Articles

1820: Conselhos de Segurança

As questões secretas não são autenticação de 2 factores (2FA). Elas são apenas uma senha realmente merdosa, algo que você sabe. –JakubNarebski (fala) 14:33, 5 de Abril 2017 (UTC)

Perguntas secretas são mais como autenticação de fator 0, já que elas normalmente pedem por dados públicos. Shirluban 141.101.88.106 14:39, 5 de Abril de 2017 (UTC)

Even quando não é público é frequentemente muito inseguro – como: “sua senha tem que ter letras maiúsculas e minúsculas, números” e outros requisitos – se você esquecer que basta digitar a marca do seu primeiro carro, há cerca de 20 respostas prováveis (faça-o 40 se você precisar ver adicionalmente se foi ou não capitalizado) 162.158.92.46 15:18, 5 Abril 2017 (UTC)

Utilize números primos na sua senha: isto limitaria apenas o número de senhas possíveis para um hacker verificar.

Utilize caracteres especiais como & e % : este conselho é cuidadosamente tratado em https://xkcd.com/936/ Alterar caracteres para um especial adiciona muito pouco ao espaço de pesquisa. No entanto, um vídeo da Computerphile sugere a inserção de um carácter aleatório algures na palavra-passe, o que pode ser bastante útil

162.158.111.211 14:53, 5 de Abril 2017 (UTC)

Note que se substituir qualquer número n pelo n-ésimo número primo a segurança da sua palavra-passe seria realmente melhor. O comprimento também seria melhor, claro. — Hkmaly (talk) 23:44, 7 de abril de 2017 (UTC)

Talvez você realmente deva usar um bug relacionado à fonte segura 162.158.79.161 15:13, 5 de abril de 2017 (UTC)

A dica da marca azul deve ser notada como sendo útil apenas no Twitter? Normalmente, o conselho não se aplica aos e-mails, que são significativamente mais propensos a pedir detalhes de sua conta menos secreta, mas também significativamente menos propensos a ter uma marca de seleção azul. 162.158.2.10 15:15, 5 de Abril 2017 (UTC)

“Se um guarda de fronteira pede para examinar seu laptop, você tem o direito legal de desafiá-lo para um jogo de xadrez para sua alma”, algum de vocês sabe exatamente qual é o conselho original aqui? Isto é provavelmente diferente em países diferentes, mas se eu me lembro corretamente você não pode evitar que eles confisquem o seu dispositivo, mas você não é obrigado a fornecer suas senhas (mas eles podem lhe dar um tempo difícil ou negar a sua entrada se você não for um cidadão). Alguém pode confirmar isto? 108.162.216.22 15:16, 5 de Abril 2017 (UTC)

No Reino Unido, a polícia pode exigir a sua senha se suspeitar de um crime, e o pessoal da fronteira pode exigir a sua senha mesmo sem permissão. As pessoas podem ser – e já foram – presas por não fornecerem uma senha. Cosmogoblin (fala) 23:39, 15 de Agosto de 2018 (UTC)

O truque do arroz nem sequer funciona para telefones molhados. http://www.gazelle.com/thehorn/wp-content/uploads/2014/05/Water-Damage-Prevention-and-Recovery.pdf 162.158.111.211 15:33, 5 de Abril 2017 (UTC)

Sim – Venceu-me! O truque do arroz não funciona…não para telefones ou para qualquer outra coisa. Então este é um conselho duplamente mau. 162.158.69.39 16:06, 5 de Abril 2017 (UTC) Como alguém que trabalhou com eletrônica, educado em design eletrônico, eu acho que a solução mais eficaz é remover toda a energia o mais rápido possível – desligue-o e remova a bateria – e depois deixe-o secar. Danos líquidos ao permitir que a eletricidade tome caminhos que não deveria. Sem energia, não há problema. É por isso que eu não confio e nunca confiarei em nenhum dispositivo que não permita que a bateria se solte rapidamente (iPads e muitos iPhones, por exemplo). Não puxar a bateria significa risco para mim. – NiceGuy1 108.162.219.88 07:20, 7 de Abril 2017 (UTC) Eu finalmente me inscrevi! Este comentário é meu. NiceGuy1 (talk) 05:07, 13 June 2017 (UTC)

Border Guard – Gostaria de ver um pouco mais de explicação, por favor, sobre como o filme de Ingmar Berman mostra um homem jogando xadrez com a Morte, e possivelmente a infame subversão deste tropo na Bogus Journey do Bill e do Ted. Como é, a explicação é apenas os ossos nus. –172.68.34.52 17:35, 5 de Abril 2017 (UTC)

