@deluccadev: Tem bastante gente falando sob...
@deluccadev
7 views
Apr 05, 2026
Advertisement
1
Tem bastante gente falando sobre segurança agora, após o triste caso do rapaz que teve um problema sério depois de um furto do seu celular.
Quem é mais íntimo meu sabe que eu sou bem interessado por segurança e, resolvi fazer uma thread aqui mostrando o que eu faço
🧵
Quem é mais íntimo meu sabe que eu sou bem interessado por segurança e, resolvi fazer uma thread aqui mostrando o que eu faço
🧵
2
Tenho bem pouco alcance, entao se puderem ajudar dando RT e compartilhando seria massa :)
cc @sseraphini
cc @sseraphini
3
Ah, vai ser bem longa a thread, nem sei se termino hoje. Mas no último tweet eu marco falando que acabou, e vou alimentando com tudo que eu lembrar.
Bora lá
Bora lá
4
Primeiro (e mais importante): PORQUE segurança e privacidade é importante hoje em dia
Muita gente me acha louco, acha que eu exagero, mas a internet já não é mais sua casa, onde voce pode andar descalço e sem roupa haha
A internet é praça pública. Tudo tá lá
Muita gente me acha louco, acha que eu exagero, mas a internet já não é mais sua casa, onde voce pode andar descalço e sem roupa haha
A internet é praça pública. Tudo tá lá
5
Seus documentos, sua identidade, quem voce é, seu dinheiro. Quase toda a sua vida está na internet.
Por conta disso, é vital que voce se importe com isso. Que tenha um minimo de segurança e privacidade pra conseguir, simplesmente, proteger sua vida
Por conta disso, é vital que voce se importe com isso. Que tenha um minimo de segurança e privacidade pra conseguir, simplesmente, proteger sua vida
6
O ponto mais fundamental pra ter mais segurança é: use um gerenciador de senhas. Eu sugiro o @Bitwarden (de graça e tem um padrão altíssimo de segurança)
Nele, gere senhas aleatorias pra TUDO que voce tem. Nao importa.
- Senha do cartao
- Senha do celular
- Senha do notebook
Nele, gere senhas aleatorias pra TUDO que voce tem. Nao importa.
- Senha do cartao
- Senha do celular
- Senha do notebook
7
Toda e qualquer coisa que voce precise usar senha (por mais besta que seja) use uma senha dele.
Eles tem plugin de navegador, entao na internet (e no celular) e so clicar no autopreencher q ele preenche o login pra voce. Super prático
Eles tem plugin de navegador, entao na internet (e no celular) e so clicar no autopreencher q ele preenche o login pra voce. Super prático
8
Isso é importante porque o melhor padrao de segurança é sempre ter:
- Algo que voce sabe
- Algo que voce tem
- Algo que você é
Esses são os tres fatores de autenticação. Nem toda conta precisa ter os tres, mas o grande problema de nao usar um gerenciador de senha é que
- Algo que voce sabe
- Algo que voce tem
- Algo que você é
Esses são os tres fatores de autenticação. Nem toda conta precisa ter os tres, mas o grande problema de nao usar um gerenciador de senha é que
9
O mais básico deles (algo que voce sabe) é replicado pra varias contas. Logo, se alguem descobrir "algo que voce sabe" (uma senha) pra uma conta, ela potencialmente descobre pra todas. Entende?
10
Bom, tendo isso em vista, agora vamos pra parte mais complicada que eu faço
Com o gerenciador de senha, o ideal é trabalhar ao máximo pra proteger ele.
O que eu faço: Tenho uma Yubikey que pra todo device novo é necessario que ela desbloqueie (MFA)
Com o gerenciador de senha, o ideal é trabalhar ao máximo pra proteger ele.
O que eu faço: Tenho uma Yubikey que pra todo device novo é necessario que ela desbloqueie (MFA)
11
Logo, se eu for usar meu Bitwarden num PC novo, eu preciso estar com minha Yubikey, senao nao tem como.
