Hbdia
  • Feed do Hbdia
  • Twitter
  • Youtube

Aprenda hoje uma dica simples que reduz imensamente suas chances de ser hackeado

Postado em 27 August 2012 Escrito por Izzy Nobre 67 Comentários

Eu sou o cara mais paranóico do mundo. Quão paranóico, você me pergunta? Eu sou do tipo que tranca o carro usando aquele controlinho do alarme, e em seguida vai lá e checa todas as portas (até o porta-malas, embora não haja nada pra ser roubado dentro dele).

Sou o cara que roda o antivírus quatro vezes seguidas, imaginando que nas três primeiras os vírus conseguiram se esconder atrás de alguma pasta no meu computador.

Substitua essas pernas pelo diretório C:\Windows\System\Drivers, e o bebê por um desses vírus que roubam até meu login da Battle.net

Sabe o cara que tranca o apartamento, desce até o estacionamento, depois sobe de novo pra checar se a porta tá trancada? Sou o cara que faz isso três vezes.

Enfim. Eu sou super paranóico, e esta obsessão se estende a praticamente todas as facetas da minha vida. A maior influência da minha paranóia é, provavelmente meu medo absurdo de ser hackeado.

Como tenho um monte de porcarias na internet (site, vlog, email, paypal, o caralho), e tenho um pequeno séquito de pessoas que sem dúvida celebrariam qualquer desgraça que acontecesse comigo, incluindo porém não se limitando a ser atropelado por um caminhão de lixo, o medo de ser hackeado é constante. E tem duas práticas que eu uso pra reduzir este perigo e conseguir dormir à noite tranquilamente.

A primeira é um conselho manjado da galera de segurança: TROQUE SUAS SENHAS CONSTANTEMENTE. Não vou gastar meu tempo explicando que você deve usar senhas diferentes pra cada serviço, porque PELO MENOS ISSO a maioria das pessoas inteligentes já faz. Mas eu tenho certeza que você lendo isto aqui usa a mesma senha há pelo menos 3 anos. Então, vá lá trocar essa merda.

Mas essa é uma dica manjada, todo mundo que pensa que manja de computador conhece essa. A outra é “alterne a capitalização das letras, inclua símbolos especiais e números, etc”. Essa você também já deveria saber a essa altura (visto que inúmeros sites agora OBRIGAM o indivíduo a criar senhas assim).

E a mais manjada, porém absurdamente crucial: NUNCA REUTILIZE A MESMA SENHA EM SERVIÇOS DIFERENTES. Sabe por que? Quando o banco de dados de um serviço qualquer é quebrado e vaza tudo, usernames e passwords (tipo como aconteceu com o LinkedIn recentemente), essencialmente todas as suas portas virtuais se tornam escancaradas.

Essas são dicas bobocas. A que ofereço em seguida é o negócio REAL — e que depende de uma particularidade do seu email do gmail.

(Outros serviços também permitem isso aqui, mas como tenho mais experiência com o gmail, só posso falar por ele. E a dica só serve pra serviços que usam como login o seu EMAIL, exclusivamente, e que não permitem logar usando seu username).

Para os fins deste pequeno tutorial, digamos que seu email é fulanodasilva@gmail.com. De repente esse email até existe de verdade, sei lá. Caso exista o dono meio que se fodeu agora.

Você sabe o que acontece se você der seu email como fulano.dasilva@gmail.com? ou f.ulanodasilva@gmail.com? Qualquer email enviado a esse endereço “diferente” chega a você normalmente. Isso acontece porque o gmail ignora esse ponto final. Tá entendendo onde quero chegar?

Não? Eu explico, ou “explano” como os cariocas gostam de falar: se ao criar uma conta num serviço, você dá seu email como fulanodasilv.a@gmail.com em vez do “real”, que é  fulanodasilva@gmail.com, mesmo que um hacker saiba seu email e sua senha ele não conseguirá logar no serviço. Ele teria que saber também ONDE tu pôs o ponto final, ou quantos colocou. É uma camada adicional de segurança!

