Capa do Ebook gratuito Engenharia Social e Fraudes Digitais: prevenção, detecção e resposta

Engenharia Social e Fraudes Digitais: prevenção, detecção e resposta

Novo curso

23 páginas
Todos os cursos > Informática ( TI ) > Segurança da informação ::

Higiene de credenciais e estações de trabalho: senhas, gestores e atualização

Capítulo 14

Tempo estimado de leitura: 12 minutos

+ Exercício

O que é higiene de credenciais e de estações de trabalho

Higiene de credenciais é o conjunto de práticas para criar, armazenar, usar e renovar credenciais (senhas, chaves, tokens, sessões e segredos de aplicativos) de forma a reduzir a chance de vazamento, reutilização indevida e escalada de privilégios. Higiene de estações de trabalho é a disciplina de manter computadores e dispositivos de acesso (notebooks, desktops, celulares corporativos) em um estado seguro e previsível: atualizados, com softwares mínimos necessários, configurações endurecidas e monitoramento básico. Na prática, as duas coisas se conectam: uma senha forte perde valor se o dispositivo estiver desatualizado e vulnerável; um dispositivo bem atualizado ainda pode ser comprometido se credenciais forem fracas, reutilizadas ou expostas.

Este capítulo foca em três pilares: (1) senhas e passphrases bem construídas, (2) uso correto de gestores de senhas e (3) atualização e manutenção da estação de trabalho, incluindo navegadores, extensões e aplicativos. O objetivo é reduzir superfícies de ataque comuns: roubo de credenciais por malware, captura de sessão por navegador comprometido, vazamento por reutilização de senha e exploração de falhas conhecidas por falta de patch.

Senhas e passphrases: o que realmente importa

Comprimento, unicidade e imprevisibilidade

Para senhas, três propriedades são decisivas:

  • Comprimento: quanto maior, melhor. Comprimento aumenta exponencialmente o custo de ataques de força bruta e de quebra offline (quando um invasor obtém um hash de senha e tenta quebrá-lo localmente).
  • Unicidade: cada serviço deve ter uma senha diferente. Reutilização é a principal causa de “efeito dominó”: um vazamento em um site menos importante abre portas em contas críticas.
  • Imprevisibilidade: evitar padrões (nome+ano, teclado “qwerty”, substituições óbvias como “P@ssw0rd”). Padrões são explorados por dicionários e regras de mutação.

Uma boa prática é preferir passphrases (frases-senha) longas, fáceis de memorizar e difíceis de adivinhar. Exemplo de passphrase forte: “cacto-vento-livro-ponte-azul-47”. Ela é longa, tem separadores e mistura palavras não relacionadas. Evite frases famosas, letras de música e citações.

Quando memorizar e quando não memorizar

Em um cenário saudável, você memoriza apenas:

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...
Download App

Baixar o aplicativo
  • A senha (ou passphrase) do gestor de senhas (a “senha mestra”).
  • Uma senha de desbloqueio do dispositivo (idealmente com PIN forte/biometria + fallback seguro).

Todo o resto deve ser gerado e armazenado no gestor. Isso reduz a tentação de reutilizar senhas e permite senhas realmente longas e aleatórias.

Políticas práticas de criação de senha

Para ambientes corporativos e pessoais, uma política simples e eficaz:

  • Para contas críticas (e-mail principal, banco, console de administração, repositórios de código, painel de nuvem): senha aleatória com 20 a 32 caracteres (ou mais), gerada pelo gestor.
  • Para contas comuns: senha aleatória com 16 a 24 caracteres.
  • Para senha mestra do gestor: passphrase com 5 a 7 palavras (ou 25+ caracteres), sem relação óbvia, com algum separador. Ex.: “manga|trilho|neve|farol|tijolo|92”.

Se um sistema impõe limites ruins (ex.: máximo de 12 caracteres, proíbe colar, bloqueia caracteres especiais), trate como sinal de risco: mantenha senha única dentro do limite e considere medidas compensatórias (monitoramento, troca mais frequente, restrição de acesso, e principalmente evitar que essa conta seja “ponte” para outras).

