Aprenda hoje uma dica simples que reduz imensamente suas chances de ser hackeado

Eu sou o cara mais paranóico do mundo. Quão paranóico, você me pergunta? Eu sou do tipo que tranca o carro usando aquele controlinho do alarme, e em seguida vai lá e checa todas as portas (até o porta-malas, embora não haja nada pra ser roubado dentro dele).

Sou o cara que roda o antivírus quatro vezes seguidas, imaginando que nas três primeiras os vírus conseguiram se esconder atrás de alguma pasta no meu computador.

Substitua essas pernas pelo diretório C:\Windows\System\Drivers, e o bebê por um desses vírus que roubam até meu login da Battle.net

Sabe o cara que tranca o apartamento, desce até o estacionamento, depois sobe de novo pra checar se a porta tá trancada? Sou o cara que faz isso três vezes.

Enfim. Eu sou super paranóico, e esta obsessão se estende a praticamente todas as facetas da minha vida. A maior influência da minha paranóia é, provavelmente meu medo absurdo de ser hackeado.

Como tenho um monte de porcarias na internet (site, vlog, email, paypal, o caralho), e tenho um pequeno séquito de pessoas que sem dúvida celebrariam qualquer desgraça que acontecesse comigo, incluindo porém não se limitando a ser atropelado por um caminhão de lixo, o medo de ser hackeado é constante. E tem duas práticas que eu uso pra reduzir este perigo e conseguir dormir à noite tranquilamente.

A primeira é um conselho manjado da galera de segurança: TROQUE SUAS SENHAS CONSTANTEMENTE. Não vou gastar meu tempo explicando que você deve usar senhas diferentes pra cada serviço, porque PELO MENOS ISSO a maioria das pessoas inteligentes já faz. Mas eu tenho certeza que você lendo isto aqui usa a mesma senha há pelo menos 3 anos. Então, vá lá trocar essa merda.

Mas essa é uma dica manjada, todo mundo que pensa que manja de computador conhece essa. A outra é “alterne a capitalização das letras, inclua símbolos especiais e números, etc”. Essa você também já deveria saber a essa altura (visto que inúmeros sites agora OBRIGAM o indivíduo a criar senhas assim).

E a mais manjada, porém absurdamente crucial: NUNCA REUTILIZE A MESMA SENHA EM SERVIÇOS DIFERENTES. Sabe por que? Quando o banco de dados de um serviço qualquer é quebrado e vaza tudo, usernames e passwords (tipo como aconteceu com o LinkedIn recentemente), essencialmente todas as suas portas virtuais se tornam escancaradas.

Essas são dicas bobocas. A que ofereço em seguida é o negócio REAL — e que depende de uma particularidade do seu email do gmail.

(Outros serviços também permitem isso aqui, mas como tenho mais experiência com o gmail, só posso falar por ele. E a dica só serve pra serviços que usam como login o seu EMAIL, exclusivamente, e que não permitem logar usando seu username).

Para os fins deste pequeno tutorial, digamos que seu email é fulanodasilva@gmail.com. De repente esse email até existe de verdade, sei lá. Caso exista o dono meio que se fodeu agora.

Você sabe o que acontece se você der seu email como fulano.dasilva@gmail.com? ou f.ulanodasilva@gmail.com? Qualquer email enviado a esse endereço “diferente” chega a você normalmente. Isso acontece porque o gmail ignora esse ponto final. Tá entendendo onde quero chegar?

Não? Eu explico, ou “explano” como os cariocas gostam de falar: se ao criar uma conta num serviço, você dá seu email como fulanodasilv.a@gmail.com em vez do “real”, que é  fulanodasilva@gmail.com, mesmo que um hacker saiba seu email e sua senha ele não conseguirá logar no serviço. Ele teria que saber também ONDE tu pôs o ponto final, ou quantos colocou. É uma camada adicional de segurança!

E descobri a continuação desse truque acidentalmente. Como você talvez saiba (provavelmente não), essa regrinha do gmail de ignorar caracteres tambem funciona com o sinal de adição, o +.

É o seguinte: tudo que você coloque após um + no seu email é ignorado pelo gmail. Usando o exemplo anterior, fulanodasilva@gmail.com é exatamente o mesmo que fulanodasilva+taubadepassar@gmail.com. Eu costumo usar esse truque quando tenho que dar meu email a um serviço no qual não confio 100% (ou seja, praticamente TUDO em que me cadastro). Assim, se um serviço vender meu email pra spammers, eu saberei QUEM foi. É um método poderoso de filtragem.

E, acabei descobrindo sem querer, é um método poderodo de segurança também. Outro dia fui me logar num serviço e, distraidamente, pus meu email normal e a senha daquele serviço. VINTE tentativas de login depois, lembre-me que havia usado o truque do + quando me cadastrei no tal site, e tive a epifania: mesmo que alguém soubesse que email uso pra logar neste site, ele ainda não conseguiria logar a menos que soubesse ONDE pus os pontos finais, e que palavra coloquei após o +.