E descobri a continuação desse truque acidentalmente. Como você talvez saiba (provavelmente não), essa regrinha do gmail de ignorar caracteres tambem funciona com o sinal de adição, o +.

É o seguinte: tudo que você coloque após um + no seu email é ignorado pelo gmail. Usando o exemplo anterior, fulanodasilva@gmail.com é exatamente o mesmo que fulanodasilva+taubadepassar@gmail.com. Eu costumo usar esse truque quando tenho que dar meu email a um serviço no qual não confio 100% (ou seja, praticamente TUDO em que me cadastro). Assim, se um serviço vender meu email pra spammers, eu saberei QUEM foi. É um método poderoso de filtragem.

E, acabei descobrindo sem querer, é um método poderodo de segurança também. Outro dia fui me logar num serviço e, distraidamente, pus meu email normal e a senha daquele serviço. VINTE tentativas de login depois, lembre-me que havia usado o truque do + quando me cadastrei no tal site, e tive a epifania: mesmo que alguém soubesse que email uso pra logar neste site, ele ainda não conseguiria logar a menos que soubesse ONDE pus os pontos finais, e que palavra coloquei após o +.

Vou ilustrar usando novamente aquele email tosco lá em cima. Sendo seu email fulanodasilva@gmail.com, digamos que você se cadastre no iTunes usando como email fu.la.no.dasilva+contado.itunes@gmail.com.  

O resultado é que por MAIS que alguém saiba que seu email é fulanodasilva@gmail.com, e por mais que eles saibam que sua senha é seiyaforever , o máximo que você sofrerá é a vergonha e a reprovação alheia por usar um password derivado de um desses desenhos de narutos. O cara descobrir à base de brute force que o email de login usado é  fu.la.no.dasilva+contado.itunes@gmail.com é praticamente impossível.

(Amigos estatísticos, provem aí se estou errado)

E é isso. Vá lá e mude suas porras todas, coloque pontos finais, insira códigos secretos depois do +, mude tudo, ou se arrependa um dia e lembre-se que estarei rindo da sua cara em um semblate mais ou menos similar a este:

 

Há uma técnica alternativa de password. Suponhemos que sua senha seja a fraquíssima BUCETA, mas este método serve pra qualquer senha de 6 caracteres.

Tatue um B na mão direita, um U na esquerda, um C no cotovelo esquerdo, um E no direito, um T na têmpora direita, e um A na esquerda. Se esquecer a senha, basta dançar a macarena rapidamente pra lembrar.

Poisé. Agora deixa eu ir lá e trocar TODOS AS MINHAS SENHAS por medo de que dar essa dica facilita a vida de quem quer me invadir, sei lá.

Related Posts Plugin for WordPress, Blogger...

Deixe sua opinião aí. Você não tá fazendo nada mesmo!

comments

Categorias: Tutorialzinho

About Izzy Nobre

Oi! Eu sou o autor desta pocilga. Tenho 30 anos, também sou conhecido como "Kid", moro no Canadá há 10 anos, e sou casado com uma gringa. Geralmente perco meu tempo na internet atualizando este blog, batendo papo no twitter, produzindo vídeos para o youtube, e conversando sobre videogames antigos no podcast 99 Vidas. Se você gostou deste texto, venha me dizer um alô! Adoro conversar com os leitores :)

67 Comentários \o/

  1. Alisio says:

    show !
    excelentes dicas

  2. 1337 says:

    Boas dicas, Izze.

    E para quem não acha humanamente possível ter senhas mais complexas, é só pensar um pouquinho fora da caixa. Mesmo uma frase gay como

    por1MUNDO100%melhor

    ou óbvia como

    FODAessetalde99vidas!

    são totalmente compreensíveis e “lembráveis”, além de atender várias recomendações sobre a complexidade de senhas, como inclusão de numerais, caracteres especiais e o tamanho da mesma.

    • Renan says:

      Muitos sites hoje em dia aceitem passwords com espaço, ou seja, você pode aumentar MUITO a segurança dessas suas senhas colocando espaços entre as palavras.

