Segurança Digital: Guia para passwords seguras e para um trabalho online seguro

Pessoa com telemóvel na mão à frente de linhas de código e painel de segurança digital
Índice

Trabalhas por conta própria ou como freelancer e não te preocupas com a segurança dos teus dados, das tuas informações e não refletes antes de fazer um novo acesso ou envio de informação? Bom, começo por dizer que não estás sozinhx nesse desconhecimento sobre segurança digital. Mas quero alertar-te para o facto de estares a colocar em risco todo o trabalho que construíste até aqui.

Podes até dizer que não tens nada a esconder, mas se trabalhas por conta própria como freelancer online ou trabalhas remotamente para uma empresa, não quereres saber de segurança digital pode mostrar falta de profissionalismo e pôr em risco todo o teu trabalho – afinal, não se trata só de ti e do teu umbigo. Trata-se de clientes teus, e também do teu rendimento que te permite pagar as contas no final do mês.

Eu própria disse isso durante muitos anos quando pensava na questão da privacidade de dados (“eu não tenho nada a esconder!”).

O Edward Snowden tem uma excelente tirada sobre esta questão: “Dizer que não te importas com o direito à privacidade porque não tens nada a esconder não é diferente do que dizer que não te importas com a liberdade de expressão porque não tens nada a dizer”.

No fundo, dizer isso é, citando o próprio Snowden que explica melhor que eu, “não entender a natureza fundamente dos direitos humanos. Ninguém precisa justificar porque “precisa” de um direito. O ónus da justificação recai sobre quem procura infringir o direito. Não podes abrir mão dos direitos dos outros porque eles não são úteis para ti. A maioria não pode eliminar os direitos naturais da minoria.

Estar consciente dessa falta de profissionalismo e do risco é o primeiro passo. Só estando consciente dos problemas é que conseguimos lidar com eles e resolvê-los.

Como todas as áreas pelas quais me interesso, sinto que sei muito pouco em relação a tudo o que há para saber sobre segurança digital e privacidade de dados. No entanto, desde o início de 2020, que tem sido uma das áreas nas quais tenho investido mais tempo a ler e a conversar sobre. Isso tem-me levado a fazer várias mudanças na minha vida online pessoal, mas também profissional.

Com o aumento dos trabalhadores remotos e dos empreendedores digitais, não é de surpreender que comece a surgir mais atenção às vulnerabilidades online1.

Afinal, trabalha-se muito a questão do ensino das aplicações e ferramentas online e muito pouco o pilar da segurança digital. Sabemos mexer na internet, mas não a entendemos nem conseguimos extrapolar o que fazemos e perceber o lado real da sua influência.

Estima-se que nos Estados Unidos 43% das violações de segurança aconteçam em pequenos negócios2. Estando a investir tempo e recursos a desenvolver um negócio online e uma atividade profissional remota, com todas as dificuldades inerentes a essa decisão, descurar a segurança é algo bem arriscado.

Dicas para tratares da segurança digital do teu trabalho e atividade online

Passwords

Passwords seguras e diferentes

Clica aqui para fazeres o download de uma sequência de imagens com dicas sobre segurança digital para partilhares nas tuas redes sociais ou usares nos teus projetos.

Uma das formas mais comuns de descuramento da segurança digital é a questão das passwords… e há tanto para ser falado aqui! Vou-me focar apenas nos pontos que considero mais importantes — e mais fáceis de trabalhares.

Usar passwords iguais em mais do que um site é sinónimo de muita vulnerabilidade. Porquê? Deixa-me explicar-te.

Já ouviste certamente falar de ataques informáticos a grandes sites. O que isto significa, de uma forma muito básica, é que alguém conseguiu identificar uma vulnerabilidade na segurança digital desse site, entrou no servidor desse mesmo site e acedeu a dados. Vamos imaginar que esses dados foram emails ou nomes de utilizadores e passwords, tal como aconteceu no Ministério da Saúde em julho de 20203.

Neste caso, foram listas de profissionais de saúde, mas vamos imaginar que tinham sido listas de utilizadores “normais”. Imaginando que tens um registo feito nesse site que foi atacado usando o teu endereço de email pessoal com uma password que também usas em outros sites.

