fundamentos de segurança
13 artigos com esta tag
Segurança para a era da IA: os fundamentos para blindar agora (checklist por prioridade)
A IA em sua maior parte amplifica ataques sobre fraquezas EXISTENTES (CVEs sem correção, senhas reutilizadas, segredos expostos) em vez de inventar novas — encontradas de forma automática, rápida e em escala. Então a melhor preparação é blindar os fundamentos na ordem certa: correção de CVE + monitoramento de dependências, acabar com reutilização + MFA, remover segredos expostos, menor privilégio, reduzir a superfície pública, logs/IOCs, backups.
O que funciona (e o que não funciona) na segurança da era da IA — por que sites pequenos também são atingidos
Quatro mitos da era da IA corrigidos: (1) pequeno demais para ser alvo → a automação remove 'um humano te escolhe'; (2) precisa de um novo controle especial → o básico ainda vence; (3) um produto te deixa seguro → design de prevenção antes da detecção; (4) código de IA é rápido então é seguro → ele vem com vulnerabilidades, revise antes de publicar. O que funciona é o básico tedioso na ordem certa.
Escolhendo MFA do jeito certo: o que significa 'resistente a phishing' e por que o SMS é fraco
MFA é uma segunda fechadura para que uma senha vazada sozinha não consiga entrar — mas o que você ativa muda sua força em três níveis. Códigos por SMS/e-mail caem diante de phishing por relay e SIM-swap; apps autenticadores (TOTP) ficam no meio; passkeys/chaves de segurança (FIDO2) não podem ser apresentados a um site falso de jeito nenhum — essa é a resistência a phishing. Prioridade máxima: coloque MFA resistente a phishing nas chaves do reino (e-mail, domínio, pagamentos). Guardar os códigos de recuperação e ter um fator de backup completam a configuração.
Fundamentos de backup: a regra 3-2-1 e um plano de recuperação que sobrevive a ransomware
'Tenho um backup' não basta — só um backup que você verificou ser restaurável é real. O básico: a regra 3-2-1 (três cópias, dois tipos de mídia, uma fora do local). Para ransomware você também precisa de ao menos uma cópia 'offline ou imutável' — um backup sempre conectado é criptografado junto com o original. Sincronização na nuvem não é backup (ela replica exclusões e criptografia também). Versionamento e um teste de restauração periódico completam a prática.
Ainda no Windows 10? Os riscos de segurança de usá-lo após o fim do suporte
O Windows 10 chegou ao fim do suporte em 14 de outubro de 2025. O risco central de continuar é que buracos recém-descobertos nunca são corrigidos (forever-days) e se acumulam, tornando a máquina um alvo preferido. O ESU para consumidores é um paliativo de um ano, só de segurança, até 13 de outubro de 2026 (existem rotas de inscrição gratuitas, mas o primeiro ano grátis da EEA não se aplica à maioria das regiões). A correção real é migrar para o Windows 11 ou trocar o hardware — use o ESU só como ponte até concluir essa migração.
Protegendo um laptop que você carrega — defesa contra roubo, perda e bisbilhotagem por cima do ombro
Carregar um laptop pressupõe que você vai perdê-lo ou ele vai ser roubado. A defesa de verdade é desenhada para que uma perda não vaze o conteúdo: criptografia de disco (BitLocker/FileVault), um login forte com um bloqueio automático curto e limpeza/localização remota. Com HTTPS em todo lugar, a interceptação em Wi-Fi público é de prioridade menor; as ameaças reais são pontos de acesso falsos, bisbilhotagem por cima do ombro e se afastar. Não confie demais numa VPN — endureça o dispositivo primeiro.
Gerenciadores de senhas são seguros? Como funcionam, nuvem vs. local e como escolher
Um gerenciador de senhas é mais seguro que reutilizar ou guardar em texto puro. A chave é a criptografia de conhecimento zero: sua senha-mestra descriptografa o cofre só no seu dispositivo, o provedor guarda apenas o texto cifrado, então uma invasão do provedor não expõe suas senhas. O ponto único real é sua senha-mestra mais o MFA do cofre. Escolha nuvem (Bitwarden/1Password) ou local (KeePass) pelo uso.
Os perigos do Wi-Fi público — o risco real não é 'sniffing', são os gêmeos malignos e os avisos de certificado ignorados
O 'sniffing' em Wi-Fi público é em grande parte mitigado pelo HTTPS e hoje é de baixa prioridade. Os riscos reais são (1) você mesmo se conectar a um ponto de acesso falso gêmeo maligno, (2) ignorar avisos de certificado e (3) expor seu dispositivo na rede compartilhada. A melhor correção é surpreendentemente simples — use o tethering do celular, confie no HTTPS e nos avisos de certificado, e não entre automaticamente em SSIDs desconhecidos. Uma VPN é a camada seguinte.
A base de segurança para devs independentes e pequenos operadores: o conjunto-padrão completo
A base não é 'tudo igualmente importante'. A ordem de prioridade deste site: 1) chaves do reino (MFA, domínio, e-mail), 2) segredos e código, 3) o próprio app, 4) corrigir, detectar, recuperar. Com tempo finito, preencha de cima para baixo. A maioria das invasões sérias vem não de ataques inéditos, mas de uma falha nesta base.
A base de segurança para organizações de médio a grande porte: a fundação padrão para times
Em escala, a base muda de um 'checklist' para 'programas com responsáveis'. A ordem de prioridade espelha a versão independente: 1) identidade, 2) segredos e cadeia de suprimentos, 3) app e infra, 4) detectar e responder, mais uma camada transversal de pessoas e governança. A grande mudança: a principal causa de invasões passa de deslizes para pessoas, processo, acesso de ex-funcionários e terceiros.
Inventário de segurança — 7 verificações que quem roda vários servidores ignora
Para operadores solo/pequenos, incidentes vêm menos de controles ausentes do que de estado não rastreado. A fronteira é o PC que guarda suas chaves. Escalone o 2FA pela raiz de confiança, faça a matriz das chaves SSH para eliminar duplicatas/sem uso/órfãs, remova senhas em texto puro da nuvem, remedie de forma reversível uma de cada vez e mantenha segredos fora do registro. Inventarie antes de adicionar ferramentas.
Fundamentos de segurança no smartphone — protegendo o dispositivo que reúne suas chaves, seu cofre e seu ID em um só
Um celular concentra 2FA, e-mail, banco e ID em um único ponto de falha. A defesa real não é um app de segurança: (1) um bloqueio forte + bloqueio automático curto (o código é a chave de criptografia); (2) atualizações automáticas de SO/apps; (3) loja oficial + revisão de permissões; (4) configure bloqueio/apagamento remoto com antecedência; (5) mantenha um backup do seu 2FA. iOS/Android já criptografam e isolam por padrão.
Guardar suas senhas no Google Drive é seguro? Como mantê-las do jeito certo
Guardar senhas em um Documento/Planilha Google em texto puro é perigoso: uma conta Google vira o ponto único de falha para toda senha — sequestro de conta, um app conectado malicioso ou phishing vazam todas de uma vez. A correção é um gerenciador de senhas dedicado (o conteúdo fica criptografado mesmo quando sincronizado). Se você precisar usar o Drive, guarde só um arquivo de cofre criptografado e coloque MFA resistente a phishing na conta.