      Por exemplo: a senha “por1MUNDO100%melhor” levaria 5 quintilhões de anos pra ser quebrada, segundo o How Secure is My Password (http://howsecureismypassword.net/). Já a mesma senha, com espaços, levaria exatos 30 OCTILHÕES de anos. Isso é tanto tempo que eu nem sei o que são quintilhões e octilhões. O Izzy que vai gostar dessa dica.

      Vai lá Izzy, testa teus passwords no site. Sem paranóias com ele, pode abrir o site, tirar o PC da internet q ele funciona igual, sem chance de suas senhas serem enviadas pra algum lugar.

  3. Bruno Gama says:

    como eu uso 1password para gerenciar meus passwords eu eu criei um snippet pra TextExpander que gera emails com hashes aleatórios o que aumenta a segurança em um fator absurdo. por exemplo se eu tenho o email brunogama@gmail.com meu script gera brunogama+dfs786fgvjd873@gmail.com e pra cada nova conta que eu faço eu gero um novo email e deixo armazenado lá no meu gerenciador de senha. 🙂

    caso queiram conferir o snippet pode ser baixado como: http://d.pr/f/w81z
    (TextExpander é um aplicativo de Mac)

    • Andre says:

      Mas se perder ou tiger este programa de senhas hackedao?

      • Bruno says:

        criptografia 256bits qualquer hacker pode começar a tentar a fazer bruteforce no arquivo que contém as senhas e até o fim da tua vida ele não vai conseguir fazer nada.

        o meu arquivo de senhas fica sincronizado no dropbox. se perder do servidor deles eu tenho local. se perder local tenho lá.

        virtualmente impossível de perder algo.

  4. Pedro Netto says:

    Dica útil Kid, valeu.
    E eu fiquei puto porque não vi sua explicação no Twitter.

  5. Goulart says:

    E eu achando que tinha problemas….. Kid vá se tratar

  6. Explodiu minha cabeça, ótimas dicas.
    A propósito, agora que mencionou os pontos eu finalmente entendi porque meu cadastro com ‘.’ entre os nomes no google ficou sem os pontos, o tempo todo até hoje eu jurava “Mas eu coloquei os pontos”.

    Grande abraço Izzy

  7. Marcelo Divê says:

    Agora, resta-me encontrar uma solução para aqueles que utilizam outro serviço de correspondência eletrônica.

  8. lucas says:

    E a dica mais importante de todas: usar autorização em 2 etapas (2-factor authorization, google) em TUDO que puder

  9. Matheus J. says:

    Pô, que foda! Valeu aí Izzy, e foi bem na hora (criara ontem um endereço no g-mail depois de perceber que não tem como ficar sem usar esses serviços do Google)! Aplicarei a dica começando pelo seu site!

  10. Cami says:

    Eu ontem no twitter pensando “Isso vai virar um post!”

  11. Vinicius Brenny says:

    Caralho, dica fodíssima! Realmente, estas coisas ficam meio ocultas lá.
    Fazendo o teste de envio pra você mesmo, do lado do seu endereço aparece ‘yes, that’s you’. Clicando ali, você vai pra página com todas as explicações. Inclusive, para domínios que bloqueiam os emails mais populares (incl. gmail), dá pra usar googlemail.com; se o cara que fez a blacklist foi preguiçoso, é bem possível que não tenha incluído este domínio.

  12. Pedro Yoshimatu says:

    Bullshit, Quide. Todos nós sabemos suas senhas. É “bradpitt69”.

  13. Eu tenho uma porção de senhas que utilizo em vários serviços sem muita distinção. Essencialmente, eu fiz o equivalente a instalar uma cerca elétrica: não é garantia de segurança, mas já me faz um alvo menos óbvio. 😛

    Agora, te falar que eu tinha visto essas duas dicas do Gmail e descobri há tempo que o maior inimigo da segurança nem é o usuário burro, é desenvolvedor/designer preguiçoso. Não vou conseguir citar nomes, mas eu já vi serviço que não permite nada no email que não sejam caracteres padrão(letra, número, arroba, sublinhado e ponto); já vi serviço que limita número de letras na senha(é palhaçada); já vi serviço que não deixa você usar caracteres especiais na senha(sim, eu sei…).