Essas listas de emails e passwords são, muitas vezes, publicadas em sites de hackers e/ou na chamada dark web. O que muitas vezes pode acontecer é que se esses outros sites onde estiveres registado com essa mesma combinação de email e password estiverem numa lista de sites conhecidos, passa a ser muito fácil fazer login nas tuas contas – e, se não tiveres outro mecanismo de proteção (como a dupla autenticação), muitas vezes sem dares conta disso. Afinal, é o teu email e password – como desconfiar?

É por isso que é essencial teres passwords sempre diferentes em todos os sites. Algumas dicas suplementares para melhorares este aspeto da tua segurança digital:

  • Tenta usar passwords com mais de 14 caracteres e que não sejam palavras ou sequências evidentes;
  • O ideal é misturares maiúsculas, minúsculas, números e símbolos.

Gestor de Passwords

Para facilitar a criação de passwords seguras e gestão das mesmas, aconselho-te a usares um gestor de passwords.

Se tens dispositivos Apple, podes optar pelo Keychain (que, na próxima versão do iOS 14, vai ter o duplo fator de autenticação). Se não tiveres dispositivos Apple ou não quiseres depender dos softwares da marca de Cupertino, podes optar por programas como o LastPass e o 1Password.

Eu uso há vários anos o LastPass (na sua versão gratuita) e estou completamente satisfeita. É um programa muito fácil de utilizar, com integração com iOS, Android, Chrome e todos os browsers mais conhecidos.

Como funciona?

Mas como funciona na prática um gestor de passwords?

Imagina que escreves todas as tuas passwords num pedaço de papel e que colocas todos esses pedaços de papel dentro de um cofre forte. Para ficares a saber todas as tuas passwords, só precisas de saber um código: o código do teu cofre forte. Afinal, depois de este estar aberto, consegues ver tudo o que está lá dentro.

É assim que funciona um gestor de passwords. Ele pode gerar passwords diferentes para todos os sites onde te registas, e passwords bem complexas.

Para fazeres login nos sites, basta colocares a password principal (a que “abre o cofre”). No fundo, só precisas de saber duas passwords: esta do cofre forte, e a do teu email – afinal, se perderes a primeira, tens que garantir que sabes a segunda para recuperares as passwords.

Nota importante: a password do teu email pessoal deve ser a mais complexa que tens e aquela que só tu deves saber. Sendo que é a que te permite aceder a todos os teus registos, deve ser mesmo a que guardas de forma mais segura.

Estes gestores de passwords são seguros e, apesar de eles manterem os dados no servidores deles, todos os dados são encriptados sendo muito difícil acederem às tuas passwords em caso de ataque informático.

A única forma de desencriptar as tuas passwords é com uma chave, que é geralmente única e é gerada pelo dispositivo que estás a usar sempre que usas a tua password mestre.

Essas chaves nunca são partilhadas, mesmo com o gestor de password. Isto é uma excelente proteção para ataques informáticos, mas também faz com que a recuperação da tua conta seja difícil se perderes a tua password mestre e se não souberes a password do teu email (daí reforçar que é essencial, para a tua própria segurança digital, teres uma password complexa e consigas memorizar para o teu email).

Duplo Fator de Autenticação

Clica aqui para fazeres o download de uma sequência de imagens com dicas sobre segurança digital para partilhares nas tuas redes sociais ou usares nos teus projetos.

Acima falei do facto de se estiveres numa lista de emails e passwords, e se usares passwords idênticas em vários sites, é relativamente fácil entrarem-te em outras contas de forma tão subtil que nem te dês conta.

Uma forma de lidar com isso é, sempre que possível, usares o método do duplo fator de autenticação. Esta forma de segurança é algo que já existe em várias ferramentas, aplicações e sites.

O que permite é que sempre que um login na tua conta é feito através de um computador ou dispositivo que não tenhas marcado como seguro anteriormente, recebas uma notificação.

Essa notificação pode ser uma mensagem de telemóvel, um email com um código, um código de segurança gerado por uma aplicação de códigos únicos como o Authenticator ou o Google Authenticator ou, em casos mais complexos, a confirmação através de reconhecimento facial ou de impressão digital.

Partilhar acessos e passwords

Como freelancer, é muito comum precisar que os meus clientes me enviem passwords. É um dos grandes desafios de segurança digital! É sempre um quebra cabeças e um jogo entre o que sei que é o mais seguro, e o que é realmente mais prático e fácil para o meu cliente.

