem muito mais do que eu vou citar mas vou falar dos principais que a gente tem visto que tem sido utilizado então tem um top o token gerador de senhas em um hardware é que você conecta no seu equipamento e que ele vai gerando códigos nessa escola geralmente são válidos apenas por um determinado período e aí você utiliza aquele código para poder se autenticar tem que ter cuidado em todos esses

mecanismos baseados em pó se você tem que ter muito cuidado para não perder porque se você perdeu o atacante vai ter acesso aquilo então sempre guardar o seu topo em um lugar seguro também nunca informar o valor que está parecendo aquele toque por e mail então é por telefone e caso perca o seu topo em tentar entrar em contato com um um site com onde aquele seu serviço até hoje aquele toquinho utilizado para tentar a revogá lo em relação ao cartão de segurança são aqueles cartões que é vem com uma grande quantidade de senhas né

e aí o próprio sistema dá um número e aí você vai lá e verifica qual que ocorre em qualquer outro número correspondente àquela posição que ele passou também é uma forma de autenticação baseada em posse é ter cuidado então onde você guarda é esse cartão e tem alguns códigos maliciosos ou mesmo página falsa que pede todos os cartoons número ao mesmo tempo então assim né nunca passar mais do que o número um molde nénão tipo de acesso e nunca informar a todos de uma vez só não é o próprio a forma como funciona os cartões

de segurança é apenas um número que você passa por vez e uma uma outra forma de você verificar é que no site que utiliza o cartão de segurança geralmente têm um número em cima que identifica o seu cartão vão verificar se aquele número que aparece é o mesmo número que aparece no seu cartão você pode ali é e conferir em relação a chave de segurança é um outro recurso que tem sido bastante utilizado que é um equipamento que ele tem uma tecnologia própria é e que pode ser conectado no equipamento ou então pode ser via

bluetooth ou alguns protocolos baseados em em possibilidade que ele tem um esquema é que você vai no serviço e habilita que você vai utilizar esse tipo de chave de segurança aí temos não esquema de chave pública e privada que é gerado dentro ou serviço que está sendo utilizado e agravado nessa sua chave de segurança que também oferece 111 nível alto de segurança a gente tem visto isso sendo é bastante utilizado mas também se você tiver esse tipo de recurso é ter muito cuidado para não perder a e se perder também entrou em contato para tentar

é revogar uma forma de autenticação também é baseado no seu como no seu computador assim ele sabe que quando você faz no primeiro acesso no site ele identifica com o que é aquele equipamento que você está acessando a que ele chama de ter um dispositivo confiável e ele passa um código que você vai digitar e nos outros acessos você não vai os outros acessos feitos desse mesmo computador que já foi autenticada você não vai ter que entrar com uma senha novamente então também uma forma de identificá algo que o que é seu se for um

celular ou um equipamento móvel é também em caso de perder revogar é entrar nos sistemas e falar que aquele dispositivo já não é mais é mais confiável então ter um pouco de cuidado e o código de verificação é verdade é baseado em posse porque é ele é mandado própria um geralmente prompan o seu smartphone para o seu tablet então se você é quem tem a posse do equipamento que vai estar recebendo aquele código de verificação ele é bastante utilizado seja acho que talvez dentre todos esses citados sejam mais utilizado hoje em que o sistema vai

lightman do número e aí você olha aquele mundo que você recebeu no seu equipamento pode ser pode vir a mensagem e ou então às vezes por e-mail e aí você vai e coloca aquele código que você recebeu entanto chamado de de código de de verificação um cuidado extra que você tem que ter quando estiver utilizando nessa escola de verificação é ter certeza que aquele meio que você foi lá e cadastrou para receber é que ele ainda seja área ou seja você foi lá e cadastrou o seu celular você trocou o número de celular você tem

que ir lá e tem que alterar porque se não você não vai conseguir receber esse código e tudo aquilo que depende de posse neco a gente fala de smartphone é evitar de cair num problema de que assim você esqueceu seu celular em casa você não faz nada você está sem bateria se você está sem conexão às vezes você não consegue fazer algum tipo de operação que você precisa então você tem que garantir o funcionamento daquele daquele equipamento verificação ele pode ser enviado no 8 às vezes tem um aplicativo que a gente chama de aplicar se