    Aliás, já fiquei trancado fora de um serviço porque eu algum ponto decidiram não aceitar nome de usuário e/ou senha com caracter especial, mas não deram nenhuma forma de mudar o username. Resultado: minha conta não entra. Essa foi de lascar.

    Enfim, segurança é foda.

  14. Ian says:

    E se a minha senha já for “macarena” fica ainda mais fácil de lembrar.

  15. André says:

    Mas porra, se tu usar uma senha para cada serviço, supondo que você tenha uns 40 cadastros, você tem que ter uma puta memória pra lembrar as 45 senhas diferentes de cada site hein! E mesmo que você salve elas num .txt no seu HD, aí já viu né: Se o HD for pro saco, sua vida vai também.

    • Rafael says:

      Para isso, temos aquela invenção de última geração, da qual sr. Israel mencionou no twitter também, o bloquinho de papel, que lhe permite manter um registro completo dos seus usuários e senhas.

  16. Lucas lourenzo says:

    Não entendi bem. Basicamente, você cadastra o e-mail como x+yz@gmail.com, mas no database do site fica como x@gmail.com?
    Então o seu e-mail não é o protegido, mas aquela respectiva conta?
    Bom, foi meio confuso para mim, mas obrigado, vou me proteger melhor na internet.

    • Izzy Nobre says:

      Porra eu expliquei perfeitamente no texto caralho.

      Vamos lá.

      Digamos que seu email é abc@gmail.com. Ao criar um login no site (supondo que ele só permita fazer login por email), você bota abc+def@gmail.com. De acordo com o banco de dados do site, seu email é abc+def@gmail.com.

      Sempre que o site te mandar emails (por qualquer motivo), ele enviará pra abc+def@gmail.com. Você receberá normalmente no abc@gmail.com, porque tudo que vem depois do + é ignorado pelo gmail.

      Então seu login nesse site se torna abc+def@gmail.com. Dessa forma MESMO QUE UM POSSÍVEL HACKER SAIBA SEU EMAIL E SUA SENHA, ele não poderá logar, por ele não saberá o que você pôs depois do +.

      • Andarilho says:

        Agora eu é que não entendi. Se o hacker roubou teu login no site sendo abc+def@gmail.com e ele sabe que o que depois do + é ignorado, ele vai lá no gmail e loga com abc@gmail.com.

        • Izzy Nobre says:

          É assim: se o login de um site É SEU EMAIL, alguem que queira te invadir E SAIBA SEU EMAIL vai tentar seuemail@gmail.com. Ele nao tentará seu.email+cusujo@gmail.com.

          Agora, se de alguma forma vazou as suas credenciais do site, ai você ta meio na merda. Só que ai, em vez de pegar essas credenciais e tentar logar em outros serviços, ele nao saberá como você alterou o email pro login nos outros sites.

          • Andarilho says:

            AE, AGORA ENTENDI! NA PRÓXIMA VEZ DESENHA IZZY! iuashuseiah

          • Shin says:

            É Izzy, mas se o cara tentar hackear o seu email com o + no final, ele saberá que é só tirar o + depois. Quanto aos pontos, eu tenho um outro e-mail q tem pontos na composição, e eu consigo logar perfeitamente sem colocar os pontos nele, ou colocando só um dos dois pontos.

      • Porkispin says:

        Eu não entendi porra nenhuma dessa parte:

        “Eu costumo usar esse truque quando tenho que dar meu email a um serviço no qual não confio 100% (ou seja, praticamente TUDO em que me cadastro). Assim, se um serviço vender meu email pra spammers, eu saberei QUEM foi. É um método poderoso de filtragem.”]

        Como exatamente você vai saber QUEM divulgou seu e-mail? usando o mesmo exemplo ai… seu email é abc+def@gmail.com. E você se cadastra no amazon.com (com abc@gmail.com, né isso?) …e aí? se você passa a receber spams, como vai atribuir a culpa ao amazon? e pq não ao ebay (por exemplo), q você se cadastrou no dia anterior?

