Segurança da informação: conceitos básicos para qualquer pessoa

Semana passada um conhecido me mandou mensagem perguntando se devia trocar a senha do banco depois de clicar num link de SMS. O link parecia real, o remetente parecia o banco, e ele não tinha como saber. Cometeu o erro que praticamente qualquer pessoa cometeria — inclusive pessoas que trabalham com tecnologia.

Esse post não é uma lista de "10 dicas de segurança". É o conjunto mínimo de conceitos que, uma vez entendidos, mudam como você pensa sobre ameaças digitais — sem precisar virar analista de segurança.

A tríade CIA: o que todo sistema de segurança protege

Toda discussão de segurança da informação começa com três propriedades. Não porque é teoria bonita, mas porque qualquer ataque viola pelo menos uma delas.

Confidencialidade é garantir que informação chegue apenas a quem tem permissão. Uma senha em texto claro num banco de dados viola confidencialidade. Um e-mail enviado para o destinatário errado também.

Integridade é garantir que informação não seja alterada sem autorização. Um arquivo que você baixou e foi modificado por malware a caminho viola integridade. Um log de transação que alguém editou para cobrir rastros também.

Disponibilidade é garantir que sistemas e dados estejam acessíveis quando necessário. Um ataque de negação de serviço (DDoS) viola disponibilidade — o sistema existe, mas não consegue responder.

Por que isso importa na prática? Porque ajuda a classificar ameaças e priorizar defesas. Quando alguém pergunta "esse sistema é seguro?", a resposta correta é: seguro contra qual tipo de violação? Um banco de dados criptografado garante confidencialidade mas pode ser destruído, violando disponibilidade. Um backup público garante disponibilidade mas viola confidencialidade.

Por que senhas fracas ainda existem (e o que fazer sobre isso)

A maioria das pessoas sabe que "123456" é uma senha ruim. Mesmo assim, aparece no topo de todo vazamento de dados relevante. O motivo não é ignorância — é o custo cognitivo de memorizar dezenas de senhas únicas e complexas para serviços que você usa uma vez por mês.

O que torna uma senha resistente a ataque não é ter @ no lugar de a. Ferramentas como o hashcat aplicam essas substituições automaticamente — senha vira s3nh@, s3NH@, S3NH@! em milissegundos. O que protege de verdade é comprimento combinado com aleatoriedade.

Uma senha de 20 caracteres aleatórios em letras minúsculas é matematicamente muito mais difícil de quebrar por força bruta do que P@$$w0rd!123, independentemente dos símbolos. Comprimento multiplica o espaço de busca exponencialmente; adicionar tipos de caracteres, linearmente.

A solução prática não é memorizar senhas melhores. É parar de memorizar senhas. Um gerenciador de senhas — Bitwarden (open source, gratuito), 1Password, KeePass — gera e armazena senhas únicas de 20+ caracteres para cada serviço. Você memoriza uma senha mestra forte. O resto é gerado e esquecido.

Três regras mínimas:

• Senha diferente para cada serviço. Reuso é o que torna um vazamento num site irrelevante em um ataque contra sua conta em outro.
• Mínimo 16 caracteres, aleatórios. Não uma frase com substituições — caracteres aleatórios de verdade.
• Nunca reciclar. Se você usa a mesma base com variações por serviço, você não tem senhas diferentes.

2FA: o seguro que protege quando a senha vaza

Autenticação de dois fatores (2FA) é a ideia de que autenticar requer dois elementos independentes: algo que você sabe (senha) e algo que você tem (telefone, chave de hardware) ou algo que você é (biometria).

A razão pela qual isso importa: credenciais vazam. Pode ser um serviço que você usou uma vez em 2019 e esqueceu, pode ser phishing, pode ser malware. Com 2FA ativo, a senha comprometida não basta para entrar — o atacante precisaria também do segundo fator.

Nem todo 2FA é igual. Em ordem crescente de segurança:

SMS é o mais fraco. SIM swapping — convencer a operadora a transferir seu número para um chip do atacante — é um ataque documentado e usado contra alvos de valor. Para conta bancária ou e-mail principal, SMS 2FA é melhor do que nada mas não é suficiente se você é um alvo real.

