Mesmo que vocˆe tenha tomado cuidados para elaborar a sua senha e utilizado mecanismos de gerenciamento, podem ocorrer casos, por in´umeros motivos, de vocˆe perdˆe-la. Para restabelecer o acesso perdido, alguns sistemas disponibilizam recursos como:
• permitir que vocˆe responda a uma pergunta de seguranc¸a previamente determinada por vocˆe; • enviar a senha, atual ou uma nova, para o e-mail de recuperac¸˜ao previamente definido por vocˆe; • confirmar suas informac¸ ˜oes cadastrais, como data de anivers´ario, pa´ıs de origem, nome da m˜ae,
n´umeros de documentos, etc;
• apresentar uma dica de seguranc¸a previamente cadastrada por vocˆe;
• enviar por mensagem de texto para um n ´umero de celular previamente cadastrado por vocˆe.
Todos estes recursos podem ser muito ´uteis, desde que cuidadosamente utilizados, pois assim como podem permitir que vocˆe recupere um acesso, tamb´em podem ser usados por atacantes que queiram se apossar da sua conta. Alguns cuidados que vocˆe deve tomar ao us´a-los s˜ao:
• cadastre uma dica de seguranc¸a que seja vaga o suficiente para que ningu´em mais consiga descobri-la e clara o bastante para que vocˆe consiga entendˆe-la. Exemplo: se sua senha for “SS0l, asstrr0-rrei d0 SSisstema SS0larr”5, pode cadastrar a dica “Uma das notas musicais”, o que o far´a se lembrar da palavra “Sol” e se recordar da senha;
• seja cuidadoso com as informac¸ ˜oes que vocˆe disponibiliza em blogs e redes sociais, pois po- dem ser usadas por atacantes para tentar confirmar os seus dados cadastrais, descobrir dicas e responder perguntas de seguranc¸a (mais detalhes no Cap´ıtuloPrivacidade);
• evite cadastrar perguntas de seguranc¸a que possam ser facilmente descobertas, como o nome do seu cachorro ou da sua m˜ae. Procure criar suas pr´oprias perguntas e, de preferˆencia, com respostas falsas. Exemplo: caso vocˆe tenha medo de altura, pode criar a pergunta “Qual seu esporte favorito?” e colocar como resposta “paraquedismo” ou “alpinismo”;
• ao receber senhas por e-mail procure alter´a-las o mais r´apido poss´ıvel. Muitos sistemas enviam as senhas em texto claro, ou seja, sem nenhum tipo de criptografia e elas podem ser obtidas caso algu´em tenha acesso `a sua conta de e-mail ou utilize programas para interceptac¸˜ao de tr´afego (mais detalhes na Sec¸˜ao3.4do Cap´ıtuloAtaques na Internet);
• procure cadastrar um e-mail de recuperac¸˜ao que vocˆe acesse regularmente, para n˜ao esquecer a senha desta conta tamb´em;
• procure n˜ao depender de programas gerenciadores de senhas para acessar o e-mail de recupe- rac¸˜ao (caso vocˆe esquec¸a sua chave mestra ou, por algum outro motivo, n˜ao tenha mais acesso `as suas senhas, o acesso ao e-mail de recuperac¸˜ao pode ser a ´unica forma de restabelecer os acessos perdidos);
• preste muita atenc¸˜ao ao cadastrar o e-mail de recuperac¸˜ao para n˜ao digitar um enderec¸o que seja inv´alido ou pertencente a outra pessoa. Para evitar isto, muitos sites enviam uma mensagem de confirmac¸˜ao assim que o cadastro ´e realizado. Tenha certeza de recebˆe-la e de que as eventuais instruc¸˜oes de verificac¸˜ao tenham sido executadas.
9. Criptografia
A criptografia, considerada como a ciˆencia e a arte de escrever mensagens em forma cifrada ou em c´odigo, ´e um dos principais mecanismos de seguranc¸a que vocˆe pode usar para se proteger dos riscos associados ao uso da Internet.
A primeira vista ela at´e pode parecer complicada, mas para usufruir dos benef´ıcios que proporci- ona vocˆe n˜ao precisa estud´a-la profundamente e nem ser nenhum matem´atico experiente. Atualmente, a criptografia j´a est´a integrada ou pode ser facilmente adicionada `a grande maioria dos sistemas ope- racionais e aplicativos e para us´a-la, muitas vezes, basta a realizac¸˜ao de algumas configurac¸˜oes ou cliques de mouse.
Por meio do uso da criptografia vocˆe pode:
• proteger os dados sigilosos armazenados em seu computador, como o seu arquivo de senhas e a sua declarac¸˜ao de Imposto de Renda;
• criar uma ´area (partic¸˜ao) espec´ıfica no seu computador, na qual todas as informac¸ ˜oes que forem l´a gravadas ser˜ao automaticamente criptografadas;
• proteger seus backups contra acesso indevido, principalmente aqueles enviados para ´areas de armazenamento externo de m´ıdias;
• proteger as comunicac¸ ˜oes realizadas pela Internet, como os e-mails enviados/recebidos e as transac¸˜oes banc´arias e comerciais realizadas.