Vou ilustrar usando novamente aquele email tosco lá em cima. Sendo seu email fulanodasilva@gmail.com, digamos que você se cadastre no iTunes usando como email fu.la.no.dasilva+contado.itunes@gmail.com.  

O resultado é que por MAIS que alguém saiba que seu email é fulanodasilva@gmail.com, e por mais que eles saibam que sua senha é seiyaforever , o máximo que você sofrerá é a vergonha e a reprovação alheia por usar um password derivado de um desses desenhos de narutos. O cara descobrir à base de brute force que o email de login usado é  fu.la.no.dasilva+contado.itunes@gmail.com é praticamente impossível.

(Amigos estatísticos, provem aí se estou errado)

E é isso. Vá lá e mude suas porras todas, coloque pontos finais, insira códigos secretos depois do +, mude tudo, ou se arrependa um dia e lembre-se que estarei rindo da sua cara em um semblate mais ou menos similar a este:

 

Há uma técnica alternativa de password. Suponhemos que sua senha seja a fraquíssima BUCETA, mas este método serve pra qualquer senha de 6 caracteres.

Tatue um B na mão direita, um U na esquerda, um C no cotovelo esquerdo, um E no direito, um T na têmpora direita, e um A na esquerda. Se esquecer a senha, basta dançar a macarena rapidamente pra lembrar.

Poisé. Agora deixa eu ir lá e trocar TODOS AS MINHAS SENHAS por medo de que dar essa dica facilita a vida de quem quer me invadir, sei lá.

Related Posts Plugin for WordPress, Blogger...

Deixe sua opinião aí. Você não tá fazendo nada mesmo!

comments

67 comments

  1. Boas dicas, Izze.

    E para quem não acha humanamente possível ter senhas mais complexas, é só pensar um pouquinho fora da caixa. Mesmo uma frase gay como

    por1MUNDO100%melhor

    ou óbvia como

    FODAessetalde99vidas!

    são totalmente compreensíveis e “lembráveis”, além de atender várias recomendações sobre a complexidade de senhas, como inclusão de numerais, caracteres especiais e o tamanho da mesma.

    1. Muitos sites hoje em dia aceitem passwords com espaço, ou seja, você pode aumentar MUITO a segurança dessas suas senhas colocando espaços entre as palavras.

      Por exemplo: a senha “por1MUNDO100%melhor” levaria 5 quintilhões de anos pra ser quebrada, segundo o How Secure is My Password (http://howsecureismypassword.net/). Já a mesma senha, com espaços, levaria exatos 30 OCTILHÕES de anos. Isso é tanto tempo que eu nem sei o que são quintilhões e octilhões. O Izzy que vai gostar dessa dica.

      Vai lá Izzy, testa teus passwords no site. Sem paranóias com ele, pode abrir o site, tirar o PC da internet q ele funciona igual, sem chance de suas senhas serem enviadas pra algum lugar.

  2. como eu uso 1password para gerenciar meus passwords eu eu criei um snippet pra TextExpander que gera emails com hashes aleatórios o que aumenta a segurança em um fator absurdo. por exemplo se eu tenho o email brunogama@gmail.com meu script gera brunogama+dfs786fgvjd873@gmail.com e pra cada nova conta que eu faço eu gero um novo email e deixo armazenado lá no meu gerenciador de senha. 🙂

    caso queiram conferir o snippet pode ser baixado como: http://d.pr/f/w81z
    (TextExpander é um aplicativo de Mac)

      1. criptografia 256bits qualquer hacker pode começar a tentar a fazer bruteforce no arquivo que contém as senhas e até o fim da tua vida ele não vai conseguir fazer nada.

        o meu arquivo de senhas fica sincronizado no dropbox. se perder do servidor deles eu tenho local. se perder local tenho lá.

        virtualmente impossível de perder algo.

          1. Pra ele perder do Dropbox e do PC dele, a internet precisa parar e todos PCs do mundo explodir. Pra que ele vai se preocupar com uma porra duma senha depois disso?

  3. Explodiu minha cabeça, ótimas dicas.
    A propósito, agora que mencionou os pontos eu finalmente entendi porque meu cadastro com ‘.’ entre os nomes no google ficou sem os pontos, o tempo todo até hoje eu jurava “Mas eu coloquei os pontos”.

    Grande abraço Izzy

  4. Pô, que foda! Valeu aí Izzy, e foi bem na hora (criara ontem um endereço no g-mail depois de perceber que não tem como ficar sem usar esses serviços do Google)! Aplicarei a dica começando pelo seu site!

