[Dê aos participantes 5 minutos para discutir. Em seguida, peça aos grupos para compartilharem o que conversaram.]

DIZER:

• Você deve estar se perguntando como um hacker pode aprender uma senha privada. Existem algumas maneiras: Uma maneira é por meio da engenharia social – ou enganar alguém para que compartilhe sua senha. Um hacker pode fazer isso enviando um e-mail que parece que veio legitimamente de uma plataforma ou site onde alguém tem uma conta. O e-mail pode pedir que a pessoa clique em um link e faça login com seu nome de usuário e senha; quando a pessoa efetua login, esta informação está agora disponível para o hacker.

• Às vezes, os hackers também tentam adivinhar as senhas usando senhas comuns como “123456”, “senha”, “12345678”, “senha123”, “teste” ou seu nome ou sobrenome. Uma rápida pesquisa online por “senhas mais comuns” pode dar uma ideia de outras senhas muito comuns.

• Outra forma que hackers aprender uma senha privada é através do que é chamado de “ ataque de força bruta” . Um ataque de força bruta ocorre quando um hacker tenta fazer login em sua conta tentando várias senhas repetidamente. Embora um hacker possa conduzir um ataque de “força bruta” manualmente, é mais comum executar um programa de computador que tenta rápida e automaticamente todas as combinações de senhas possíveis. Por exemplo, uma lista de senhas prováveis ​​ou um conjunto de senhas consistindo em combinações de diferentes letras e números, até encontrar a senha correta.

• Claro, alguns ataques de “força bruta” são mais sofisticados do que outros. Se sua senha estiver em uma lista de senhas prováveis ​​(por exemplo, “bem-vindo” ou “senha”), então alguns programas podem adivinhá-la mais rápido tentando essas opções antes de senhas menos prováveis ​​ou possibilidades aleatórias. O ataque também pode ser mais refinado se o hacker souber de informações sobre você. Se, por exemplo, o hacker souber que o nome do seu animal de estimação é Toby, ele pode tentar “Toby” com diferentes variações de números no final (por exemplo, “Toby123456” ou “Toby2004”).

Atividade # 2: Princípios de Design

PERGUNTAR:

• Quem sabe o que significa ter uma senha “forte” ou “mais forte”? Por que ter uma senha forte é uma boa ideia?

DIZER:

• Uma senha forte ajuda a proteger suas informações. Embora ter uma senha forte não garanta que sua conta não seja hackeada, ter uma senha fraca torna muito mais fácil para alguém acessar suas informações.

PERGUNTAR:

• Quais são alguns exemplos de senhas fracas? [Alguns exemplos incluem “senha”, “123456”, “Olá!”, Uma data de nascimento, um apelido.]

  • Por que você acha que eles são fracos? [Eles podem ser facilmente adivinhados por outra pessoa e / ou um computador executando um ataque de “Força Bruta”.]

• Quais são algumas maneiras de tornar uma senha mais forte? [Adicionando números, letras maiúsculas e minúsculas, símbolos, tornando a senha mais longa e evitando frases e palavras comuns por conta própria.]

[Depois que os participantes derem suas contribuições, escreva estas instruções no flip chart / pôster:

• Inclua pelo menos um número.

• Inclua pelo menos um símbolo.

• Inclua pelo menos uma letra maiúscula e uma letra minúscula.

• As senhas devem ter pelo menos sete caracteres.

• As senhas devem ser fáceis de lembrar (a menos que você use um gerenciador de senhas). [Um gerenciador de senhas é um site / aplicativo que permite aos usuários armazenar suas senhas. Um exemplo de gerenciador de senhas popular é o LastPass . Sinta-se à vontade para projetar o site na tela de projeção e revisar brevemente alguns dos recursos do site.]

• As senhas não devem ser uma única palavra comum ou informações pessoais (por exemplo, data de nascimento, nome dos pais / responsáveis, etc.).