Clica aqui para fazeres o download de uma sequência de imagens com dicas sobre segurança digital para partilhares nas tuas redes sociais ou usares nos teus projetos.

Gestor de Passwords

Se o meu cliente usar o LastPass, a situação é fácil: pode partilhar através da aplicação a password que preciso. A partilha do LastPass permite até que eu tenha acesso à password sem a conseguir ver!

  • Verifica com o teu cliente se ele usa algum gestor de passwords e vê como funciona a partilha de acessos.

Adicionar à equipa/organização

Se não tiver nenhum gestor de passwords e tiver que me enviar então o acesso, a primeira coisa que faço é perguntar se não é possível adicionar-me à equipa. Passo a explicar.

Em alguns sites podes adicionar pessoas à equipa/organização da tua conta. Isso acontece no WordPress, onde podes adicionar um utilizador como privilégios de administrador ou gestor e gerar-lhe um acesso que ele própria configura. Outras aplicações onde isto é possível é no SiteGround, no Stripe, no AirTable, e até no Instagram (se tiveres conta Comercial).

Envio de passwords

Se tal não for possível, peço para me enviar a password por um canal encriptado e nunca colocar o utilizador e a password na mesma mensagem. Depois de eu fazer o que tenho a fazer, apago a mensagem e peço ao cliente para alterar logo a password.

Uma forma segura de passar as passwords é através de um site como o OneTimeSecret. Podes pedir que te enviem o nome de utilizador por email ou mensagem, e depois utiliza-se o OneTimeSecret para enviar apenas a password. O que tens que fazer é colocar a mensagem no campo de texto, escolher uma password que se dá à outra pessoa para ela conseguir abrir o link, e colocar o tempo em que essa mensagem/conteúdo irá expirar.

De qualquer forma, se algum cliente teu te enviar passwords, faz o teu trabalho, e apaga depois todos os registos que tens das mesmas – e incentiva o teu cliente a alterar as mesmas.

Mantém o teu computador atualizado

Clica aqui para fazeres o download de uma sequência de imagens com dicas sobre segurança digital para partilhares nas tuas redes sociais ou usares nos teus projetos.

É sempre uma satisfação poder clicar em “Atualizar Depois”, eu sei. Mas deixar de fazer atualizações no software do teu computador pode levar a vulnerabilidades de segurança. Muitas das atualizações que surgem são precisamente atualizações de segurança, que permitem lidar com ameaças e vírus recentes.

O mesmo é válido para aplicações ou sites. Está sempre atento às atualizações mais recentes, e lê sempre o que é que essas atualizações incluem para ficares a saber de algum aspeto de privacidade que não tenhas conhecimento.

Usa uma rede virtual privada (em inglês, virtual private network: VPN)

Clica aqui para fazeres o download de uma sequência de imagens com dicas sobre segurança digital para partilhares nas tuas redes sociais ou usares nos teus projetos.

As explicações do que é uma VPN podem tornar-se complicadas muito rapidamente, mas deixa-me tentar simplificar. De forma muito básica, a VPN é um túnel seguro de uma rede. E é normalmente aqui que perco as pessoas. O que raio quero eu dizer com um túnel?

Vais ficar a entender (finalmente!) o que é uma VPN

Comecemos por explicar de forma muito simplista como funciona a Internet.

Sempre que visitas um site, digamos o nomadismodigital.pt, quando escreves este endereço no teu browser estás, na realidade, a escrever um nickname para o IP do Nomadismo (IP = “morada” do servidor que tem os conteúdos do site).

Como o IP é um conjunto de vários números, não seria muito prático memorizarmos os IP’s de todos os sites que visitamos… então demos-lhes nomes para facilitar a coisa.

É um pouco como a morada da tua casa. A tua casa está localizada numa determinada latitude e longitude, mas seria chato estarmos a dar coordenadas às pessoas — então damos moradas. É a mesma coisa para os domínios e IP’s.

Então, quando escrevemos um site no browser cabe a um servidor de “traduzir” esse nome no endereço de IP correspondente ao site que queres visitar.