  5. Caralho, dica fodíssima! Realmente, estas coisas ficam meio ocultas lá.
    Fazendo o teste de envio pra você mesmo, do lado do seu endereço aparece ‘yes, that’s you’. Clicando ali, você vai pra página com todas as explicações. Inclusive, para domínios que bloqueiam os emails mais populares (incl. gmail), dá pra usar googlemail.com; se o cara que fez a blacklist foi preguiçoso, é bem possível que não tenha incluído este domínio.

  6. Eu tenho uma porção de senhas que utilizo em vários serviços sem muita distinção. Essencialmente, eu fiz o equivalente a instalar uma cerca elétrica: não é garantia de segurança, mas já me faz um alvo menos óbvio. 😛

    Agora, te falar que eu tinha visto essas duas dicas do Gmail e descobri há tempo que o maior inimigo da segurança nem é o usuário burro, é desenvolvedor/designer preguiçoso. Não vou conseguir citar nomes, mas eu já vi serviço que não permite nada no email que não sejam caracteres padrão(letra, número, arroba, sublinhado e ponto); já vi serviço que limita número de letras na senha(é palhaçada); já vi serviço que não deixa você usar caracteres especiais na senha(sim, eu sei…).

    Aliás, já fiquei trancado fora de um serviço porque eu algum ponto decidiram não aceitar nome de usuário e/ou senha com caracter especial, mas não deram nenhuma forma de mudar o username. Resultado: minha conta não entra. Essa foi de lascar.

    Enfim, segurança é foda.

  7. Mas porra, se tu usar uma senha para cada serviço, supondo que você tenha uns 40 cadastros, você tem que ter uma puta memória pra lembrar as 45 senhas diferentes de cada site hein! E mesmo que você salve elas num .txt no seu HD, aí já viu né: Se o HD for pro saco, sua vida vai também.

    1. Para isso, temos aquela invenção de última geração, da qual sr. Israel mencionou no twitter também, o bloquinho de papel, que lhe permite manter um registro completo dos seus usuários e senhas.

  8. Não entendi bem. Basicamente, você cadastra o e-mail como x+yz@gmail.com, mas no database do site fica como x@gmail.com?
    Então o seu e-mail não é o protegido, mas aquela respectiva conta?
    Bom, foi meio confuso para mim, mas obrigado, vou me proteger melhor na internet.

    1. Porra eu expliquei perfeitamente no texto caralho.

      Vamos lá.

      Digamos que seu email é abc@gmail.com. Ao criar um login no site (supondo que ele só permita fazer login por email), você bota abc+def@gmail.com. De acordo com o banco de dados do site, seu email é abc+def@gmail.com.

      Sempre que o site te mandar emails (por qualquer motivo), ele enviará pra abc+def@gmail.com. Você receberá normalmente no abc@gmail.com, porque tudo que vem depois do + é ignorado pelo gmail.

      Então seu login nesse site se torna abc+def@gmail.com. Dessa forma MESMO QUE UM POSSÍVEL HACKER SAIBA SEU EMAIL E SUA SENHA, ele não poderá logar, por ele não saberá o que você pôs depois do +.

        1. É assim: se o login de um site É SEU EMAIL, alguem que queira te invadir E SAIBA SEU EMAIL vai tentar seuemail@gmail.com. Ele nao tentará seu.email+cusujo@gmail.com.

          Agora, se de alguma forma vazou as suas credenciais do site, ai você ta meio na merda. Só que ai, em vez de pegar essas credenciais e tentar logar em outros serviços, ele nao saberá como você alterou o email pro login nos outros sites.

          1. É Izzy, mas se o cara tentar hackear o seu email com o + no final, ele saberá que é só tirar o + depois. Quanto aos pontos, eu tenho um outro e-mail q tem pontos na composição, e eu consigo logar perfeitamente sem colocar os pontos nele, ou colocando só um dos dois pontos.

      1. Eu não entendi porra nenhuma dessa parte:

        “Eu costumo usar esse truque quando tenho que dar meu email a um serviço no qual não confio 100% (ou seja, praticamente TUDO em que me cadastro). Assim, se um serviço vender meu email pra spammers, eu saberei QUEM foi. É um método poderoso de filtragem.”]

        Como exatamente você vai saber QUEM divulgou seu e-mail? usando o mesmo exemplo ai… seu email é abc+def@gmail.com. E você se cadastra no amazon.com (com abc@gmail.com, né isso?) …e aí? se você passa a receber spams, como vai atribuir a culpa ao amazon? e pq não ao ebay (por exemplo), q você se cadastrou no dia anterior?

      2. Pelo que eu vi essa dica vale para que o hacker não logue em diversos sites simultaneamente.

        Mas o Gmail continuará desprotegido.