Nas pr´oximas sec¸˜oes s˜ao apresentados alguns conceitos de criptografia. Antes, por´em, ´e impor- tante que vocˆe se familiarize com alguns termos geralmente usados e que s˜ao mostrados na Tabela9.1.
Termo Significado
Texto claro Informac¸˜ao leg´ıvel (original) que ser´a protegida, ou seja, que ser´a codificada Texto codificado (cifrado) Texto ileg´ıvel, gerado pela codificac¸˜ao de um texto claro
Codificar (cifrar) Ato de transformar um texto claro em um texto codificado Decodificar (decifrar) Ato de transformar um texto codificado em um texto claro
M´etodo criptogr´afico Conjunto de programas respons´avel por codificar e decodificar informac¸˜oes Chave Similar a uma senha, ´e utilizada como elemento secreto pelos m´etodos crip-
togr´aficos. Seu tamanho ´e geralmente medido em quantidade de bits Canal de comunicac¸˜ao Meio utilizado para a troca de informac¸˜oes
Remetente Pessoa ou servic¸o que envia a informac¸˜ao Destinat´ario Pessoa ou servic¸o que recebe a informac¸˜ao
Tabela 9.1: Termos empregados em criptografia e comunicac¸˜oes via Internet.
9.1
Criptografia de chave sim´etrica e de chaves assim´etricas
De acordo com o tipo de chave usada, os m´etodos criptogr´aficos podem ser subdivididos em duas grandes categorias: criptografia de chave sim´etrica e criptografia de chaves assim´etricas.
Criptografia de chave sim´etrica: tamb´em chamada de criptografia de chave secreta ou ´unica, uti- liza uma mesma chave tanto para codificar como para decodificar informac¸˜oes, sendo usada principalmente para garantir a confidencialidade dos dados.
Casos nos quais a informac¸˜ao ´e codificada e decodificada por uma mesma pessoa n˜ao h´a ne- cessidade de compartilhamento da chave secreta. Entretanto, quando estas operac¸˜oes envolvem pessoas ou equipamentos diferentes, ´e necess´ario que a chave secreta seja previamente combi- nada por meio de um canal de comunicac¸˜ao seguro (para n˜ao comprometer a confidencialidade da chave). Exemplos de m´etodos criptogr´aficos que usam chave sim´etrica s˜ao: AES, Blowfish, RC4, 3DES e IDEA.
Criptografia de chaves assim´etricas: tamb´em conhecida como criptografia de chave p´ublica, uti- liza duas chaves distintas: uma p´ublica, que pode ser livremente divulgada, e uma privada, que deve ser mantida em segredo por seu dono.
Quando uma informac¸˜ao ´e codificada com uma das chaves, somente a outra chave do par pode decodific´a-la. Qual chave usar para codificar depende da protec¸˜ao que se deseja, se confidenci- alidade ou autenticac¸˜ao, integridade e n˜ao-rep´udio. A chave privada pode ser armazenada de di- ferentes maneiras, como um arquivo no computador, um smartcard ou um token. Exemplos de m´etodos criptogr´aficos que usam chaves assim´etricas s˜ao: RSA, DSA, ECC e Diffie-Hellman.
A criptografia de chave sim´etrica, quando comparada com a de chaves assim´etricas, ´e a mais indicada para garantir a confidencialidade de grandes volumes de dados, pois seu processamento ´e mais r´apido. Todavia, quando usada para o compartilhamento de informac¸˜oes, se torna complexa e pouco escal´avel, em virtude da:
• necessidade de um canal de comunicac¸˜ao seguro para promover o compartilhamento da chave secreta entre as partes (o que na Internet pode ser bastante complicado) e;
• dificuldade de gerenciamento de grandes quantidades de chaves (imagine quantas chaves secre- tas seriam necess´arias para vocˆe se comunicar com todos os seus amigos).
9. Criptografia 69
A criptografia de chaves assim´etricas, apesar de possuir um processamento mais lento que a de chave sim´etrica, resolve estes problemas visto que facilita o gerenciamento (pois n˜ao requer que se mantenha uma chave secreta com cada um que desejar se comunicar) e dispensa a necessidade de um canal de comunicac¸˜ao seguro para o compartilhamento de chaves.
Para aproveitar as vantagens de cada um destes m´etodos, o ideal ´e o uso combinado de ambos, onde a criptografia de chave sim´etrica ´e usada para a codificac¸˜ao da informac¸˜ao e a criptografia de chaves assim´etricas ´e utilizada para o compartilhamento da chave secreta (neste caso, tamb´em chamada de chave de sess˜ao). Este uso combinado ´e o que ´e utilizado pelos navegadores Web e programas leitores de e-mails. Exemplos de uso deste m´etodo combinado s˜ao: SSL, PGP e S/MIME.