TOTP (Time-based One-Time Password) é o código de 6 dígitos que muda a cada 30 segundos. Apps como Google Authenticator, Authy e Bitwarden Authenticator geram esses códigos a partir de uma chave secreta armazenada no seu dispositivo. Não depende de operadora, não pode ser redirecionado por SIM swapping. É o mínimo razoável para serviços importantes.

Chaves de hardware (YubiKey, passkeys) são o padrão mais alto. A chave precisa estar fisicamente presente e, em implementações modernas com WebAuthn, o site de destino é verificado criptograficamente — phishing não funciona porque a chave não autentica num site que não é o original.

Para a maioria das pessoas, TOTP em e-mail, redes sociais e contas financeiras já elimina a grande maioria dos vetores de ataque práticos.

Phishing: o ataque que não precisa de exploit técnico

Phishing é a técnica de se passar por uma entidade confiável para obter credenciais, dados pessoais ou acesso. É o vetor de entrada mais comum em ataques bem-sucedidos — não porque é sofisticado, mas porque funciona independentemente da qualidade técnica dos sistemas que protege.

Um servidor com todas as patches aplicadas, criptografia perfeita e senhas fortes pode ser comprometido se um funcionário clicar num link que parece o portal de VPN da empresa e digitar as credenciais.

Os padrões mais comuns que você vai encontrar:

E-mail de urgência: "Sua conta será encerrada em 24 horas se você não confirmar seus dados." A urgência é intencional — impede que você pense direito antes de agir.

Spoofing de remetente: o endereço de e-mail parece suporte@seubank.com mas o domínio real é seubank.suporte-conta.xyz. Olhe o domínio completo, não o nome amigável.

Links encurtados ou redirecionamentos: bit.ly/confirmar-conta que vai para seubank-autenticacao.com. Passe o mouse sobre links antes de clicar — a maioria dos clientes de e-mail mostra o URL real no rodapé.

Spear phishing: mensagens personalizadas usando informações reais suas (nome, cargo, empresa, projetos recentes). Coletadas de LinkedIn, redes sociais, vazamentos anteriores. Muito mais convincente que e-mail genérico.

A defesa mais eficaz contra phishing não é conseguir identificar links maliciosos — é ter 2FA ativo, porque mesmo que você ceda as credenciais, o atacante precisa do segundo fator. A segunda defesa é verificar diretamente: se o banco mandou um e-mail urgente, feche o e-mail e acesse o site do banco digitando o URL você mesmo.

Ameaças comuns que a maioria subestima

Credential stuffing: atacantes pegam listas de usuário/senha de vazamentos (existem listas com bilhões de combinações disponíveis publicamente) e testam automaticamente em outros serviços. Se você reutiliza senha, essa é a ameaça mais provável contra você agora mesmo. O ataque não requer nenhum conhecimento técnico especial — existem ferramentas prontas para isso.

Man-in-the-middle em redes públicas: em redes Wi-Fi sem senha ou mal configuradas, um atacante na mesma rede pode interceptar tráfego. HTTPS protege o conteúdo, mas metadados de navegação ainda podem ser coletados. VPN resolve isso — ou simplesmente usar dados móveis em redes que você não confia.

Social engineering: o ataque mais antigo e ainda muito eficaz. Ligar para o suporte e convencer que você é outra pessoa. Encontrar informações em redes sociais para responder perguntas de segurança. Explorar gentileza humana — "oi, esqueci meu crachá, você pode abrir a porta?". Segurança técnica perfeita não protege contra engenharia social sem treinamento e processos.

Malware de acesso remoto (RAT): uma vez instalado — via anexo de e-mail, software pirata, extensão de navegador maliciosa — o atacante tem acesso ao que você faz no computador. Keylogger captura senhas digitadas, screenshot tira foto da tela, acesso remoto permite controle total. Antivírus ajuda mas não é suficiente — a principal defesa é não executar software de origem duvidosa.

