Segurança do início de sessão: Melhores práticas para impedir ataques de phishing!

Tutanota faz muito para proteger sua conta, como aplicar as melhores práticas para a segurança do seu login. Siga este guia para manter todas as suas contas seguras.

Follow login security best practices to keep your credentials secure.

É uma tarefa difícil manter todas as suas contas online a salvo de ataques maliciosos como o phishing. Como nós do Tutanota criptografamos todos os seus dados com a ajuda da sua senha, a sua senha se torna o elo mais fraco e deve ser protegida a todo custo. Assim, é crucial que você tome o máximo de cuidado para otimizar a segurança do seu login. Leia este guia rápido para maximizar a segurança das suas credenciais de login - não apenas para Tutanota, mas para todas as suas contas online.


Segurança do início de sessão

A segurança do seu início de sessão depende de vários factores, a maioria dos quais pode ser assegurada pelo seu fornecedor. Neste guia, reunimos as melhores práticas para proteger as suas credenciais de início de sessão, o que torna extremamente difícil para os atacantes maliciosos apoderarem-se da sua conta.

Este resumo também contém uma funcionalidade importante que tem de ativar para proteger as suas credenciais de início de sessão: a autenticação de dois factores. Mas vamos começar com algo fácil!

Os factores mais importantes para proteger as suas credenciais de início de sessão são:

  1. Senhas fortes
  2. Método seguro para recuperar contas
  3. Autenticação de dois factores

1. Aplicação de palavras-passe fortes

Quando se inscreve num serviço em linha, é importante que esse serviço o obrigue a escolher uma palavra-passe forte. Por exemplo, quando se inscreve numa conta Tutanota, o sistema mostrará uma janela pop-up a dizer “a palavra-passe não é suficientemente segura” se escolher uma palavra-passe fraca. Dessa forma, o sistema garante que cada usuário escolha uma senha forte.

Uma palavra-passe forte deve conter letras maiúsculas e minúsculas, números e caracteres especiais e não deve ser demasiado curta. Aqui estão mais dicas sobre como escolher uma senha forte.

Além disso, o Tutanota não permite senhas comumente usadas, como ‘password’. Infelizmente, outros serviços de e-mail, como o GMX, permitem ‘password’ como senha, o que é uma das piores coisas a se fazer, pois isso torna incrivelmente fácil para qualquer invasor potencialmente assumir as contas dos usuários com um simples palpite.

O Tutanota também usa proteção de força bruta de última geração. A senha é transformada em hash com Bcrypt e salgada com SHA256. Apenas o hash da senha é transmitido para nossos servidores, de modo que nem mesmo nós do Tutanota podemos ver sua senha.

2. Código de recuperação para redefinir as credenciais

Além de escolher uma senha forte, o fator mais importante quando se trata de proteger suas credenciais de login é a maneira como sua senha pode ser redefinida. A maioria dos serviços oferece uma redefinição da palavra-passe por correio eletrónico. Embora isto seja muito conveniente, é igualmente inseguro.

As opções de redefinição por correio eletrónico podem funcionar como uma porta das traseiras que facilita muito a ação de atacantes maliciosos. Eles podem abusar do recurso de redefinição para assumir o controle de contas online. É por isso que o Tutanota não oferece uma redefinição de senha por e-mail, mas vem com um código de recuperação.

O código de recuperação permite-lhe redefinir a sua palavra-passe sem ter de envolver mais ninguém. É importante que você anote o seu código de recuperação em algum lugar seguro, porque nós do Tutanota deliberadamente não temos a opção de redefinir a sua senha. Desta forma, garantimos que nem mesmo nós podemos assumir o controlo da sua conta.

Quando você ativou o 2FA, você precisa de dois de três para redefinir sua senha ou segundo fator. Encontrará mais pormenores no nosso Como fazer.

3. Autenticação de dois factores

Recomendamos a todos os que pretendem proteger as suas credenciais de início de sessão que activem pelo menos um segundo fator. A autenticação de dois fatores é uma das melhores práticas mais importantes que todo usuário deve ativar quando se preocupa com a segurança do login de sua conta.

O Tutanota permite-lhe adicionar vários segundos factores. Ao adicionar vários segundos fatores, você reduz o risco de perder o acesso à sua conta de e-mail se você perder o seu segundo fator.

Tutanota suporta U2F e TOTP. Recomendamos escolher um token de hardware (U2F), pois esta é a opção mais segura para autenticação de dois fatores.

Ao configurar um segundo fator, por favor, certifique-se também de anotar o seu código de recuperação. Uma vez configurado, precisa de dois dos três para repor a sua conta, caso perca um. Por exemplo, se perder o seu segundo fator, precisa da sua palavra-passe e do seu código de recuperação para repor as suas credenciais de início de sessão.

4. Tratamento de sessões

O tratamento da sessão é uma prática recomendada importante para proteger as suas credenciais de início de sessão. Permite-lhe encerrar uma sessão remotamente. Por exemplo, se tiver sessão iniciada no seu telemóvel, mas o perder. Nesse caso, você gostaria de fechar essa sessão a partir de outro dispositivo para que ninguém que pegue seu telefone possa ter acesso à sua conta online.

O Tutanota suporta o manuseio de sessões. Você pode fechar uma ou todas as sessões remotamente, ou pode mudar sua senha em um cliente. Então, todas as outras sessões são encerradas imediatamente, o que garante que sua conta permaneça segura, mesmo que você acredite que sua conta possa ser acessada por outra pessoa através de uma sessão ativa em execução.

As sessões de início de sessão activas e recentemente encerradas são visíveis em Definições -> Início de sessão. Se necessário, pode ativar o armazenamento de endereços IP de início de sessão para monitorizar se outra pessoa está a aceder à sua conta. Esta funcionalidade tem de ser activada manualmente, os endereços IP armazenados são encriptados e só podem ser desencriptados pelo utilizador.

5. Registo administrativo

Quando utiliza um serviço em linha para a sua empresa, quer ver o que os administradores estão a fazer. Os administradores geralmente têm o direito de redefinir senhas, etc., por isso é importante garantir que os administradores não abusem desse poder.

O Tutanota regista todas as acções administrativas. Estas são visíveis em Configurações -> Configurações globais -> Registo de auditoria.

6. Mudança de senhas

Recomenda-se que um usuário que tenha recebido uma conta online ou cuja senha tenha sido redefinida pelo administrador mude essa senha por razões de segurança.

Tutanota tem a opção de forçar a mudança de senhas pelos usuários se ela foi redefinida por um administrador.

7. Múltiplos administradores

No Tutanota, vários utilizadores podem ser nomeados administradores para monitorizar a segurança da conta Tutanota.

Mantenha suas credenciais seguras

The open source email client. The open source email client.

Em conjunto, o Tutanota faz muito para cuidar da segurança do seu login. Se você também ativar a autenticação de segundo fator e anotar seu código de recuperação em algum lugar seguro, todas as práticas recomendadas para proteger suas credenciais de login serão atendidas.

Mantenha-se seguro.


Leia também o nosso guia de segurança de correio eletrónico para saber como proteger melhor a sua identidade online.