12
Dentro das minhas contas, pra toda e qualquer conta que tenha um pequeno nível de sensibilidade (e-mail, Payoneer, Paypal, conta que tenha cartao de credito cadastrado) eu ativo o MFA
Tem varias formas disso:
Tem varias formas disso:
13
O mais simples sao aqueles aplicativos que geram uma senha de uso unico (2FA). Eu nao uso Authy, nem Google Auth. A Yubikey tem um software (Yubico Auth) que salva os codigos FISICAMENTE na chave e so quando plugo a Yubikey eu tenho acesso a eles
14
Quando o site é um pouco melhor eu ativo o MFA (geralmente usando FIDO, ou algo assim) onde eu so acesso se entrar com a Yubikey direto no USB. Sites grandes tem isso (Google) e é bem mais seguro
15
IMPORTANTE: Quando voce faz isso, sempre salve o codigo de recuperacao em algum lugar, pois sua Yubikey pode quebrar e vc pode ficar trancado pra fora pra sempre haha
16
Eu, particularmente, tenho um pendrive em casa que tem um vault do @Cryptomator que só desbloqueia com uma senha e, dentro dele, tem as chaves de recuperacao
17
Uma coisa que pouca gente pensa é: e se voce morrer? E se algo acontecer? (sim, serio, shit happens)
Eu tenho um "emergency kit", que é um papelzinho, muito bem guardado (só minha esposa sabe onde ta) que tem (escrito)
- Senha do Bitwarden
- Senha do Cryptomator do pendrive
Eu tenho um "emergency kit", que é um papelzinho, muito bem guardado (só minha esposa sabe onde ta) que tem (escrito)
- Senha do Bitwarden
- Senha do Cryptomator do pendrive
18
- Senha da Yubikey (pra gerar OTP)
Isso é bem importante, nunca se sabe o dia de amanha ne
Isso é bem importante, nunca se sabe o dia de amanha ne
19
Bom, agora indo pras dicas mais diretas do dia a dia.
NUNCA use biometria, reconhecimento facial, senha de PIN numerico ou senha de padrao geometrico
Sao super faceis de quebrar e algumas delas tem problemas de privacidade (biometria)
NUNCA use biometria, reconhecimento facial, senha de PIN numerico ou senha de padrao geometrico
Sao super faceis de quebrar e algumas delas tem problemas de privacidade (biometria)
20
Prefira senhas que misturem letras, numeros e caracteres especiais (pro celular também)
Pra coisas que voce desbloqueia muito (como o celular e o login do computador) use uma passphrase.
O Bitwarden tem um gerador, a ideia é gerar uma frase aleatória e curta
Pra coisas que voce desbloqueia muito (como o celular e o login do computador) use uma passphrase.
O Bitwarden tem um gerador, a ideia é gerar uma frase aleatória e curta
21
Que use palavras que existem mas que nao tenham relacao com voce.
Por exemplo:
"icing-feed-matriarch"
Ela é um pouco menos segura, mas é beeeeem segura e e BEM fácil de lembrar
Por exemplo:
"icing-feed-matriarch"
Ela é um pouco menos segura, mas é beeeeem segura e e BEM fácil de lembrar
22
Meu celular e meu notebook sao desbloqueados com passphrases (pq ninguem merece ficar lembrando caracter aleatorio de cabeça)
Muita gente fala: "AH eu tenho memoria ruim, nao da"
Nao, voce nao tem. Voce so nao ta acostumado. Eu era horrivel de memoria e memorizei depois
Muita gente fala: "AH eu tenho memoria ruim, nao da"
Nao, voce nao tem. Voce so nao ta acostumado. Eu era horrivel de memoria e memorizei depois
23
De usar algumas vezes.
Inclusive, eu sugiro usar passphrases pra desbloquear seu Bitwarden tambem!
Ou, se voce for mais preocupado (o que eu fiz) use apenas a primeira letra (ou abreviacoes) de uma frase que SO voce saiba.
É meio estranho, mas é facil de lembrar
Inclusive, eu sugiro usar passphrases pra desbloquear seu Bitwarden tambem!
Ou, se voce for mais preocupado (o que eu fiz) use apenas a primeira letra (ou abreviacoes) de uma frase que SO voce saiba.
É meio estranho, mas é facil de lembrar
24
Pra desbloquear o computador, eu sugiro usar a Yubikey também. É facil de configurar e voce consegue exigir que pra fazer logon (Windows, Linux e Mac) sua Yubikey esteja necessariamente plugada
No Windows isso só funciona com contas de usuarios locais (sem cloud sync)
No Windows isso só funciona com contas de usuarios locais (sem cloud sync)
25
No Mac nao sei, mas sei que da. No Linux da, inclusive, pra força a Yubikey estar plugada no USB e, se voce desplugar, lockar o PC automaticamente
É meio tricky fazer isso, tem que mexer com o PAC, mas eu fiz. É super bacana pra quem vai muito pra coworking.
É meio tricky fazer isso, tem que mexer com o PAC, mas eu fiz. É super bacana pra quem vai muito pra coworking.
26
Pro celular, ter que digitar uma passphrase pra liberar é bem chato as vezes.
As vezes vc ta na rua, o sol atrapalha e tal.
O que eu faço: eu tenho um smartwatch e ativei o smartlock. É uma brecha de segurança, mas ajuda e tem como deixar mais seguro.
As vezes vc ta na rua, o sol atrapalha e tal.
O que eu faço: eu tenho um smartwatch e ativei o smartlock. É uma brecha de segurança, mas ajuda e tem como deixar mais seguro.
