Um breve guia de noções básicas de segurança cibernética

Segunda-feira passada, Recebi um e-mail do Spotify dizendo que alguém no Brasil havia acessado minha conta.

Eu chequei. Com certeza:um estranho estava usando meu Spotify para ouvir Michael Jackson. Eu disse ao Spotify para “desconectar-me em todos os lugares” - mas não mudei minha senha.

Na quarta-feira, Aconteceu novamente. Às 2 da manhã, Recebi outro e-mail do Spotify. Desta vez, meu sorrateiro amigo brasileiro estava ouvindo Prince. E eles aparentemente gostaram do visual de uma das minhas playlists (“Funk Is Its Own Reward”), porque eles estavam ouvindo isso também.

Eu saí de todos os lugares novamente, e isto vez que mudei minha senha. E eu fiz uma resolução.

Você vê, Fiz um péssimo trabalho de implementação de medidas modernas de segurança online. Sim, Tenho minhas contas financeiras críticas bloqueadas com autenticação de dois fatores, etc, mas, principalmente, sou desleixado quando se trata de segurança cibernética.

Por exemplo, Eu reutilizo senhas. Eu ainda uso senhas de trinta anos atrás para situações de baixa segurança (como inscrever-se em um clube do vinho ou em um programa de fidelidade empresarial). E embora eu tenha começado a criar senhas fortes (mas fáceis de lembrar) para contas mais importantes, todas essas senhas seguem um padrão e não são aleatórias. Pior de todos, Eu mantenho um documento de texto simples de 20 anos no qual armazeno tudo de minhas informações pessoais sensíveis.

Isso é idiota. Burro burro burro burro.

Eu sei que é burro, mas nunca me preocupei em fazer alterações - até agora. Agora, Por uma variedade de razões, Acho que é hora de tornar minha vida digital um pouco mais segura. Passei várias horas no fim de semana trancando as coisas. Veja como.

Um breve guia para cibersegurança

Coincidentemente, no mesmo dia em que minha conta do Spotify estava sendo usada para transmitir os maiores sucessos do Prince no Brasil, um usuário do Reddit chamado / u / ACheetoBandito postou um guia de segurança cibernética em / r / fatFIRE. Quão conveniente!

“A cibersegurança é um componente crítico da segurança financeira, mas raramente discutido nos círculos de finanças pessoais, ”/ U / ACheetoBandito escreveu. “Observe que os profissionais de segurança cibernética discordam sobre as melhores práticas de segurança cibernética pessoal. Isto é minha perspectiva, pois tenho alguma experiência na área. ”

Não vou reproduzir a postagem inteira aqui - você definitivamente deveria ir lê-la, se este assunto é importante para você - mas eu vai liste o resumo com marcadores junto com alguns de meus próprios pensamentos. Nosso amigo de dedo laranja recomenda que qualquer pessoa preocupada com a segurança cibernética execute as seguintes etapas:

1. Obtenha pelo menos duas chaves de segurança baseadas em hardware. Meu amigo Robert Farrington (do The College Investor) usa o YubiKey. O Google oferece sua chave de segurança Titan. (Encomendei a YubiKey 5c nano devido ao seu formato mínimo.)
2. Configure uma conta de e-mail privada secreta. Seu endereço de e-mail privado não deve ser vinculado em algum caminho para seu e-mail público, e o endereço não deve ser dado a ninguém. (Eu já tenho muitas contas de e-mail públicas, mas eu não tinha um endereço privado. Eu faço agora.)
3. Ative a Proteção Avançada para contas públicas e privadas do Gmail. Proteção Avançada é um complemento de segurança gratuito do Google. Vincule-o às chaves de segurança que você adquiriu na etapa um. (Não configurei isso porque minhas chaves de segurança só chegarão esta tarde.)
4. Configure um gerenciador de senhas. O gerenciador de senhas que você escolhe depende de você. A chave é escolher um que você usar . É melhor se este aplicativo suportar suas novas chaves de segurança para autenticação. (Vou cobrir algumas opções na próxima seção deste artigo.)
5. Gerar novas senhas para tudo contas. Crie manualmente senhas memoráveis ​​para seus endereços de e-mail, seus computadores (e dispositivos móveis), e para o próprio gerenciador de senhas. Todas as outras senhas devem ser senhas fortes geradas aleatoriamente pelo gerenciador de senhas.
6. Associe contas importantes ao seu novo endereço de e-mail privado. Isso incluirá contas financeiras, como seus bancos, corretoras, e cartões de crédito. Mas pode incluir outras contas também. (Vou usar meu endereço de e-mail privado para serviços básicos relacionados a este site, por exemplo.)
7. Ative medidas de segurança adicionais para todas as contas. Os recursos disponíveis variam de provedor para provedor, mas, de modo geral, você deve ser capaz de ativar a autenticação de dois fatores (com as chaves de segurança, sempre que possível) e alertas de login.
8. Ative alertas de texto / e-mail para contas financeiras. Você também pode ativar alertas para alterações em sua pontuação de crédito e / ou relatório de crédito.
9. Ative medidas de segurança em seus dispositivos móveis. Seu telefone deve ser bloqueado por uma medida de autorização forte. E cada um de seus aplicativos financeiros individuais deve ser bloqueado com uma senha e quaisquer outras medidas de segurança possíveis.

/ u / ACheetoBandito recomenda alguns adicionais, medidas de segurança opcionais. (E todo o tópico de discussão do Reddit está repleto de ótimas dicas de segurança.)

Você pode querer congelar seu crédito (embora, se você fizer, lembre-se de que você ocasionalmente precisa un - congele seu crédito para fazer transações financeiras). Algumas pessoas desejarão criptografar seus telefones e discos rígidos. E se você estiver muito preocupado com a segurança, compre um Chromebook barato e use-o como o só dispositivo no qual você executa transações financeiras. (Acredite ou não, Estou realizando esta última etapa opcional. Faz sentido para mim - e pode ser uma chance para eu ir além do Quicken.)

Explorando os melhores gerenciadores de senha

OK, excelente! Encomendei um novo Chromebook de $ 150 e duas chaves de segurança baseadas em hardware. Eu configurei um novo, endereço de e-mail ultrassecreto, que irei conectar a qualquer conta que precise de segurança adicional. Mas ainda não abordei o ponto mais fraco do processo:meu documento de texto cheio de senhas.

Parte do problema é complacência. Meu sistema é simples e gosto dele. Mas outra parte do problema é a paralisia da análise. Há um muito de gerenciadores de senhas por aí, e não tenho ideia de como diferenciá-los, para descobrir qual é a certa para mim e minhas necessidades.

Para ajuda, Pedi aos meus amigos do Facebook para listar os melhores gerenciadores de senhas. Eu baixei e instalei cada uma de suas sugestões, então anotei algumas impressões iniciais.