Verificar o ícone do cadeado no seu browser não é suficiente para ter a certeza de que está realmente ligado ao site que pensa. Você tem que verificar o domínio também, para ter certeza que você não está em um domínio typosquatter (por exemplo, explianxkcd.com ao invés de explicarxkcd.com). Para coisas realmente importantes, como bancos, você deve verificar se há um Certificado de Validação Estendido (o Firefox mostra o nome da organização que executa o site ao lado do cadeado para indicar um Certificado EV). Isso significa que o CA verificou se o operador do site realmente é quem ele finge ser (e levou uma grande quantia de dinheiro para o processo). Sim, eu sei, a segurança não é fácil. Usar o cérebro ainda não pode ser substituído. –162.158.202.160 20:14, 5 de Abril 2017 (UTC)

Certificado de Validação Estendida significa que o CA DEVERÁ ter verificado … Symantec, por exemplo, não o fez (e o Google está a puni-los por isso). — Hkmaly (talk) 23:44, 7 April 2017 (UTC)

Estes dois caracteres são frequentemente proibidos nas senhas devido à sua relevância para SQL (uma linguagem de consulta de banco de dados comum). Um sistema de segurança mal escrito usando SQL poderia ter graves bugs (e vulnerabilidades) se esses caracteres fossem usados em uma senha. Então, ao invés de corrigir os bugs, os usuários são gentilmente solicitados/obrigados a usar & e % porque isso iria quebrar o sistema? Confiando na empatia ao invés de consertar o problema, semelhante a “por favor não invada, somos muito pobres para pagar um bloqueio decente”. Soa como Black Hat num papel de conselheiro de segurança que poderia vir à tona. 162.158.111.211 21:01, 5 de Abril 2017 (UTC)

Uma vez eu vi uma notificação engraçada numa tela de login. Leu: “Só inicie sessão se for um utilizador autorizado”. Hilariante… Elektrizikekswerk (talk) 13:03, 6 de Abril de 2017 (UTC) Ao contrário, para o trabalho, devo inventar um método de autorização com dois factores. Uma senha simples é um fator. Eu pensei que o segundo fator era fácil: você também precisa de acesso físico a um computador na rede. Aparentemente isso não é “técnico” o suficiente ou algo assim, conselheiros externos nos dizem que o fato de que um hacker precisa entrar fisicamente para invadir o sistema não conta como um segundo fator. (se alguém pode apontar para uma autoridade dizendo que sim, eu ficaria muito feliz!) 162.158.111.211 00:27, 7 de Abril 2017 (UTC)

“Turing-complete kerning specification language in OpenType fonts” precisa de uma citação. Isto refere-se apenas à linguagem TeX em geral?

“o sistema bancário dos EUA, onde há muito pouca segurança para saques directos de contas, e por isso é aconselhável manter o número da conta o mais secreto possível. Em contraste, na Europa…” também precisa de uma citação. Porque é que dar o número da sua conta bancária é mais seguro na Europa? Eu pesquisei um pouco no Google, mas não encontrei nenhuma verificação disso (além das discussões sobre chips vs. bandas magnéticas, que é uma questão diferente).–Tractarian (talk) 17:29, 6 April 2017 (UTC)

Por experiência, aqui no Reino Unido, se eu quiser que alguém transfira dinheiro para mim online, eu apenas dou o número da minha conta e o código de encaminhamento (ou “sort”). As pessoas até publicam esta informação em websites.

Especificamente, muitas das regras aqui colocam a responsabilidade sobre os bancos por transacções fraudulentas e não autorizadas, desde que o consumidor não tenha sido descuidado ou violado as regras da sua conta.

Veja https://www.directdebit.co.uk/DirectDebitExplained/pages/directdebitguarantee.aspxhttps://www.chequeandcredit.co.uk/information-hub/faqs/cheque-fraud

Mas não consigo imaginar como alguém poderia iniciar uma transação da minha conta sem forjar um documento ou invadir os meus dados bancários online (para transferências eletrônicas).–162.158.111.37 19:33, 6 de abril de 2017 (UTC)