de uma autêntica fator que gera também ele corre pra você e aí o que fazer se você cadastrou isso tudo é e você está sentindo e não tem mais acesso aos seus equipamentos tem como você ir lá e desabilitar verificação em duas etapas ou então é tem alguns recursos extras que você pode utilizar dependendo do sistema quando você habilita a verificação em duas etapas ele te dá uma chave de recuperação para estudar um código que é esse código você tem que armazenar ele em algum lugar você tem que a notá lo de forma segura e

que assim você não tem mais aquele o celular por exemplo que você cadastrou você tem esse recurso extra para ainda conseguir é autenticá e aí por exemplo trocar o número do seu telefone e uma outra forma é uma lista de códigos que o sistema que passa ea escolhe um som sendo usados em consequência também uma outra forma de você conseguir é ser autêntico então tudo aquilo que é baseado em posse como eu comentei isso tem que ter muito cuidado realmente para garantir que aquilo não caia em mãos erradas aquilo que você é que é muito

relacionado à biometria e só quem tem muitos estudos que estão sendo feitos então tem muita coisa passar pode ser às vezes por reconhecimento de fala ou então teu uso de self esteem vários neve várias formas e você utilizar a informação da pessoa mas ainda teve cursos caros é algum equipamento já vem com isso mas geralmente os equipamentos mais novos mas topo de linha assim algo que ainda está em desenvolvimento mas algumas questões que a gente sempre fala quando se trata de biometria aqui é sobre o mestre assim você deixa ela em todos os lugares é

tão sensível à pressão digital a a minha aqui nessa mesa aqui no copo então é algo 15 em alguns recursos que se alguém quiser coletar minha impressão digital que não é algo simples mas é algo possível a parte boa da biometria é que ela está com vocês e não precisa carregar nada só carregar um toco em você não precisa carregar o cartão não se lembrar de algo tão alto que está sempre com você mas a segurança né da biometria na verdade ela depende muito do é onde aquelas informações estão thomas jornadas então a gente tem

tem que ter esse cuidado para quem opta por usar um sistema de autenticação biometria porque a impressão digital na verdade ela é armazenada em algum lugar para depois poder ser comparada a gente depende muito da segurança desse local e não tem como você revogar sua impressão digital por exemplo se a uma senha foi descoberta você vai lá e trocam e aquilo que é seu não tem jeito então por isso tem que ter um cuidado extra também para quando a gente fala e usa recursos de biometria que sua impressão digital é sempre a mesma né e

isso é algo que tem muitos estudos que estão sendo feitos têm formas é que estão funcionando mas ainda tem por exemplo quando usa o self um céu foi então usa é o reconhecimento facial às vezes já teve casos em que colocar uma foto foi o serviu pra é desbloquear o telefone assim têm níveis também que você pode lá e configurar quando está utilizando biometria fazer pra esse sistema ele pode exigir que apareceu seu rosto e que você piske então para ter certeza que não é uma foto também têm níveis e biometria que você pode configurar

mas quando comentei né isso ainda algo que está sendo bem o que está sendo bem em desenvolvimento aqui alguns cuidados extras né que a gente tem que ter em relação a dados pessoais né como falei muitas coisas são enviadas para você ou então eles utilizam informações pessoais para poder verificar que você é você mesmo então você tem que ter o cuidado de sempre manter por exemplo seu número de celular é cadastrado e atualizado às vezes fazem alguma pergunta baseada sem a qual é sua data de nascimento no seu cadastro e utilizar isso também é uma

forma de identificar se você tiver colocado qualquer coisa lá né dificilmente você vai lembrar é o que era então você tem que ter essa preocupação de manter os seus cadastros atualizados em relação à privacidade muitas informações que os atacantes usam estão nas redes sociais elas são as próprias pessoas estão colocando as informações e que aí podem ser usadas para responder perguntas de segurança ou para descobrir as senhas então é um pouco de cuidado não ficar se expondo demais em relação ao phishing códigos maliciosos eles são muito usados pelos atacantes que querem obter é o acesso