      • André says:

        Pelo que eu vi essa dica vale para que o hacker não logue em diversos sites simultaneamente.

        Mas o Gmail continuará desprotegido.

        O ideal é que o Gmail aceitasse um login diferente meu.email+superdificil@gmail.com

        E recebesse os email de meuemail@gmail.com

        O hacker que descobrisse seu email numa base de dados qualquer, meuemail@gmail.com, jamais conseguiria logar no Gmail, pois jamais deduziria onde ficam os pontos e o que fica depois do mais.

        Entendeu?

  17. Danial says:

    Sobre criação de senhas.

    Uma dica que li em algum lugar pra criar uma forte e fácil de memorizar é usar as iniciais de uma frase, digamos “Eu leio o Hoje é um Bom Dia toda segunda e quarta” (uma mentira, mas é só um exemplo). A senha poderia ser, então, “EloHeuBDt2e4”.

    Outra opção é criar uma senha completamente aleatória cheia de números, caracteres, maiúsculas, etc (existem até geradores pra isso) e usar algo como o LastPass para salvá-los. Se alguém conseguir hackear o LastPass cê tá fodido, mas eles têm autenticação dupla, restrição de países, etc.

    “Bullshit, Quide. Todos nós sabemos suas senhas. É “bradpitt69″.”
    Esse cara fala a verdade.

    Porra, esse comentário ficou longo pra caralho. Now ‘scuse me while eu troco minhas senhas.

  18. Fulano da Silva (O Verdadeiro) says:

    Esse gif resume EXATAMENTE como eu me senti ao terminar de ler esse texto.

    http://mlkshk.com/r/DBLT

  19. IsraeL says:

    Essas dicas servem para qualquer email ou somente gmail?

  20. Felipe Sanches says:

    Sou só eu que tenho um email do gmail com um ponto entre meus dois nomes que aparece na página do google?

  21. Thito says:

    Porra imagina criar uma senha pra cada serviço? to fudido.. ja me recadastrei no skype umas 10x porque não lembrava da senha, tudo porque é obrigatória por um número.. haeuheau

  22. Iago says:

    Ei kid, mas e se meu email JÁ TIVER um ponto?
    Ex: iago.silva@gmail.com

    Quer dizer que algum iago@gmail.com ta recebendo meus emails?

  23. MH says:

    Poxa, Izzy, boa dica! Valeu mesmo 😀

  24. Murillo says:

    O esquema do “+” ok, eu saquei. Me desculpe se eu sou muito tapado, mas e no caso dos emails que já tem um “.” por padrão? Por exemplo, o meu email (que como você pode notar) já tem um ponto então como o gmail sabe o que ignorar na hora de receber? Se meu email é fulano.silva@gmail se um serviço enviar um email a fulano.silva.buceta@gmail vai cair pra mim ou pro fulano@gmail?

  25. Lucas lourenzo says:

    Izzy, só para agradecer mesmo! Você explicou de uma forma que entendi 100%. Valeu 🙂
    É óbvio que você deva recusar esse comentário, acho melhor assim, o recado foi dado, de qulquer modo. 😀

  26. Rodrigo Lacerda says:

    Tá, e comofas pra lembrar a porra do e-mail esquisito que você inventou pra cada serviço?

    Uma senha complexa que leve alguns bilhões de anos para ser quebrada via bruteforce já é o suficiente.

    Seja qual for o meio que o hacker consiga a sua senha (que não seja bruteforce) ele vai conseguir também o e-mail.

    • Izzy Nobre says:

      Obvio. Nenhuma dica de segurança resiste ao momento em que um invasor conhece seu login e senha, duh.

      Acontece que MUITA gente repete a senha em diversos serviços. E acontece, como mencionei no texto, de databases vazarem; neste caso, um invasor malicioso teria sua senha e username daquele serviço, mas não poderia se aproveitar disso pra invadir outro site que você use.

  27. damnerd says:

    PQP, quanta gente burra lendo comentando essa parada. Eu achei que esse site era mais seletivo.