Sim, do meu, holandês, ver essa parte também parece estranho. Como “Não te estou a dizer o meu endereço de e-mail para que não possas ler o meu e-mail”. Além disso, qualquer pessoa que você já enviou dinheiro para conhecer o número da sua conta, não é mesmo? Depois disso, eles podem simplesmente entrar num banco dizendo “Olá, sou o John, conta número 12345, dê-me $5000, por favor”? Eu gostaria de uma banda desenhada mostrando o número da minha conta para testar como eu ficaria magoado ao dizer ao mundo inteiro 🙂 Fica mais estranho, para obter um reembolso no meu cartão de crédito não só tive que dar o número do meu cartão de crédito, mas também a data de validade. Eu sempre considerei a data de validade como uma senha muito simples para provar que você tem o próprio cartão. Isto pareceu mais como “Você não iria querer que estranhos totais colocassem dinheiro na sua conta, não é?” (pensando nisso, talvez seja usado como um “checksum”). 162.158.111.211 22:35, 6 de Abril 2017 (UTC)Como norte-americano, por aqui parece que permitir que alguém saiba o número da sua conta potencialmente dá um alvo a um ladrão. Se eles conseguirem de alguma forma invadir o seu banco, eles agora sabem um número de conta válido para apontar. Muito menos suspeito do que tentar a sorte deles ao escolher um ao acaso. Além disso, quando transferimos dinheiro um para o outro, o número da conta não entra nela. Eu vou ao site do meu banco, começo uma transferência electrónica e digo-lhe para enviar X dólares para esta conta de e-mail, e adiciono uma pergunta de segurança – “Qual é a minha banda desenhada online favorita?” – e a resposta – “xkcd”. Eles recebem o e-mail, selecionam para qual banco querem depositar o dinheiro (e fazem login no site do banco deles), e depois dão a resposta combinada ou conhecida à minha pergunta. Os nossos números de conta são apenas utilizados / partilhados com os nossos próprios bancos respectivos. – NiceGuy1 108.162.219.88 07:20, 7 de Abril 2017 (UTC) Eu finalmente me inscrevi! Este comentário é meu. NiceGuy1 (talk) 05:07, 13 de Junho 2017 (UTC)Não há nada seguro no cartão de crédito. Mesmo o número do Código de Segurança do Cartão só é protegido por pessoas que não têm permissão para armazená-lo no banco de dados. Sim, tenho a certeza que os ladrões iriam cumprir esta regra. E essa transferência electrónica … então, se alguém interceptar esse e-mail e disser ao banco que ele veio para o seu endereço de e-mail, o banco enviaria o dinheiro para ele? Também não parece seguro; o e-mail é uma forma muito insegura de trocar dados. — Hkmaly (fala) 23:44, 7 de Abril 2017 (UTC) É por isso que hoje em dia até os cartões de crédito têm números PIN. E, na verdade, as transferências electrónicas são uma das coisas mais seguras em que tomo parte. Em ambos os lados da transferência (ou seja, tanto eu quanto a pessoa que estou pagando), cada um de nós tem que ter um login configurado individualmente com nossos bancos, um que use nosso número de cartão bancário e/ou número de conta (daí parte da razão da aversão de um norte-americano em deixar qualquer um saber o que é), e que inclua uma senha como qualquer outro login. Assim, para que uma pessoa me roube dinheiro transferindo-o da minha conta, ela precisaria do meu nome de login (se o meu banco usar um) ou número de cartão ou número de conta – o que quer que o banco use para descobrir quem você está online, além de ter que saber qual deles eles precisam saber. O ladrão não pode simplesmente configurar um novo login anexado à minha conta, porque eu já tenho um, e os bancos não permitem uma conta duplicada. Eles também precisariam da minha senha. E para uma pessoa interceptar a minha transferência, além de tudo isso (para o meu destinatário desta vez) eles também teriam que interceptar o e-mail – o que o meu destinatário sabe esperar, geralmente dentro de minutos de quando o e-mail chegará – mas também precisariam saber a resposta para a pergunta que eu defini, que normalmente seria informação que você só compartilha com o destinatário. Lembro-me de Harry Potter e The Half-Blood Prince, onde para segurança todas as pessoas boas vieram com perguntas de segurança pessoal para confirmar as outras identidades. Neste caso, pode ser tão simples como “Onde estou agora?”, que você teria discutido ao organizar o pagamento, ou “Onde nos encontramos?” ou “Que professor nós dois tínhamos?”, coisas assim. – NiceGuy1 162.158.126.76 05:53, 12 de Abril 2017 (UTC) O meu também! NiceGuy1 (talk) 05:07, 13 Junho 2017 (UTC) No Reino Unido em 2008, o governo britânico perdeu 25 milhões de conjuntos de detalhes de contas bancárias (em dois CDs não criptografados enviados pelo correio – este tipo de violação de dados é um passatempo comum dos departamentos do governo britânico). Jeremy Clarkson alegou que não havia nenhum problema de segurança e, para provar isso, ele publicou sua conta bancária e seu código de classificação. Em poucos dias alguém tinha doado £500 da sua conta para a Diabetes UK. Cosmogoblin (fala) 16:07, 22 Julho 2018 (UTC)