• As senhas não devem ser compartilhadas entre sites.]

SAY:

• Existem duas abordagens para criar senhas fortes. A primeira é seguir uma “receita de senha” como esta no flip chart / pôster. Usar essa receita incentiva você a incluir elementos mais difíceis de adivinhar em uma senha textual / numérica, tornando a própria senha mais difícil de adivinhar. A desvantagem dessa abordagem é que ela torna as senhas mais difíceis de lembrar.

• Outra abordagem para criar senhas fortes está relacionada ao comprimento da senha. Como a força da senha está relacionada ao tamanho da senha, usar uma sequência de quatro ou mais palavras não relacionadas torna as senhas muito mais difíceis de adivinhar para humanos e ataques de “força bruta”. Esse método tem o benefício adicional de resultar em senhas mais fáceis de lembrar do que o método da receita.

• Por último, pode-se usar uma combinação desses dois métodos chegando a uma sequência de quatro ou mais palavras não relacionadas, e também incluindo símbolos e números.

• O objetivo desses métodos diferentes é o mesmo: desenvolver senhas exclusivas e difíceis de serem adivinhadas por outras pessoas.

[Organize os participantes em pares.]

DIZER:

• Em pares, tente criar uma senha forte usando as instruções que escrevi no flip chart / pôster anteriormente. Lembre-se de que uma senha que é difícil para um computador adivinhar aleatoriamente ainda pode ser fácil para uma pessoa ou um computador com uma lista de senhas longas comuns de adivinhar. O pedaço de papel com sua senha não será coletado ao final da atividade. Recomendamos que você não use essa senha para uma de suas contas, pois as pessoas do grupo saberão disso.

[Dê aos participantes 5 minutos para fazer isso. Em seguida, circule pela sala e pergunte aos participantes quais eles acham que são seus exemplos de senha mais fortes. Pergunte aos participantes se eles podem se lembrar das senhas que geraram sem olhar para eles diretamente.]

DIZER:

• Embora alguns sites e plataformas exijam sua senha para atender a algumas (ou todas) dessas condições, outros não têm tais restrições. Agora vamos criar senhas usando uma string de palavras comuns aleatórias. [Um exemplo seria “correcthorsebatterymoon” consistindo nas palavras correct, horse, battery e moon.]

[Nos mesmos pares, peça aos participantes que criem novas senhas que são sequências de palavras. Diga a eles que deve haver pelo menos quatro palavras na senha para torná-la forte e fácil de lembrar. Dê aos participantes 5 minutos para fazerem isso. Em seguida, circule pela sala e pergunte aos participantes quais são seus exemplos de senha. Novamente, lembre aos participantes que a folha de papel não será coletada no final da atividade, nem a senha deve ser usada para qualquer uma de suas contas.]

• Alguns sites usam um sistema denominado autenticação multifator (ou dois fatores) para verificar sua identidade. Esses sites costumam usar mensagens de texto, um aplicativo ou e-mail para enviar um código único que deve ser inserido junto com a senha.

• Esse método pode tornar suas contas muito mais seguras, adicionando uma camada extra de segurança que é muito mais difícil de quebrar. Por exemplo, para fazer login em sua conta, uma pessoa deve ter sua senha e acesso ao aplicativo, dispositivo ou endereço de e-mail associado à conta.

Atividade # 3: Mantendo as senhas seguras

DIZER:

• Mesmo se você criar uma senha que seja realmente difícil para um computador ou pessoa quebrar, há outras maneiras de uma senha ser fraca.

PERGUNTAR:

• Quais são algumas outras maneiras pelas quais as senhas podem ser fracas? [Alguns exemplos incluem reutilizar uma senha para várias contas, usar uma senha que contém informações pessoais, usar a mesma senha por muitos anos ou esquecer sua senha.]

• Com que frequência você acha que deve alterar suas senhas?