        O ideal é que o Gmail aceitasse um login diferente meu.email+superdificil@gmail.com

        E recebesse os email de meuemail@gmail.com

        O hacker que descobrisse seu email numa base de dados qualquer, meuemail@gmail.com, jamais conseguiria logar no Gmail, pois jamais deduziria onde ficam os pontos e o que fica depois do mais.

        Entendeu?

  9. Sobre criação de senhas.

    Uma dica que li em algum lugar pra criar uma forte e fácil de memorizar é usar as iniciais de uma frase, digamos “Eu leio o Hoje é um Bom Dia toda segunda e quarta” (uma mentira, mas é só um exemplo). A senha poderia ser, então, “EloHeuBDt2e4”.

    Outra opção é criar uma senha completamente aleatória cheia de números, caracteres, maiúsculas, etc (existem até geradores pra isso) e usar algo como o LastPass para salvá-los. Se alguém conseguir hackear o LastPass cê tá fodido, mas eles têm autenticação dupla, restrição de países, etc.

    “Bullshit, Quide. Todos nós sabemos suas senhas. É “bradpitt69″.”
    Esse cara fala a verdade.

    Porra, esse comentário ficou longo pra caralho. Now ‘scuse me while eu troco minhas senhas.

  10. Porra imagina criar uma senha pra cada serviço? to fudido.. ja me recadastrei no skype umas 10x porque não lembrava da senha, tudo porque é obrigatória por um número.. haeuheau

  11. O esquema do “+” ok, eu saquei. Me desculpe se eu sou muito tapado, mas e no caso dos emails que já tem um “.” por padrão? Por exemplo, o meu email (que como você pode notar) já tem um ponto então como o gmail sabe o que ignorar na hora de receber? Se meu email é fulano.silva@gmail se um serviço enviar um email a fulano.silva.buceta@gmail vai cair pra mim ou pro fulano@gmail?

  12. Izzy, só para agradecer mesmo! Você explicou de uma forma que entendi 100%. Valeu 🙂
    É óbvio que você deva recusar esse comentário, acho melhor assim, o recado foi dado, de qulquer modo. 😀

  13. Tá, e comofas pra lembrar a porra do e-mail esquisito que você inventou pra cada serviço?

    Uma senha complexa que leve alguns bilhões de anos para ser quebrada via bruteforce já é o suficiente.

    Seja qual for o meio que o hacker consiga a sua senha (que não seja bruteforce) ele vai conseguir também o e-mail.

    1. Obvio. Nenhuma dica de segurança resiste ao momento em que um invasor conhece seu login e senha, duh.

      Acontece que MUITA gente repete a senha em diversos serviços. E acontece, como mencionei no texto, de databases vazarem; neste caso, um invasor malicioso teria sua senha e username daquele serviço, mas não poderia se aproveitar disso pra invadir outro site que você use.

  14. complicou demais… a senha já é segura, não tem porque complicar no E-mail também (como alguém vai roubar uma senha sua e conseguir não roubar o usuário de acesso?).
    Mudar a senha a cada X meses não ajuda nada também, a menos que alguém roubou uma senha sua há 10 dias e ficou esperando até resolver usá-la… ou seja, a menos que você resolva trocar suas senhas a cada 15min, dificilmente isso vai ajudar em alguma coisa

    para resumir tudo que você precisa sobre senhas: use LastPass e gere senhas difíceis e distintas para cada serviço (o LastPass gera automaticamente). E, obviamente, proteja muito bem sua senha do LastPass.

  15. Boa essa dica do + pra registrar nos sites, nunca tinha pensado nisso

    Agora mudar todas as senhas: IMPOSSIBRU

    Eu queria pegar um app de gerenciamento de senhas pra iOS pra poder ir cadastrando/gerando senhas pra todos os serviços que eu uso. Mas existem mil diferentes na AppStore e são todos pagos, alguém me recomenda um em específico aí???

  16. Ótima dica. Não sabia de nenhuma das duas.
    Para quem tem e-mail no outlook e quer saber se dá certo, eu fiz os testes:
    a dica do “+” funciona normalmente, ele ignora o que vem depois do +, mas a do “.” não funciona. Ele diz que o e-mail não existe no mesmo instante.
    Obrigado por compartilhar, Izzy.

  17. A dica é boa mas não muito útil, porque a grande maioria dos serviços pedem pra você logar com um username ou username ou e-mail, são raros os que te obrigam a logar só com o e-mail.

  18. acho q intendi a parte do .
    mas isso só vai servir pra sites que usar o email como login, ou seja, praticamente nenhum. a maioria dos sites usam nicks e ñ email pra logar

    digamos que me cadastrei o email como eu+sitesubmarino@gmail.com, ai ele começa a me mandar spam, como eu faço pra ignorar ou deletar automaticamente as mensagens mandadas para este email?

Leave a Reply

Your email address will not be published. Required fields are marked *