27
O smartlock é assim:
Toda vez que voce ta com seu smartwatch, ele deixa seu celular desbloqueado. Entao arrastou pra cima entrou.
Se vc nao esta com ele, exige senha
Se voce esta ha alguns bons minutos (acho que 1h) sem desbloquear, mesmo estando com o smartwatch
Toda vez que voce ta com seu smartwatch, ele deixa seu celular desbloqueado. Entao arrastou pra cima entrou.
Se vc nao esta com ele, exige senha
Se voce esta ha alguns bons minutos (acho que 1h) sem desbloquear, mesmo estando com o smartwatch
28
Ele passa a exigir senha. Entao, mesmo que alguem leve o celular e o relógio, ele vai exigir senha depois de um tempo
Ele tem um botao de cadeado na tela de bloqueio que, ao tocar, bloqueia e passa a exigir senha
Por fim, se o relogio perde a conexao com o celular
Ele tem um botao de cadeado na tela de bloqueio que, ao tocar, bloqueia e passa a exigir senha
Por fim, se o relogio perde a conexao com o celular
29
Ele exige senha mesmo que conecte denovo.
Entao, nao é tao seguro, mas adiciona conforto em troca de um pouco de vulnerabilidade
Entao, nao é tao seguro, mas adiciona conforto em troca de um pouco de vulnerabilidade
30
Chegando nos finalmentes (pra quem é dev):
Use e saiba usar chaves GPG e SSH. Se voce e dev voce tem acesso privilegiado a muita coisa. Se alguem te invade ela nao invade so voce, mas sua empresa tambem
Eu, particularmente, tenho uma chave GPG instalada na Yubikey
Use e saiba usar chaves GPG e SSH. Se voce e dev voce tem acesso privilegiado a muita coisa. Se alguem te invade ela nao invade so voce, mas sua empresa tambem
Eu, particularmente, tenho uma chave GPG instalada na Yubikey
31
E tudo que eu faço eu assino com essa chave. No caso, se a Yubikey ta no USB meu PC tem acesso a chave privada, caso contrario só tem acesso a chave publica.
Mesma coisa pra SSH, eu tenho uma chave privada salva na Yubikey e todo remote access (inclusive pro Github)
Mesma coisa pra SSH, eu tenho uma chave privada salva na Yubikey e todo remote access (inclusive pro Github)
32
É feito por essa chave SSH da Yubikey.
Entao, servidores remotos que eu acesso, Github, etc tudo precisa tambem da Yubikey
Tenha senha na chave GPG e SSH e, obviamente, salve as senhas no seu gerenciador de senha
Entao, servidores remotos que eu acesso, Github, etc tudo precisa tambem da Yubikey
Tenha senha na chave GPG e SSH e, obviamente, salve as senhas no seu gerenciador de senha
33
PIN de cartoes fisicos, banco, VR, absolutamente TUDO, salve no Bitwarden. Ele tem como gerar senhas só numéricas também!
34
Por fim, o objetivo de tudo isso é deixar quem tentar te invadir maluco hahah
Nao sei se vcs notaram, mas tudo é um emaranhado insano de segurança e acessos. Se a pessoa nao entende muito bem como voce funciona, ela nao faz ideia de onde achar cada informaçao
Nao sei se vcs notaram, mas tudo é um emaranhado insano de segurança e acessos. Se a pessoa nao entende muito bem como voce funciona, ela nao faz ideia de onde achar cada informaçao
35
A pior coisa que voce pode fazer é que seus acessos possam ser derivados de conhecimento publico: senhas com data de aniversario, senha com nome de parente, senha besta e pequena. Tudo isso é um puta problema, porque é facil de adivinhar
36
Agora, algumas considerações finais
37
Tome muito cuidado com rede social e engenharia social. Quem tem um pouco de segurança geralmente é alvo disso: saiba como funciona phishing e outros ataques comuns
Nao fique postando coisas demais de sua vida.
Ta num evento? Legal, espera acabar e publica as fotos
Nao fique postando coisas demais de sua vida.
Ta num evento? Legal, espera acabar e publica as fotos
38
Nao importa o nivel de seguranca que voce tem. Se voce for alvo de UM ATAQUE DIRECIONADO nao tem proteger 100%. A pessoa vai estudar voce, mirar voce, ir atras de voce
Nesse caso, se voce for um livro aberto, fica mais facil
Nesse caso, se voce for um livro aberto, fica mais facil
39
Muita gente importante é alvo de ataques e quem ataca fica acompanhando rede social e ve: "Fulano(a) ta no bar X, vou lá"
Ai a pessoa chega e consegue fazer algo.
Mesmo com tudo isso que eu falei, existem técnicas pra tentar quebrar essas camadas
Ai a pessoa chega e consegue fazer algo.
Mesmo com tudo isso que eu falei, existem técnicas pra tentar quebrar essas camadas
40
Dentro disso, NUNCA espete algo que vc nao conhece no seu computador.
