MFA
7 artigos com esta tag
Segurança para a era da IA: os fundamentos para blindar agora (checklist por prioridade)
A IA em sua maior parte amplifica ataques sobre fraquezas EXISTENTES (CVEs sem correção, senhas reutilizadas, segredos expostos) em vez de inventar novas — encontradas de forma automática, rápida e em escala. Então a melhor preparação é blindar os fundamentos na ordem certa: correção de CVE + monitoramento de dependências, acabar com reutilização + MFA, remover segredos expostos, menor privilégio, reduzir a superfície pública, logs/IOCs, backups.
O que é phishing? Os tipos de ataque e defesas mais seguras que 'identificar a olho'
Phishing se passa por uma parte confiável para atraí-lo a uma página de login falsa e roubar credenciais ou dados (ou rodar malware). Mira no julgamento humano em vez de uma falha de software, e é a rota de entrada número um para ransomware e vazamentos. O phishing moderno com invasor no meio (AiTM) retransmite até códigos de uso único para o site real em tempo real, então o MFA por SMS/app pode ser derrotado. A defesa segura não é 'identificar a olho', mas mecanismos: MFA resistente a phishing vinculado ao domínio (passkeys/chaves de segurança), ir direto ao site oficial em vez de clicar em links e autenticação de e-mail (SPF/DKIM/DMARC).
Escolhendo MFA do jeito certo: o que significa 'resistente a phishing' e por que o SMS é fraco
MFA é uma segunda fechadura para que uma senha vazada sozinha não consiga entrar — mas o que você ativa muda sua força em três níveis. Códigos por SMS/e-mail caem diante de phishing por relay e SIM-swap; apps autenticadores (TOTP) ficam no meio; passkeys/chaves de segurança (FIDO2) não podem ser apresentados a um site falso de jeito nenhum — essa é a resistência a phishing. Prioridade máxima: coloque MFA resistente a phishing nas chaves do reino (e-mail, domínio, pagamentos). Guardar os códigos de recuperação e ter um fator de backup completam a configuração.
Gerenciadores de senhas são seguros? Como funcionam, nuvem vs. local e como escolher
Um gerenciador de senhas é mais seguro que reutilizar ou guardar em texto puro. A chave é a criptografia de conhecimento zero: sua senha-mestra descriptografa o cofre só no seu dispositivo, o provedor guarda apenas o texto cifrado, então uma invasão do provedor não expõe suas senhas. O ponto único real é sua senha-mestra mais o MFA do cofre. Escolha nuvem (Bitwarden/1Password) ou local (KeePass) pelo uso.
A base de segurança para devs independentes e pequenos operadores: o conjunto-padrão completo
A base não é 'tudo igualmente importante'. A ordem de prioridade deste site: 1) chaves do reino (MFA, domínio, e-mail), 2) segredos e código, 3) o próprio app, 4) corrigir, detectar, recuperar. Com tempo finito, preencha de cima para baixo. A maioria das invasões sérias vem não de ataques inéditos, mas de uma falha nesta base.
Fundamentos de segurança no smartphone — protegendo o dispositivo que reúne suas chaves, seu cofre e seu ID em um só
Um celular concentra 2FA, e-mail, banco e ID em um único ponto de falha. A defesa real não é um app de segurança: (1) um bloqueio forte + bloqueio automático curto (o código é a chave de criptografia); (2) atualizações automáticas de SO/apps; (3) loja oficial + revisão de permissões; (4) configure bloqueio/apagamento remoto com antecedência; (5) mantenha um backup do seu 2FA. iOS/Android já criptografam e isolam por padrão.
Guardar suas senhas no Google Drive é seguro? Como mantê-las do jeito certo
Guardar senhas em um Documento/Planilha Google em texto puro é perigoso: uma conta Google vira o ponto único de falha para toda senha — sequestro de conta, um app conectado malicioso ou phishing vazam todas de uma vez. A correção é um gerenciador de senhas dedicado (o conteúdo fica criptografado mesmo quando sincronizado). Se você precisar usar o Drive, guarde só um arquivo de cofre criptografado e coloque MFA resistente a phishing na conta.