  28. leitor vouyer says:

    Muito interessante mesmo. valeu, Kid!

  29. ricsanto says:

    Valeu a dica broder.

  30. Guilherme says:

    “O cara descobrir à base de brute force que o email de login usado é fu.la.no.dasilva+contado.itunes@gmail.com é praticamente impossível”.

    Não se ele usar o TRANSLTR

  31. Jhow says:

    Pô, finalmente algo útil nesse lixo 😀

  32. Ricardo says:

    complicou demais… a senha já é segura, não tem porque complicar no E-mail também (como alguém vai roubar uma senha sua e conseguir não roubar o usuário de acesso?).
    Mudar a senha a cada X meses não ajuda nada também, a menos que alguém roubou uma senha sua há 10 dias e ficou esperando até resolver usá-la… ou seja, a menos que você resolva trocar suas senhas a cada 15min, dificilmente isso vai ajudar em alguma coisa

    para resumir tudo que você precisa sobre senhas: use LastPass e gere senhas difíceis e distintas para cada serviço (o LastPass gera automaticamente). E, obviamente, proteja muito bem sua senha do LastPass.

  33. Thiago says:

    Boa essa dica do + pra registrar nos sites, nunca tinha pensado nisso

    Agora mudar todas as senhas: IMPOSSIBRU

    Eu queria pegar um app de gerenciamento de senhas pra iOS pra poder ir cadastrando/gerando senhas pra todos os serviços que eu uso. Mas existem mil diferentes na AppStore e são todos pagos, alguém me recomenda um em específico aí???

  34. Blue says:

    “Você sabe o que acontece se você der seu email como fulano.dasilva@gmail.com? ou f.ulanodasilva@gmail.com? Qualquer email enviado a esse endereço “diferente” chega a você normalmente.” Mas e se existir um fulano.dasilva@gmail.com ou f.ulanodasilva@gmail.com cadastrado no gmail?

  35. Robbie says:

    Quem mais fez a coreografia da macarena pra testar a teoria?

  36. Jony Rendrex says:

    Primeiro post que eu li, apenas te acompanhava no Twitter… belo post. 🙂

    Realmente, não sabia disso. :0
    Vou lá trocar minhas senhas.

  37. Izzy, hoje você mudou minha vida.
    Thanks

  38. Vinicius Costa says:

    Ótima dica. Não sabia de nenhuma das duas.
    Para quem tem e-mail no outlook e quer saber se dá certo, eu fiz os testes:
    a dica do “+” funciona normalmente, ele ignora o que vem depois do +, mas a do “.” não funciona. Ele diz que o e-mail não existe no mesmo instante.
    Obrigado por compartilhar, Izzy.

  39. nosceteipsum says:

    senha grande > senha complexa

  40. Pedro Papadópolis says:

    A dica é boa mas não muito útil, porque a grande maioria dos serviços pedem pra você logar com um username ou username ou e-mail, são raros os que te obrigam a logar só com o e-mail.

  41. Gabão says:

    Valei, Kid! Você é o maior!
    Ah! Cariocas falam “explanar”? Nossa, meu respeito por eles ficou ainda menor.

  42. JUNIOR says:

    acho q intendi a parte do .
    mas isso só vai servir pra sites que usar o email como login, ou seja, praticamente nenhum. a maioria dos sites usam nicks e ñ email pra logar

    digamos que me cadastrei o email como eu+sitesubmarino@gmail.com, ai ele começa a me mandar spam, como eu faço pra ignorar ou deletar automaticamente as mensagens mandadas para este email?

  43. Luiz Felipe says:

    Excelente dica para a vida.
    Flw.

  44. André says:

    Será que a segurança não torna-se maior dessa forma:

    Criar uma conta chamada exemplo.de.email+qualquercoisa@gmail.com

    E sair divulgando pelos sites exemplodeemail@gmail.com

    Sendo que os hackers mesmo que peguem a base de dados, nunca vão saber o login original que vc usa pra logar.

    Estou certo?

  45. Lucas Gondim says:

    Dica genial, valeu demais!