O teu computador e telemóvel (e todos os dispositivos de acesso à Internet) também têm um endereço IP. Quando queres aceder a um site, envias também esse endereço IP (e várias outras informações que podem também ser enviadas, mas isso é outro tema!) para o servidor que é responsável por te devolver o conteúdo que procuras aceder.

O que acontece é que se essa transação de dados entre o teu computador e o servidor não for segura, pode ser interceptada. Então imagina que estás numa rede pública de internet e tentas aceder ao teu banco online. Se não estiveres a usar uma VPN (já lá vamos!), o que vai acontecer é que algum hacker pode aceder aos dados que inserires no site do teu banco (yup… o teu acesso!).

O que uma VPN faz é criar um túnel seguro e único entre o teu computador e o servidor que tem as informações que pretendes aceder. Em vez de ser uma ligação direta entre o teu computador e o servidor, passa a ser uma ligação entre o teu computador, o servidor da VPN e este é que depois conecta ao servidor do site em questão.

O site em questão vai receber como dados de entrada, os dados do servidor da VPN – e não os teus. Isso faz com que as VPN’s sejam também muito úteis para aceder a sites que estão bloqueados num país.

Se queres assistir a uma série da Netflix que não está disponível no teu país, podes configurar uma VPN de um outro país. Assim, o que a Netflix te irá devolver/mostrar, serão os conteúdos para o país do servidor da VPN.

Usar uma VPN permite é uma maior segurança do que fazes. Não é um método indestrutível – podem existir fugas de informação mesmo com uma VPN, mas usar uma aumenta drasticamente a segurança do que fazes online.

O uso de uma VPN é especialmente importante (diria até crucial) se estiveres uma rede pública.

Se és freelancer e trabalhas muito fora de casa, seja em cafés, espaços de coworks ou aeroportos, onde existem várias pessoas conectadas à mesma rede, é crucial que uses uma VPN para proteger a tua ligação e dados.

Em casa, se tiveres uma password forte para aceder à tua rede de internet, ataques exteriores diretamente na tua rede de internet são menos comuns, mas mesmo assim podem acontecer – então pode ser também útil teres uma VPN mesmo estando em casa.

Atualmente, e há já alguns anos, que uso a NordVPN. Outras alternativas são a OpenVPN ou a ProtonVPN.

Privilegia guardar as informações na Cloud

Clica aqui para fazeres o download de uma sequência de imagens com dicas sobre segurança digital para partilhares nas tuas redes sociais ou usares nos teus projetos.

Esta parte é, talvez, bem tendenciosa, afinal reflete muito a minha opinião. Sei de pessoas que gostam de utilizar discos externos para os backups de documentos. Eu não tenho nenhum disco externo, mas tenho uma posição muito forte em relação à importância dos backups.

Mas vamos por partes. Ponto base é que é essencial que mantenhas cópias do teu trabalho, documentos e informação – e isso, sempre que possível, fora do disco rígido do teu computador.

Os discos rígidos de computador falham e tornam os dados irrecuperáveis. Para além disso, problemas com computadores acontecem todos os dias, desde a roubos, quedas, quebras ou derrames de líquidos. Para além deste aspeto físico, pode-se adicionar a questão dos vírus e de potenciais ataques informáticos se não tiveres cuidado com o que abres ou fazes download.

O mesmo argumento que é usado para os computadores, eu uso também para os discos externos.

No entanto, confesso que entendo perfeitamente quem use os discos externos. Não só pela sua facilidade e custo, a segurança de saber que temos um backup físico é emocionalmente positivo.

Eu não sou fã de discos externos porque sempre que tive um, ou desapareceram, ou deixaram de funcionar, ou tiveram algum problema. Talvez o denominador comum seja eu e eu não queira admitir.

No entanto, se fores fã de discos externos, força nisso. Contudo, usares apenas discos externos para fazeres cópias dos teus documentos não é um bom plano. Tal como nos investimentos financeiros, é essencial diversificar. Ou seja, faz cópias em mais meios.

Eu, como não uso discos externos, uso atualmente três serviços de armazenamento na Cloud. É importante também dizer que documentos realmente privados e pessoais, faço para que fiquem em servidores meus/locais, mas conto pelos dedos de uma mão esse tipo de documento que tenho digitalizados. Lembra-te que na Internet, seja qual for a forma com que a utilizas, existem sempre riscos de ataques.