às contas então ter sempre um pouco de desconfiança num se a não acreditar em tudo aquilo que você está recebendo não sair clicando em tudo que a linha que eu ficar abrindo todos os arquivos ou acessar qualquer página que você recebe porque pode ser uma página falsa ou pode ser um arquivo contendo um mau erthal também tem muito cuidado com isso em relação à proteção dos seus equipamentos né é essencial que você aquele equipamento que você está usando para fazer o acesso terceiro equipamento seguro e como é que pode você pode fazer para tentar deixar

o seguro manter o equipamento sempre atualizado né sempre com o sistema operacional mais novo e com todas as atualizações aplicados usar mecanismos de segurança antivírus firewall anti-spam se tiver vários usuários utilizando o mesmo equipamento criar contas individuais porque das neves e sócios se tiver infectado o dano vai ser restrito aquela conta que foi invadida não utilizar equipamento com o administrador porque justamente como uma forma de você tentar conter os danos o dano você usando com o usuário o dano vai ficar restrito aos ao que aquele usuário pode fazer se for o administrador vai poder fazer

qualquer coisa sempre cadastrar uma senha é não aceitar mas alguma forma de indicação na tela inicial pode ser prometer ia pode ser uma seqüência de gi tão então não é um desenho mas ter esse cuidado da proteção física mesmo do dono do equipamento e quando né tiver compartilhamento de recursos na rede sempre lembrar de colocar uma senha colocar uma senha é forte ali para evitar também que outras pessoas tenham acesso equipamento em relação a equipamentos móveis né manter o controle físico sobre eles é ter muito cuidado para não perder hoje como eles têm concentrado boa

parte dos recursos de autenticação são concentrados num em equipamentos móveis é ele também tem sido muito visados não ter sempre manter é o controle e se perder sempre lá e tentar revogar revogar todos os direitos eu todos os lugares onde aquele equipamento foi foi cadastrado e se possível se já tiver sido configurado a confiança a localização remota apagar tudo que talita mas tem que ser algo prego tem que já ser ter sido habilitado antes em relação quando utilizar equipamentos de terceiros e equipamentos que não são seus sempre saí nestas entrou em um determinado site que

tinha sua senha lembrar de sair para evitar que a próxima pessoa que for usar aquele equipamento consiga acessar é aquela conta usar navegação anônima sempre que isso for possível evitar de fazer transações sensíveis né às vezes é melhor esperar que você acessa o seu próprio é equipamento mas se realmente você tiver aqui fazer um acesso assim que você retornar com um ambiente que você confie fazer uma alteração alterar as senhas que você tenha utilizado bom só para concluir é importante ressaltar que como eu falei você pode usar de um até cinco fatores e autenticação mas

na verdade o que torna é o processo todo mais seguro não é a quantidade de fatores que você está utilizando então não é porque eu estou utilizando mais cela 23 que eu posso relaxar na segurança de cada um deles né a segurança nesse caso a lei sendo feita em camadas é porque eu vou receber um toco em que eu vou cadastrar uma senha qualquer netão a vovó uma senha 123456 ou receber um toque assim não pode relaxar em nenhum desses dois fatores acreditando que por que você está usando uma quantidade um conjunto na verdade a

segurança depende a soma é de todos eles ea grande né a verificação em duas etapas ela é essencial então hoje não tem por que não utilizar não tem porque bazar é toda a segurança dos seus acessos somente em senha e como a gente viu não é suficiente pra quem ainda não habilitou é a verificação em duas etapas não tenho que esperar mais esse é o momento que tem que ir lá e fazer um bom o caso alguém tenha mais nem queira saber mais informações sobre segurança em geral têm a nossa cartilha de segurança para a

internet nós também estamos no twitter e também é temos dicas via rss cada jovem queira e tem o portal internet segura com diversas outras informações sobre segurança e com bastante conteúdo voltado para crianças pré-adolescentes pra cá pais e educadores a campanha anti spam ponto br tem bastante informação sobre códigos maliciosos e sobretudo de forma geral esse material né o material dessa dessa conversa nossa ele foi baseado tanto na cartilha como fascículos a gente tem dois fascículos que trata especialmente desses assuntos clássicos de senha e fácil de verificação em duas etapas caso alguém terá queira receber

esses materiais pode nos escrever que ela quer fazer uma campanha numa empresa é esse de material pode escrever que a gente tenta é enviar mas também tem disponíveis no nosso site pdf e vocês podem baixar quando alguém tem alguma dúvida que alguém queira conversar mais sobre esse assunto nós somos puníveis pode nos mandar e-mail e sempre que a gente tem alguma informação nova sobre questões relacionadas à segurança têm o nosso twitter também obrigado