Renovação da chave

Vamos abordar um ponto crucial: a renovação da chave vinculada.

Muito embora as senhas sejam fortes e o usuário possa ter elaborado uma ótima chave, o que fazer quando um site no qual estamos cadastrados tem a sua base de dados sobre os usuários roubada?

No tocante a segurança dos outros sites em que estamos cadastrados, não precisamos fazer nada. Como não usamos a mesma senha, aquela roubada não afeta aos demais sites.

Mas essa senha não serve mais para o site fraudado. Precisamos promover sua alteração com urgência. Só que também não podemos utilizar a mesma chave vinculada para aquele site, senão obviamente o resultado será a mesma senha que queremos substituir.

O grau de segurança obtido deve ser recuperado quando tal fato acontece. Mas não só nesses momentos. Alguns sites tem vazados os dados de até mesmo uns poucos usuários. Quando isso acontece, recomenda ou exige a substituição das senhas de TODOS usuários. Isso pela impossibilidade de garantir quantos e quais usuários foram afetados. Além disso periodicamente devemos mudar nossas senhas. Quanto mais o tempo passa, mais vezes acessamos um mesmo site, diminuindo a qualidade do grau de segurança. Sugiro a elaboração de uma nova chave vinculada pelo menos anualmente.

Mas como proceder? Como controlar a mudança em um único site? E em todos? Como lembrar cada site em que o usuário está cadastrado? Como saber o site em que eu já mudei a senha e os que ainda não mudei?

Blocos de Notas

Quando nos cadastramos em um site, uma premissa está ocorrendo: estamos online. Senão, o cadastro seria impossível.

Lembram que sugeri como conta de email o provedor "Google"? Foi por causa dos serviços disponíveis. É claro que o usuário pode utilizar outros de sua preferência, mas a explicação que vou dar aqui tem esse site como referência.

1. Com sua conta criada através do Google, faça o login. Vá para a página inicial do Google (é só clicar no logotipo Google, não no logotipo Gmail).
2. No canto superior direito da janela vai aparecer um quadrado composto de 9 pontinhos. É o "Google Apps". Procure o aplicativo "Keep". Se não tiver familiaridade ainda, basta digitar Keep na barra de pesquisa. Nesse caso aponte para https://keep.google.com/ e, uma vez que você esteja logado, o sistema entrará no bloco de notas relacionado à sua conta. Isso vale também para o Android.
3. Dentro do aplicativo, clique em "Criar uma nota". Dê um título, por exemplo "cadastros", ou o nome que você achar melhor.
4. Em uma nova aba abra o site em que você vai se cadastrar, por exemplo o do Mercadolivre. Faça o seu cadastro normalmente. Use a senha que você gerou com a chave criptográfica criada por você.
5. Digite ou copie e cole no bloco de notas o endereço do site que você acaba de se cadastrar. Ao lado, ponha uma referência do tipo "2018". Isso serve para lembrar que a senha que você utilizou tem a chave vinculada que você criou em 2018, por exemplo. NUNCA anote sua chave em um site virtual nem em papel. Só lembretes. Afinal, mesmo com todos os cuidados uma hora você pode marcar bobeira e deixar seu computador logado no trabalho, por exemplo.
6. A cada novo cadastro, vá relacionando os sites formando uma lista. Isso vai se tornar um hábito.
7. Quando um site possui um acesso diferenciado, anote a diferença de forma cifrada. O site da Receita Federal, por exemplo, tem um sistema, o e-CAC, que utiliza o CPF, um número de acesso e uma senha. Essa senha EXIGE letras maiúsculas e minúsculas, e números. Mas não aceita caracteres especiais e limita seu número a 8 casas. Então você pode anotar: o link da Receita Federal, o número de acesso, e uma dica para essa senha específica. Eu, por exemplo, lembro de uma antiga senha padrão de 8 caracteres formada por letras e números. Só mudei uma letra para maiúscula, então anotei a dica: "antiga 8 3 maiúscula" para lembrar que é minha antiga senha de 8 casas sendo que a terceira é para colocar em caixa alta. O usuário também poderia criar uma senha na hora e anotar uma dica do tipo "81casa 1peT", no meu caso significaria, primeiro, que a senha é de 8 casas, mais o número da primeira casa em que vivi, 428, mais o nome do meu primeiro animal de estimação, Totó, sendo que a última letra está em caixa alta (é o T em caixa alta). Então minha senha seria 0428totO. SEMPRE anote essas particularidades. Mas NUNCA anote a senha.
8. Quando você tiver que mudar a senha de um site específico que foi fraudado, por exemplo, para não ter que criar uma chave vinculada nova por causa disso (implicaria na mudança de TODAS as suas senhas, o que é desnecessário), altere a senha mantendo a estrutura. Serve como senha provisória, de contingência. Assim, para uma das senhas dos exemplos, "Hqgs12U.banada_EH_4$", eu poderia anotar no bloco de notas: "2017 banana + 1", e mudar a senha somente nessa parte. Então, somando +1 a parte referente a "banana", que é na realidade "banada", essa parte ficaria "cbobeb". Substituindo, teríamos "Hqgs12U.cbobeb_EH_4$". Quando você resolver mudar a chave de todos os acessos, mude essa também.
9. Anualmente, ou quando você achar conveniente, crie uma chave vinculada nova e terá, no Keep, a lista de todos os sites em que está cadastrado e uma forma de controlar as mudanças. A medida em que entra em um site e altera sua senha, também mude a dica referente a ela. Pronto.

Você pode fazer isso também no Android. Cadastre a conta da Google e instale o keep. Mas nesse caso lembre-se: utilize o formato mais difícil possível para a proteção de tela de seu celular. Um padrão complexo ou uma senha grande. Não utilize o PIN de 4 números, exceto caso seu aparelho propicie um travamento geral após X tentativas.

Alerta

Mantenha seu sistema operacional atualizado SEMPRE. Mesmo que seja cópia pirata. Tenha certeza que o Firewall está ativado. Antivirus e antimalware de sua preferência instalados SEMPRE. Eu tenho o AVAST PREMIER e mesmo assim utilizo o Malwarebytes Premium. A lógica por trás disso é que os antimalwares são atualizados de forma mais focada, mais específica, e por isso acabam tendo uma atualização mais rápida. Você pode utilizar antivírus e antimalware gratuitos, mas lembre de comandar a atualização diariamente, e depois o escaneamento do sistema. Mesmo que estejam com atualização automática, verifique se estão REALMENTE ativos e atualizados. Alguns códigos maliciosos conseguem desabilitar funções relativas à segurança.

Não acesse suas contas em computadores que você não confia. Geralmente os equipamentos do ambiente de trabalho estão desatualizados. Fora de casa, se tiver que realizar operações, prefira computadores em que você possa rodar sua própria imagem de sistema. Um LINUX atualizado e LIVE, por exemplo. Ou um Windows completo, gerado a partir de sua própria máquina, e bootável por DVD ou Pendrive. Se você não sabe sobre o que estou falando, então nem tente essas opções. Simplesmente lembre-se de que computadores que não são seus só devem servir para ler notícias na internet e participar de jogos. O seu Smartphone é muito mais seguro, mas também é preciso que esteja atualizado. Tenha ciência de que os fabricantes costumam abandonar as atualizações de modelos mais antigos, o que é uma agravante na vulnerabilidade das informações contidas em tais dispositivos.