• LastPass:16 votos (2 de nerds técnicos) - LastPass foi de longe o gerenciador de senhas mais popular entre meus amigos do Facebook. As pessoas adoram. Eu instalei e vasculhei, e parece ... ok. A interface é um pouco desajeitada e o conjunto de recursos parece adequado (mas não robusto). O aplicativo usa a metáfora do "cofre" fácil de entender, que eu gosto. LastPass é grátis (com opções premium disponíveis para custo adicional).
• 1Password:7 votos (4 de nerds técnicos) - Este aplicativo possui recursos semelhantes ao Bitwarden ou LastPass. A interface é boa o suficiente, e parece fornecer alertas de segurança. 1A senha custa $ 36 / ano.
• Bitwarden:4 votos (2 de nerds técnicos) - Bitwarden tem um simples, interface fácil de entender. Ele usa a mesma metáfora de “cofre” que produtos como LastPass e 1Password usam. É um forte candidato a se tornar a ferramenta que utilizo. O Bitwarden é gratuito. Por $ 10 por ano, você pode adicionar recursos de segurança premium.
• KeePass:2 votos - KeePass é um gerenciador de senhas de código aberto gratuito. Existem instalações KeePass disponíveis para todos os principais sistemas operacionais de computador e móveis. Se você é um fanático por Linux (ou um defensor do código aberto), esta pode ser uma boa escolha. Não gosto de sua funcionalidade limitada e de sua interface terrível. KeePass é gratuito.
• Dashlane:2 votos - De todos os gerenciadores de senhas que examinei, Dashlane tem a interface mais agradável e mais recursos. Como muitas dessas ferramentas, ele usa a metáfora do "cofre", mas permite que você armazene mais coisas neste cofre do que outras ferramentas. (Você pode armazenar informações de identificação - carteira de motorista, passaporte - por exemplo. Também há um local para armazenar recibos.) Dashlane tem uma opção básica gratuita mas a maioria das pessoas vai querer a opção premium de $ 60 / ano. (Há também uma opção de US $ 120 / ano que inclui monitoramento de crédito e seguro contra roubo de identidade.)
• Desfoque:1 voto - Desfoque é diferente da maioria dos gerenciadores de senhas. Ele literalmente tenta confundir sua identidade online. Impede que os navegadores da web rastreiem você, mascara endereços de e-mail e cartões de crédito e números de telefone, e (ou claro) gerencia senhas. Eu quero alguns recursos que o Blur não tem - e não quero alguns dos recursos que ele faz tenho. O desfoque custa no mínimo $ 39 / ano mas esse preço pode se tornar muito mais alto.
• Chaveiro da Apple:1 voto - O chaveiro é o gerenciador de senhas integrado da Apple desde 1999. Como tal, está disponível gratuitamente em dispositivos Apple. A maioria dos usuários de Mac e iOS usa o Keychain sem perceber. Não é realmente robusto o suficiente para fazer outra coisa senão armazenar senhas, então eu não dei a isso uma consideração séria. O Keychain é gratuito e vem instalado em produtos Apple.

Deixe-me ser claro: Fiz apenas um exame superficial desses gerenciadores de senhas. Eu não mergulhei fundo. Se eu tentasse comparar todos os recursos de cada gerenciador de senhas, Eu nunca escolheria. Eu ficaria preso na paralisia da análise novamente. Então, Dei uma rápida olhada em cada um e tomei uma decisão com base no instinto e na intuição.

Dessas ferramentas, dois se destacaram:Bitwarden e Dashlane. Ambos apresentam interfaces agradáveis ​​e muitos recursos. Ambas as ferramentas oferecem versões gratuitas, mas eu gostaria de atualizar para um plano premium pago a fim de obter acesso à autenticação de dois fatores (usando minhas novas chaves de segurança de hardware) e monitoramento de segurança. É aqui que o Bitwarden tem uma grande vantagem. São apenas US $ 10 por ano. Para obter os mesmos recursos, Dashlane custa US $ 60 / ano.

Mas é o seguinte.

Eu comecei na verdade usando ambas as ferramentas ao mesmo tempo, inserir as senhas do meu site uma por uma. Parei depois de inserir dez sites em cada um. Estava claro que eu preferia muito usar o Dashlane ao Bitwarden. Simplesmente funciona de uma forma que faz sentido para mim. (Sua experiência pode ser diferente.) Então, Por um tempo, pelo menos, Vou usar o Dashlane como meu gerenciador de senhas.

O problema com senhas

Meu principal motivo para usar um gerenciador de senhas é obter minhas informações confidenciais de um documento de texto simples para algo mais seguro. Mas tenho um motivo secundário:quero melhorar a força de minhas senhas.

Quando comecei a usar a Internet - na década de 1980, antes do advento da World Wide Web - não me importei com a força da senha. A primeira senha que criei (em 1989) era simplesmente o nome do meu amigo que me deixou usar seu computador para acessar os sistemas de quadro de avisos locais. Eu usei essa senha para anos em tudo, desde contas de e-mail a sites de bancos. Ainda a considero minha senha de “baixa segurança” para coisas que não são críticas.