“Don’t click links to web sites”
Porque é trivial ter uma exibição de link “schmoo.com” mas na verdade enviá-lo para “dastardlyevil.com” quando clicado, este é realmente um conselho útil. Se o link exibir um endereço de website, um que esteja correto, destaque e copie o texto e cole-o diretamente na barra de endereços de um navegador. Barrando isso, clique com o botão direito do mouse no link, copie o endereço do link oculto e cole-o na barra de endereços. É claro que então você deve verificar cuidadosamente se o endereço copiado não é bougus. Estes não são os comentários que você está procurando (talk) 00:49, 9 April 2017 (UTC)

Normalmente, qualquer software que eu usei mostrará o endereço real na barra de status quando eu passei o mouse sobre o link. Eu sempre verifico se estes correspondem, e se sim, eu sei que posso me sentir livre para clicar (assumindo que o endereço que concordo é um que eu desejo visitar, claro, LOL!) – NiceGuy1 162.158.126.76 05:53, 12 Abril 2017 (UTC) Eu finalmente me inscrevi! Este comentário é meu. NiceGuy1 (talk) 05:07, 13 de Junho 2017 (UTC)Vou mais longe – se eu suspeitar de algum link, vou digitar diretamente. Copy-paste irá reter homilphs, caracteres que parecem semelhantes mas não são; por exemplo, explicarxkcd.com está correto, mas eхplainхkcd.com não está (usando o Cyrillic HA no lugar do latim x), e poderia ser registrado como um site totalmente diferente. Cosmogoblin (talk) 16:16, 22 Julho 2018 (UTC)

“Se o detector de fumo funcionou de acordo com a lógica de autenticação será menos provável de detectar fumo, reduzindo efectivamente a segurança contra incêndios em comparação com um sensor único”

Será menos provável de detectar incêndios, mas isso não significa necessariamente menor segurança. Existe a possibilidade de um “alarme de incêndio que chorava lobo”. Se houver uma emergência real, você realmente não quer que as pessoas pensem “provavelmente é apenas mais uma torradeira para fumar, eu tenho tempo para tomar um banho rápido e escovar meus dentes antes de sair”. –172.68.54.52 08:04, 9 de Abril 2017 (UTC)

A questão aqui não é mais segurança, mas menos falsos alarmes. Da mesma forma, em salas onde você tem “fumo” regularmente, você pode instalar um detector que não procura fumo, mas sim calor ou luz infravermelha ou pode instalar dois detectores de fumo nos cantos mais afastados de uma sala maior, que só dão um alarme se ambos detectarem fumo. –162.158.90.126 13:28, 9 de Abril 2017 (UTC)Num sistema de dois alarmes como este, poderá ter um pequeno incêndio perto de um detector que, quando tiver criado fumo suficiente para accionar o detector distante e accionar o alarme, tenha crescido ao ponto de se tornar agora difícil de combater, e no mínimo tenha causado danos consideráveis que poderiam ter sido evitados se apenas o primeiro detector tivesse “falado” imediatamente. Um sistema que o segundo, por si só, não é bom. – NiceGuy1 162.158.126.76 05:53, 12 de Abril 2017 (UTC) Eu finalmente me inscrevi! Este comentário é meu. NiceGuy1 (talk) 05:07, 13 de Junho 2017 (UTC)

Quarta emenda não se aplica a pesquisas de fronteira ou alfândegas

Ver excepção à pesquisa de fronteira: https://en.m.wikipedia.org/wiki/Border_search_exception

Na verdade, não precisamos do parágrafo inteiro sobre a quarta emenda.

  • Use o telefone do queimador

Embora seja possível que “queimador” se refira a alguém que assista ao festival Burning Man, acredito que é mais provável que se refira a alguém que fuma maconha, que é um termo comum em inglês informal popular. Isso também faz uma boa conexão com a parte sobre o uso típico de telefones com queimadores por traficantes de drogas. — Ianrbibtitlht (fala) 14:11, 8 de junho de 2017 (UTC)

Concordo. Eu sinto que não há dúvida, Randall está se referindo a um fumante de maconha, eu duvido que alguma vez tenha havido alguma intenção por ele de se referir ao Burning Man aqui. NiceGuy1 (conversa) 05:24, 13 Junho 2017 (UTC)

A dica no texto do título não está tecnicamente errada, apenas enganadora, pois não se deve dar senhas ou informações bancárias a pessoas sem marcas de verificação azuis. Você também não deve dá-las a pessoas com marcas de verificação azuis, claro, mas isso não faz com que a dica esteja errada. PotatoGod (fala) 15:44, 10 Agosto 2018 (UTC)