Gestores de senhas: como usar sem criar novos riscos

O que um gestor resolve

Um gestor de senhas (password manager) armazena credenciais em um cofre criptografado e facilita:

  • Geração de senhas longas e únicas.
  • Preenchimento automático com menos erro humano.
  • Armazenamento de notas seguras (códigos de recuperação, chaves, licenças).
  • Auditoria: identificar senhas fracas, repetidas ou expostas.

O ganho real é operacional: você passa a conseguir manter dezenas/centenas de credenciais únicas sem depender de memória ou planilhas.

Critérios para escolher um gestor

Sem entrar em marcas específicas, avalie:

  • Criptografia forte e arquitetura de “zero knowledge” (o provedor não consegue ler seu cofre).
  • Suporte a múltiplos dispositivos com sincronização segura.
  • Controle de acesso (bloqueio automático, tempo de sessão, exigência de reautenticação para itens sensíveis).
  • Compartilhamento seguro (para equipes/famílias) com permissões e trilha de auditoria.
  • Relatórios de saúde: senhas reutilizadas, fracas, antigas, e alerta de vazamentos.
  • Exportação/portabilidade (para evitar aprisionamento em fornecedor).

Configuração segura do gestor (passo a passo)

1) Defina uma senha mestra forte

  • Crie uma passphrase longa (5–7 palavras) e única.
  • Não reutilize a senha mestra em nenhum outro lugar.
  • Evite armazenar a senha mestra em notas comuns, e-mails ou mensagens.

2) Ative bloqueio automático

  • Configure para bloquear após inatividade (ex.: 5–15 minutos).
  • Exija reautenticação para visualizar senhas, copiar ou exportar.

3) Proteja o acesso no dispositivo

  • Ative criptografia de disco (quando disponível).
  • Use bloqueio de tela com PIN forte e, se usar biometria, mantenha um fallback seguro.
  • Evite usar o gestor em dispositivos compartilhados ou sem senha.

4) Organize o cofre desde o início

  • Crie pastas/coleções: “Pessoal”, “Trabalho”, “Financeiro”, “Admin”.
  • Padronize nomes de entradas: “Serviço – usuário – ambiente” (ex.: “VPN – joao.silva – produção”).

5) Importe com cuidado e elimine fontes inseguras

  • Se você tem senhas no navegador, exporte e importe apenas em ambiente confiável.
  • Após importar, apague o arquivo exportado e esvazie a lixeira.
  • Remova planilhas e documentos com senhas antigas.

6) Ative auditoria e corrija o que aparecer

  • Troque primeiro senhas repetidas e fracas.
  • Priorize contas de e-mail, financeiro e administração.

Uso diário: boas práticas

  • Prefira gerar senhas no gestor em vez de criar manualmente.
  • Evite copiar/colar senha em ambientes suspeitos; use preenchimento automático quando possível.
  • Desconfie de prompts de login inesperados no navegador: podem indicar redirecionamento malicioso ou extensão comprometida. Antes de preencher, confirme o domínio e o certificado.
  • Não armazene senhas em texto puro em notas, e-mails, chats ou tickets.

Armazenamento de códigos de recuperação e segredos

Muitos serviços fornecem códigos de recuperação (para perda de acesso). Trate esses códigos como “chaves-mestras”:

  • Armazene no gestor em uma entrada separada, com título claro: “Recuperação – Serviço X”.
  • Se houver opção de imprimir/guardar offline, use um local físico seguro (ex.: cofre) e controle de acesso.
  • Evite salvar capturas de tela desses códigos em galerias sincronizadas automaticamente.

Rotina de troca, revogação e limpeza de credenciais

Quando trocar senhas

Trocar senha “por calendário” (ex.: a cada 30 dias) pode incentivar senhas previsíveis. Em vez disso, use troca orientada a risco:

  • Troque imediatamente se houver suspeita de comprometimento, alerta de vazamento, login anômalo, ou se você digitou a senha em um site errado.
  • Troque após incidentes no dispositivo (malware, perda/roubo, acesso não autorizado).
  • Troque ao encerrar vínculo com fornecedores/colaboradores que tinham acesso compartilhado.

Para contas críticas, ainda pode fazer sentido uma revisão periódica (ex.: trimestral/semestral) para garantir que senhas antigas não permaneçam indefinidamente, especialmente em ambientes com alta rotatividade de pessoas e permissões.