Tenho talvez oito ou dez senhas como esta:curta, senhas simples que usei em dezenas de locais. Nos últimos cinco anos, Tentei mudar para senhas exclusivas para cada site, senhas que seguem um padrão. Embora isso seja uma melhoria, eles ainda não estão ótimos. Como eu digo, eles seguem um padrão. E embora contenham letras, números, e símbolos, eles são todos relativamente curtos.

Como você pode esperar, meu protocolo de senha desleixado criou uma espécie de pesadelo de segurança. Aqui está uma captura de tela da ferramenta de verificação de senha do Google para uma de minhas contas.

Eu obtenho resultados semelhantes para tudo das minhas contas do Google. Caramba.

Mais, existe o problema de compartilhamento de contas.

Kim e eu compartilhamos uma conta Netflix. E uma conta na Amazon. E uma conta do Hulu. E uma conta no iTunes. Na verdade, provavelmente compartilhamos vinte ou trinta contas. Ela e eu usamos a mesma senha fácil de lembrar para todos esses logins. Embora nenhuma dessas contas seja supersensível, o que estamos fazendo ainda é uma ideia ruim.

Então, Quero começar a buscar senhas mais seguras - até mesmo para as contas que compartilho com Kim.

A boa notícia é que a maioria dos gerenciadores de senhas - incluindo o Dashlane - geram automaticamente senhas aleatórias para você. Ou eu poderia tentar algo semelhante à ideia sugerida nesta história em quadrinhos do XKCD:

O problema, claro, é que cada local possui diferentes requisitos para senhas. Alguns exigem números. Alguns requerem símbolos. Alguns dizem não símbolos. E assim por diante. Não conheço nenhum site que me permita usar quatro palavras comuns aleatórias para uma senha!

Por enquanto, Vou fazer uma abordagem em três vertentes:

• Vou criar manualmente senhas longas (mas memoráveis) para minhas contas mais importantes. Este é o método XKCD.
• Para as contas que compartilho com Kim - Netflix, etcetera - vou criar novos, senhas memoráveis ​​que seguem um padrão.
• Para todo o resto, Vou deixar meu gerenciador de senhas gerar senhas aleatórias.

Este parece ser um bom equilíbrio entre usabilidade e segurança. Cada senha será diferente. Apenas os que compartilho com Kim serão curtos; todos os outros serão longos. E a maioria das minhas novas senhas serão rabiscos aleatórios.

Considerações finais sobre cibersegurança

Neste breve vídeo do Tech Insider, um ex-especialista em segurança da Agência de Segurança Nacional compartilha suas cinco principais dicas para se proteger online.

Você notará que eles são semelhantes ao guia de segurança cibernética do Reddit que postei anteriormente neste artigo. Aqui estão os passos que ele diz para você tomar para se manter seguro:

• Ative a autenticação de dois fatores sempre que possível.
• Não use a mesma senha em todos os lugares.
• Mantenha seu sistema operacional (e software) atualizado.
• Tenha cuidado com o que você posta nas redes sociais.
• Fazer não compartilhe informações pessoais, a menos que você seja certo você está lidando com uma empresa ou pessoa confiável.

Não vou fingir que os passos que estou dando me protegerão completamente. Mas meu novo sistema é certamente uma atualização do que venho fazendo nos últimos 20 anos ou mais - que era, como eu mencionei, mudo mudo mudo.

E eu tenho que confessar:eu gostar a ideia de restringir minha vida financeira online a um computador - o novo Chromebook de $ 150. Não tenho certeza se isso é realmente viável, mas vou tentar. Se isso funcionar, então, poderei ver se consigo encontrar uma ferramenta de gerenciamento de dinheiro que goste para a máquina. Talvez então eu possa finalmente deixar o Quicken 2007 para Mac para trás!