Assim sendo, eis algumas referências de armazenamento na Cloud que podes usar:

Para ires mais longe na tua segurança, e se usares o Dropbox ou o Google Drive, podes usar o Cryptomator para encriptar os teus documentos.

Responsabiliza-te

Clica aqui para fazeres o download de uma sequência de imagens com dicas sobre segurança digital para partilhares nas tuas redes sociais ou usares nos teus projetos.

Sempre que existe algum ataque informático, temos por hábito em apontar o dedo às empresas, aos controladores de informação e a quem achamos ser o responsável. Por norma, nem sabemos quem é o responsável, mas é preciso mandar vir com alguém.

Entre 2018 e 2019 houve um aumento no número de incidentes registados e no número de vulnerabilidades identificadas pelo CERT.PT (CERT.PT).4

Eu sou da opinião que a única coisa que podemos fazer é controlar a forma como nós agimos e nos comportamos. Se esse comportamento interage com ações de outras pessoas, como acontece na Internet, temos que estar cientes das possíveis consequências dessa interação. Isto é um dos pilares sobre o qual gosto mais de refletir e analisar a literacia digital.

É ótimo ensinarmos sobre plataformas, sobre aplicações, sobre programação ou sobre a internet no geral. Mas se não soubermos entender o que o nosso comportamento a fazer determinada coisa pode interferir com outras pessoas e vice-versa, continuaremos a ver o mundo revoltar-se contra a Internet e contra os avanços tecnológicos. Não entendê-los é o caminho para uma sociedade controlada por quem entende.

Assim, é essencial que saibas que tudo o que publicas e fazes online tem consequências. Todos os conteúdos que vês, comentas, gostas, partilhas ou crias nas redes sociais, nunca são privados – mesmo que as definições “só para amigos” dêem essa ilusão. Todas as partilhas que fazes de dados, documentos ou informações podem ser interceptadas ou roubadas se não tiveres cuidado nessa transmissão.

Privilegia ferramentas que não utilizem o teu comportamento e ações para efeitos comerciais. No caso do trabalho e de criação de dados, privilegia aplicações e serviços que tenham políticas fortes de segurança, que digam de forma explícita que não vendem e terceirizam as tuas informações, e que não recolham muitos dados teus.

Se uma aplicação precisar do teu nome, do teu número de telemóvel, da tua morada, da tua data de nascimento e do nome da tua empresa apenas para fazeres o registo, avalia se esses dados são essenciais para utilizares as funcionalidades que pretendes ter.

O teu trabalho, a tua presença e os teus dados são preciosos. Constituem a tua identidade. Não a vendas apenas em prol de rapidez e facilidade de utilização.


Neste artigo são utilizados links de afiliados. Sabe mais sobre isso na política de privacidade.

  1. “Increasing Cybersecurity Gaps and Vulnerabilities due to Remote Work During COVID-19” – Security Magazine (link)
  2. “Cybercriminals Favor Targeting Top Executives, Small Businesses, Money: Verizon Data Breach Report” – Forbes (link)
  3. “Ministério da Saúde: Roubados nomes e passwords em ataque informático” – Pplware (link)
  4. Relatório Cibersegurança em Portugal – Riscos & Conflitos 2020 – Centro Nacional de Cibersegurança (link)

Trabalha por conta própria e remotamente desde 2015. É a fundadora também do Nomadismo Digital Portugal. Curiosa por natureza, passa demasiado tempo a questionar-se sobre o futuro das coisas. Vive hoje na Califórnia, em Silicon Valley, onde vê os seus questionamentos a materializarem-se bem mais rápido do que alguma vez imaginara.

Krystel Leal
Krystel Leal
Trabalha por conta própria e remotamente desde 2015. É a fundadora também do Nomadismo Digital Portugal. Curiosa por natureza, passa demasiado tempo a questionar-se sobre o futuro das coisas. Vive hoje na Califórnia, em Silicon Valley, onde vê os seus questionamentos a materializarem-se bem mais rápido do que alguma vez imaginara.
Vem continuar a conversa!
A Comunidade Digital é um espaço exclusivo do Nomadismo, onde encontras pessoas que te vão incentivar a pensar mais e a criar mais.