Revogação de sessões e dispositivos

Higiene de credenciais não é só senha. Muitos serviços mantêm sessões ativas por semanas. Se você suspeita de acesso indevido:

  • Use a função “sair de todos os dispositivos” (logout global).
  • Revogue tokens de aplicativos conectados (integrações, apps de e-mail, automações).
  • Remova dispositivos antigos autorizados (celulares antigos, notebooks fora de uso).

Contas compartilhadas: como reduzir dano

Contas compartilhadas (ex.: “financeiro@”, “suporte@”, “admin@”) aumentam risco e dificultam auditoria. Se não for possível eliminar:

  • Use o gestor para compartilhar credenciais sem expor a senha em texto.
  • Restrinja quem pode ver/copiar a senha; prefira permissões de “usar sem revelar”.
  • Registre quem teve acesso e revise periodicamente.
  • Troque a senha quando alguém sai do time ou quando houver suspeita.

Higiene da estação de trabalho: o dispositivo como linha de defesa

Por que atualização é crítica

Falhas em sistemas operacionais, navegadores, leitores de PDF, suítes de escritório e drivers são exploradas rapidamente após divulgação. A janela entre “patch disponível” e “exploração em massa” pode ser curta. Atualizar reduz a probabilidade de comprometimento por vulnerabilidades conhecidas, especialmente em estações que acessam e-mail, documentos e sistemas internos.

Atualização do sistema operacional (passo a passo)

1) Ative atualizações automáticas

  • Habilite atualização automática do sistema e de componentes de segurança.
  • Defina horário de reinício fora do expediente, mas não adie indefinidamente.

2) Garanta reinícios regulares

  • Muitos patches só entram em vigor após reiniciar. Estabeleça rotina (ex.: reinício semanal).

3) Verifique status de patch

  • Uma vez por mês, confirme se não há atualizações pendentes.
  • Em ambiente corporativo, valide se a estação está “compliant” com a política de TI.

4) Atualize firmware quando aplicável

  • BIOS/UEFI e firmware de dispositivos podem corrigir falhas críticas. Siga orientação do fabricante/TI e evite atualizações improvisadas.

Navegador e extensões: o ponto mais atacado

O navegador é o principal ambiente de autenticação e acesso a sistemas. Boas práticas:

  • Mantenha o navegador atualizado e evite versões “congeladas”.
  • Reduza extensões ao mínimo. Cada extensão amplia a superfície de ataque.
  • Revise permissões de extensões: acesso a “ler e alterar dados em todos os sites” é altamente sensível.
  • Remova extensões que você não usa há meses.
  • Separe perfis: um perfil para trabalho e outro para uso pessoal ajuda a reduzir mistura de cookies, logins e extensões.

Exemplo prático: se você usa uma extensão de captura de tela que pede acesso total a todos os sites, ela pode, em teoria, ler páginas de sistemas internos e capturar dados sensíveis. Prefira ferramentas com permissões restritas ou uso pontual.

Atualização de aplicativos comuns (passo a passo)

1) Liste os aplicativos instalados

  • Faça inventário: suíte de escritório, leitor de PDF, Java/.NET, ferramentas de acesso remoto, mensageria corporativa, VPN.

2) Ative atualização automática onde existir

  • Aplicativos com auto-update devem ficar habilitados.

3) Remova softwares desnecessários

  • Quanto menos software, menos vulnerabilidades potenciais.
  • Desinstale versões antigas que ficam “abandonadas”.

4) Padronize fontes de instalação

  • Instale apenas de repositórios oficiais/loja corporativa.
  • Evite instaladores recebidos por e-mail, links encurtados ou sites de download genéricos.

Princípio do menor privilégio no dia a dia

Usar a estação com privilégios administrativos o tempo todo aumenta o impacto de qualquer execução maliciosa. Práticas recomendadas:

  • Use conta de usuário padrão para tarefas diárias.
  • Eleve privilégio apenas quando necessário (instalação, ajustes específicos).
  • Em ambiente corporativo, solicite à TI um modelo de elevação controlada (ex.: aprovação, credencial separada).