Sério gente. Achou pendrive na rua? Joga fora.
Ja vi amigo sofrer muito com coisa assim e é assustador a quantidade de gente que cai em ataque assim
Sério gente. Achou pendrive na rua? Joga fora.
Ja vi amigo sofrer muito com coisa assim e é assustador a quantidade de gente que cai em ataque assim
41
E, se voce vai pra coworking, nunca deixe seu PC sozinho e desbloqueado. Levantou da cadeira? Ctrl+L
42
Tem muita dica, muita mesmo. Mas em geral se voce tiver em mente que: INTERNET É PERIGOSO, É IGUAL SAIR NA RUA voce provavelmente nao vai fazer besteira :)
43
Pra finalizar, boa parte dessas dicas eu aprendi com o pessoal da @techloreistaken e alguns amigos. Super grato a todos
Pra quem nao conhece o Techlore, eles tem uma playlist que ensina tudo isso (e muito mais): youtube.com/watch?v=2qxVpC…
Pra quem nao conhece o Techlore, eles tem uma playlist que ensina tudo isso (e muito mais): youtube.com/watch?v=2qxVpC…
44
Ela nao fala só de segurança, mas também privacidade (que quase nao toquei aqui). Super recomendo a todos!
45
Bom, agora vou ter que sair galerinha, e talvez eu nao responda voces porque estarei off nos proximos dias, mas é isso ai
Paz🖖
Paz🖖
46
Ah, dois últimos detalhes:
- Nada conversa com trabuco. Alguem te roubou e mandou vc entregar sua linda Yubikey? Entrega meu amigo. Melhor manter sua vida do que manter seus bens
- Como já falei, se voce é alvo de um ataque direcionado, nao tem muito como fugir
- Nada conversa com trabuco. Alguem te roubou e mandou vc entregar sua linda Yubikey? Entrega meu amigo. Melhor manter sua vida do que manter seus bens
- Como já falei, se voce é alvo de um ataque direcionado, nao tem muito como fugir
47
Por exemplo, eu to me expondo aqui. E sabe pq fico tranquilo? Porque se alguem MIRAR em mim, essa pessoa me leva, ve que eu tenho segurança e me força a liberar
Ou me estuda e me persegue.
Se alguem mira voce, nao tem muito como fugir, entao nao vale fritar nisso
Ou me estuda e me persegue.
Se alguem mira voce, nao tem muito como fugir, entao nao vale fritar nisso
48
O que vale é se proteger pra nao acontecer coisa quando nao deve
Como: quando alguem rouba seu celular, a pessoa nao deveria ser capaz de acessar nada dele
Agora, se um criminoso te persegue, ele VAI achar uma forma de te roubar (seja te sequestrando, se precisar)
Como: quando alguem rouba seu celular, a pessoa nao deveria ser capaz de acessar nada dele
Agora, se um criminoso te persegue, ele VAI achar uma forma de te roubar (seja te sequestrando, se precisar)
49
Entao, se voce for o alvo, nao da pra se proteger tanto. Agora, quem é alvo ne? hahaha só gente com muita grana, que tem segurança particular.
E, como já falei, NÃO RESISTA nesses casos. Colabore e aceite. Infelizmente é mais imporatante voce sair ileso(a)
:)
E, como já falei, NÃO RESISTA nesses casos. Colabore e aceite. Infelizmente é mais imporatante voce sair ileso(a)
:)
50
Bom, acho que e isso galera.
Se eu sumir e nao responder ninguem, já peço desculpas pq estarei um pouco off nesses dias haha :)
Se eu sumir e nao responder ninguem, já peço desculpas pq estarei um pouco off nesses dias haha :)
51
52
Gente, queria MUITO responder todos. Um por um.
Mas estamos viajando e o tempo é curto haha :(
Em breve farei mais threads, mais palatáveis e didáticas também!
Me sigam aqui ;)
Mas estamos viajando e o tempo é curto haha :(
Em breve farei mais threads, mais palatáveis e didáticas também!
Me sigam aqui ;)
53
Vou aproveitar e fazer um jabazinho :)
Quem precisar de ajuda pra implementar projetos complexos de tecnologia, dêem uma olhada na @trilon_io 😀
Somos o time que criou o @nestframework, um dos maiores frameworks de Javascript 🚀
Falem com o @MarkPieszak e o @kammysliwiec
Quem precisar de ajuda pra implementar projetos complexos de tecnologia, dêem uma olhada na @trilon_io 😀
Somos o time que criou o @nestframework, um dos maiores frameworks de Javascript 🚀
Falem com o @MarkPieszak e o @kammysliwiec
54
Gente, pra quem tiver interesse, acabei de começar uma série de artigos sobre o tema
Deem uma olhada:
Deem uma olhada:
View Tweet