OT - Segurança / e-mail / passwords

Espaço dedicado a todo o tipo de troca de impressões sobre os mercados financeiros de uma forma genérica e a todo o tipo de informação útil que possa condicionar o desempenho dos mesmos

Moderadores: pata-hari, Ulisses Pereira, MarcoAntonio

OT - Segurança / e-mail / passwords

por MarcoAntonio » 6/2/2019 0:43

De onde a onde lá ouvirão alguém lamentar-se que esta conta ou aquela conta foi hackeada, apanhando as pessoas de surpresa e dando imenso trabalho. Este post serve essencialmente para alertar para e prevenir situações deste tipo, dado que hoje em dia e cada vez com mais frequência circulam na web / dark web, listas que não são mais do que colecções de e-mails e passwords correspondentes obtidas de leaks / falhas de segurança e episódios de hacking, para venda!

Neste ponto um hacker de trazer por casa pode comprar uma destas listas bem como ferramentas de hacking igualmente à venda e tropeçar numa combinação válida de username e password.


Não querendo alarmar ninguém, se utilizam a web há uns bons anos, é bastante provável que credenciais vossas já tenham sido expostas uma ou mais vezes. Eventualmente a password poderá ser antiga, mas mesmo neste caso convém terem conhecimento que essa credencial circula na web para venda para que não a voltem a utilizar!


Além de que leaks continuam a ocorrer o tempo todo (actualmente ocorrem ao ritmo de vários "grandes" por ano) o que faz com que as pessoas devam continuamente assegurar-se que as suas credenciais são e continuam a ser seguras.


O que fazer e como tornar esta vigilância mais fácil?

Para além de seguir normas de segurança básicas (como não usar passwords simples e usar passwords unicas para cada site e serviço - isto é cada vez mais importante) aconselho a que utilizem um serviço de vigilância para evitar surpresas desagradáveis, ou caso tenham sido expostos nalguma falha de segurança, poderem agir rápido.

O local de referência para visitar para este fim (existem outros mas francamente este é o melhor, é a referência e é gratuito!):

https://haveibeenpwned.com

Este serviço, que é seguro (não requere registo, não requere introdução de informação pessoal) faz um verdadeiro serviço público de segurança. O site agrega listas quer de falhas que são publicas e onde é explicitamente indicada a origem dos dados, quer agregados obtidos na dark web e passam por um processo de validação / verificação para excluir falsas listas (à venda estão quer listas verdadeiras com dados que são reais e que são ou já foram utilizados e listas que são fabricações com dados falsos, estas quando identificadas são eliminadas da base de dados).


Três coisas extremamente úteis se podem fazer via este serviço:

:arrow: Verificar se algum dos nossos mails circula na web nas ditas listas;

:arrow: Verificar se alguma das nossas passwords circula nas ditas listas*;

:arrow: Ser notificado se o e-mail surgir nalguma lista introduzida na base de dados do site;


Conselhos finais: verifiquem se credenciais vossas circulam na net e assegurem-se que as passwords mais importantes são seguras. Não voltem obviamente a utilizar passwords potencialmente expostas.

Usem o serviço de notificação, se o e-mail cair pela primeira vez ou de novo na base de dados com alguma nova adição verifiquem se as passwords passaram a estar listadas (podem fazer isto num local/computador diferente não associado a nenhuma conta/serviço vosso e sem terem introduzido o e-mail). Se sim, é mudar imediatamente seguindo os procedimentos seguros nos respectivos sites/serviços: se a password é complexa e passou a aparecer listada na mesma altura em que o mail voltou a entrar na base de dados, mesmo sem um serviço de matching, é terrivelmente provável que a vossa password tenha sido descoberta numa leak recente!



* O serviço não deixa "emparelhar" e-mails e passwords - por motivos vários de segurança! - pelo que aqui podem obter ou não falsos positivos (a password pode ter sido exposta mas associada a um e-mail que não é o vosso) mas dependendo de como constroem/mantêm as vossas passwords é possível descobrir/deduzir se alguma password eventualmente foi mesmo descoberta e passou a circular na web.
Bons Negócios,
Marco Antonio
Caldeirão de Bolsa

FLOP - Fundamental Laws Of Profit


1. Mais vale perder um ganho que ganhar uma perda, a menos que se cumpra a Segunda Lei.
2. A expectativa de ganho deve superar a expectativa de perda, onde a expectativa mede a
....amplitude média do ganho/perda contra a respectiva probabilidade.
3. A Primeira Lei não é mesmo necessária mas com Três Leis isto fica definitivamente mais giro.
Avatar do Utilizador
Administrador Fórum
 
Mensagens: 31601
Registado: 4/11/2002 22:16
Localização: Vilar do Paraíso

Quem está ligado:
Utilizadores a ver este Fórum: Bing [Bot], J_Investidor, LoneWolf, MSN [Bot], OCTAMA, pattern, rmmrod, rocha28, vinas1976 e 20 visitantes