Bloqueio de tela, criptografia e backups

Higiene também envolve reduzir dano em caso de perda/roubo e falhas:

  • Bloqueio automático de tela (ex.: 3–10 minutos) e exigência de senha/PIN ao retornar.
  • Criptografia de disco para proteger dados em repouso.
  • Backups regulares de dados críticos, preferencialmente com versão (para recuperar de corrupção ou ransomware). Garanta que o backup não fique permanentemente montado como unidade gravável.

Checklist operacional: rotina semanal e mensal

Rotina semanal (10–15 minutos)

  • Reiniciar a estação ao menos uma vez.
  • Verificar atualizações pendentes do sistema e do navegador.
  • Checar se o gestor de senhas está bloqueando automaticamente e se não há sessões abertas em dispositivos que você não reconhece.
  • Revisar extensões do navegador: remover qualquer novidade não intencional.

Rotina mensal (30–60 minutos)

  • Rodar auditoria no gestor: senhas repetidas, fracas, antigas.
  • Trocar senhas de contas críticas se houver qualquer sinal de risco (alertas, logins estranhos, dispositivos desconhecidos).
  • Revisar aplicativos instalados e desinstalar o que não é necessário.
  • Confirmar que backups estão funcionando (teste de restauração de um arquivo).
  • Revisar dispositivos autorizados em serviços críticos e remover os antigos.

Exemplos práticos de aplicação

Exemplo 1: reorganizando credenciais após perceber reutilização

Você descobre que usou a mesma senha em três serviços (um fórum, um e-mail secundário e uma ferramenta de trabalho). Passo a passo:

  • Abra o gestor e gere três senhas aleatórias diferentes (16–24 caracteres).
  • Troque primeiro a senha do e-mail secundário (porque ele pode ser usado para reset de outras contas).
  • Troque a senha da ferramenta de trabalho e encerre sessões ativas em outros dispositivos.
  • Troque a senha do fórum por último.
  • Ative alertas de login e revise e-mails de “tentativa de acesso” para identificar atividade suspeita.

Exemplo 2: reduzindo risco no navegador

Você usa muitas extensões e percebe lentidão e comportamentos estranhos (pop-ups, redirecionamentos). Passo a passo:

  • Abra a lista de extensões e desative todas temporariamente.
  • Reative uma a uma, validando se o comportamento volta.
  • Remova extensões sem uso e as que pedem permissões excessivas.
  • Atualize o navegador e limpe dados de sites apenas se necessário (cuidado para não apagar tokens importantes sem planejamento).
  • Troque senhas de contas acessadas durante o período suspeito e revogue sessões.

Exemplo 3: estação desatualizada em ambiente corporativo

Você nota que seu sistema está há semanas sem reiniciar e há atualizações pendentes. Passo a passo:

  • Salve trabalhos e agende reinício no fim do dia.
  • Instale atualizações do sistema e reinicie.
  • Atualize navegador, leitor de PDF e suíte de escritório.
  • Confirme se o antivírus/EDR (quando existente) está ativo e atualizado.
  • Se houver falha recorrente de atualização, acione a TI com evidências (prints do erro, horário, versão do sistema).

Agora responda o exercício sobre o conteúdo:

Em uma rotina de higiene de credenciais, qual abordagem é mais alinhada com boas práticas para gerenciar muitas contas sem incentivar reutilização de senhas?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

A prática recomendada é memorizar apenas a senha mestra do gestor e o desbloqueio do dispositivo, usando o gestor para gerar e guardar senhas longas e únicas. Isso reduz reutilização, padrões previsíveis e o efeito dominó após vazamentos.

Próximo capitúlo

Processos de verificação para pagamentos: dupla checagem e canal alternativo

Arrow Right Icon
Aprenda Segurança da informação

AprendaSegurança da informação

Proteja todo conteúdo importante, descubra como utilizar a segurança da informação a seu favor e para que serve. Cursa.app separou um curso grátis pra você

 Aprenda Informática ( TI )

AprendaInformática ( TI )

Cursos online gratuitos de Informática, TI e programação com certificação gratuita. Oferecemos cursos de Excel, programação e muito mais. Aproveite agora!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store