O modelo de ameaça é a pergunta que ninguém faz

Segurança sem contexto não faz sentido. A pergunta correta não é "como me tornar mais seguro?" mas "contra quem e contra o quê estou me protegendo?"

Uma jornalista cobrindo corrupção tem um modelo de ameaça completamente diferente de um engenheiro de software que quer apenas proteger contas pessoais. A primeira precisa de comunicação criptografada de ponta a ponta, OpSec rigoroso, possivelmente dispositivos dedicados. O segundo precisa principalmente de gerenciador de senhas + 2FA + higiene básica de e-mail.

Medidas de segurança têm custo — tempo, fricção, dinheiro. Fazer tudo ao mesmo tempo é insustentável. O modelo de ameaça ajuda a priorizar onde o esforço tem retorno real.

Para a maioria das pessoas com acesso a serviços financeiros online, as ameaças mais prováveis são: credential stuffing de vazamento anterior, phishing genérico por e-mail ou SMS, e acesso não autorizado por dispositivo perdido ou roubado. As defesas para esses três são: senhas únicas fortes (gerenciador), 2FA TOTP, e bloqueio de tela com biometria. Isso cobre 90% do risco prático sem exigir paranoia profissional.

Perguntas frequentes

É seguro usar o mesmo e-mail em vários serviços?

O e-mail em si não é o problema — você precisará de um para login em qualquer lugar. O risco é associar à mesma senha. Use o mesmo e-mail em qualquer número de serviços, mas com senhas completamente diferentes em cada um. Considere também criar um e-mail separado para serviços menos confiáveis, para isolar spam e phishing.

Antivírus ainda serve pra alguma coisa?

Serve, mas o papel mudou. Antivírus moderno protege contra malware conhecido, mas ataques sofisticados e zero-days costumam passar. A proteção mais importante hoje é comportamental: não executar software de origem desconhecida, manter sistema e aplicativos atualizados (a maioria dos exploits reais usa vulnerabilidades que já têm patch disponível), e desconfiar de anexos de e-mail mesmo de contatos conhecidos se o contexto é estranho.

2FA por SMS é suficiente para conta bancária?

Para a maioria das pessoas, sim — ainda é muito melhor do que senha sozinha. O risco real de SIM swapping existe, mas é um ataque que requer esforço manual e é usado principalmente contra alvos de alto valor (influenciadores, pessoas com criptoativos significativos, executivos). Se você tem razão para acreditar que é um alvo específico, migre para TOTP ou chave de hardware. Caso contrário, SMS 2FA já elimina a grande maioria dos ataques automatizados.

O que fazer se suspeito que fui phished?

Aja imediatamente. Troque a senha do serviço afetado de um dispositivo diferente do que foi usado no momento suspeito. Se for conta financeira, ligue para o banco. Ative 2FA se ainda não estava ativo. Verifique sessões abertas nas configurações do serviço e encerre todas as que não reconhece. Monitore as contas nos dias seguintes.

Higiene básica que muda o resultado

Nenhum desses conceitos é novo. O que muda entre pessoas que têm problemas de segurança e pessoas que não têm costuma ser um conjunto pequeno de hábitos: senhas únicas com gerenciador, 2FA ativo em contas importantes, e ceticismo saudável antes de clicar em links urgentes.

O modelo de ameaça diz que você não precisa proteger tudo da mesma forma. Mas as camadas básicas — senha forte única + segundo fator — têm custo de setup de uma tarde e eliminam a maioria dos vetores de ataque que afetam pessoas comuns.

Para gerar senhas com aleatoriedade criptográfica real sem depender de memória humana, uso o Gerador de Senhas — tudo no navegador, sem enviar nada para servidor.

Nota: o conteúdo editorial acabou aqui. O que vem abaixo é uma indicação de ferramenta relacionada ao tema do post.

Ferramenta relacionada

Para criar senhas longas e aleatórias de verdade — não variações de palavra que você já usou — o Gerador de Senhas usa crypto.getRandomValues para garantir aleatoriedade criptográfica. Útil para configurar contas novas ou substituir senhas fracas identificadas num gerenciador.