====== Boas práticas de segurança ====== Listamos aqui boas práticas de segurança que você deve sempre utilizar! ===== Senhas seguras sempre ===== A segurança de qualquer sistema começa por um dos pontos mais vulneráveis: a senha. Mesmo com o uso de gerenciadores de senhas como SafeVault, KeePassXC, Bitwarden, entre outros, muitos usuários ainda cometem o erro grave de reutilizar a mesma senha em diversos serviços, como: * E-mail pessoal ou corporativo * Acesso root ou usuário de VPS * Acesso ao banco de dados * Painéis administrativos * Contas de backup ou armazenamento em nuvem ==== Os riscos da reutilização ==== Reutilizar senhas representa um risco altíssimo. Se uma única senha vazar em qualquer serviço, o atacante poderá: * Invadir sua VPS, alterar ou apagar seus dados * Acessar seu e-mail, resetar senhas de outros serviços e roubar sua identidade * Obter acesso total ao seu banco de dados, expondo dados sensíveis * Comprometer toda a sua infraestrutura digital ==== Boas práticas para senhas ==== * Use senhas únicas para cada serviço * Nunca repita a mesma senha entre sistemas diferentes. * Senhas longas e aleatórias * Prefira senhas com 16 caracteres ou mais, com letras maiúsculas, minúsculas, números e símbolos. Exemplo: Y7f@9!kZp3#XvR$2bA * Nunca anote senhas em papel ou bloco de notas * Evite armazenar senhas em arquivos de texto não criptografados ou papel. * Ative autenticação em dois fatores (2FA) * Sempre que possível, habilite 2FA em todos os serviços. ==== Recomendação do administrador ==== Caso esteja gerenciando múltiplos sistemas (como e-mails, bancos de dados, servidores etc.), padronize o uso de um cofre seguro de senhas, crie um procedimento interno para geração segura, e revise periodicamente as credenciais mais sensíveis. ===== Engenharia Social: o elo mais fraco da segurança ===== Mesmo os sistemas mais bem protegidos podem ser comprometidos se o fator humano for manipulado. É aí que entra a engenharia social — o conjunto de técnicas usadas por atacantes para enganar pessoas e obter acesso não autorizado a sistemas, dados ou ambientes físicos. ==== O que é engenharia social? ==== É a prática de explorar a confiança, a distração ou o desconhecimento de uma pessoa para convencê-la a: - Revelar senhas ou códigos de autenticação - Instalar malwares ou acessar links maliciosos - Passar informações internas, como IPs, e-mails, nomes de usuários, etc. - Autorizar transferências, liberar acessos ou realizar ações críticas ==== Exemplos comuns de engenharia social ==== ^ Técnica ^ Descrição ^ | Phishing | E-mails ou mensagens falsas que imitam serviços legítimos e induzem o usuário a clicar em links ou informar credenciais. | | Vishing | Ataques por telefone, com golpistas se passando por suporte técnico, banco ou colegas de trabalho. | | Smishing | Envio de SMS fraudulentos com links ou códigos falsos. | | Pretexting | O atacante finge estar em uma situação legítima para obter confiança e informações. | | Baiting | Deixar mídias USB infectadas em locais públicos, esperando que alguém conecte por curiosidade. | ==== Como se proteger da engenharia social ==== - Desconfie de pedidos urgentes ou fora do padrão - Golpistas sempre tentam gerar pressa e urgência para diminuir o senso crítico da vítima. - Nunca compartilhe senhas, códigos ou tokens Nem com colegas, nem com supostos técnicos. Suporte legítimo nunca pede senha. - Confirme contatos por canais oficiais. Recebeu um pedido estranho por e-mail ou WhatsApp? Confirme por um canal oficial ou presencialmente. - Evite clicar em links de fontes desconhecidas. Verifique sempre o domínio e, em caso de dúvida, digite o endereço manualmente no navegador. ==== Exemplo real ==== Imagine um atacante que liga para a empresa se passando pelo “suporte do provedor” e diz que precisa acessar o servidor “apenas por 5 minutos” para corrigir uma falha. O atendente, com boa intenção, passa o IP e a senha. Pronto: o sistema foi comprometido sem precisar quebrar nenhuma criptografia.