DIZER:

• Embora a taxa recomendada na qual você deve alterar suas senhas seja debatida, mesmo entre os profissionais de segurança, geralmente, você não deve precisar alterar suas senhas se elas forem suficientemente complexas para começar, a menos que haja uma suspeita de violação de dados no site ( s) / plataformas onde você possui uma conta.

• Embora até mesmo boas senhas possam ser comprometidas ou roubadas, há coisas que você pode fazer para se proteger. Se houver uma violação de dados, certifique-se de alterar sua senha nesse site / plataforma, bem como em quaisquer outros sites / plataformas onde você usa senhas semelhantes.

• Pode ser difícil lembrar muitas senhas longas e complicadas.

PERGUNTAR:

• Você acha que é uma boa ideia anotar suas senhas em um pedaço de papel ou em um arquivo de documento no computador? Por que ou por que não?

[Mencione possibilidades, como alguém encontrar o pedaço de papel ou perceber o arquivo em seu computador. Observe que é importante considerar: em que nível proteger as informações se torna inconveniente? Assim que proteger as informações se tornar inconveniente, essa forma de proteção provavelmente será evitada, o que pode contribuir para a redução da segurança (por exemplo, se uma senha for muito complexa, alguém pode anotar a senha em um pedaço de papel ao lado do computador). Explique que uma abordagem de senhas organização é usar um gerenciador de senhas, um site / aplicativo que permite aos usuários armazenar suas senhas (por exemplo,  LastPass ).]

DIZER:

• Todos os dias, usamos muitas contas diferentes em sites diferentes. Pode ser complicado fazer login e sair de todos os sites todas as vezes.

PERGUNTAR:

• Você já usou o recurso “salvar senha” em seu navegador para salvar uma senha para um site? Por que ou por que não?

• Você entende como o site lembra quem você é?

[Peça explicações. Em seguida, observe que os sites podem lembrar que você efetuou login armazenando um cookie. Cookies são pequenos arquivos armazenados em seu computador para ajudar um site a saber quem você e seu computador são em visitas futuras, sem precisar fazer login novamente. No entanto, os cookies também podem ser usados ​​para rastreá-lo conforme você vai de um site para outro. Essa é uma maneira que os anúncios podem direcionar você.]

• Há algum problema em salvar uma senha se ela estiver no seu computador?

• O seu computador possui uma senha de login para que apenas você e as pessoas que sabem a senha possam usá-la?

• E se você inserir sua senha em um computador no qual não confia / um computador compartilhado? Nesse caso, mesmo que sua senha no campo de senha possa estar oculta por pontos pretos ou asteriscos, outras pessoas que usam seu computador podem descobrir qual é a sua senha. Só porque você não pode ver qual é a senha na tela, não significa que ela não esteja armazenada em algum lugar.

PERGUNTAR:

• Há momentos em que não há problema em compartilhar uma senha? Quando? Porque? [Alguns exemplos podem ser que os pais / responsáveis ​​podem querer suas senhas ou que eles têm uma conta conjunta / familiar em um serviço de streaming de mídia.]

• Você compartilha suas senhas com alguém? Se sim, com quem e por quê?

• Se você é amigo íntimo de alguém, essa pessoa, dizendo “se você se importa comigo”, seria um motivador para compartilhar sua senha com ela? Por que ou por que não?

DIZER:

• Você pode optar por compartilhar sua senha com alguém de quem você gosta, mas se importar com essa pessoa não significa necessariamente que ela mereça acesso total às suas contas online.

• Pense cuidadosamente sobre seu relacionamento com essa pessoa específica antes de compartilhar, incluindo como esse relacionamento pode mudar com o tempo. Por exemplo, compartilhar com um pai / responsável é uma escolha muito diferente do que compartilhar com seu melhor amigo.

PERGUNTAR:

• O que pode acontecer com você se você compartilhar uma senha? [Alguém pode invadir suas contas bancárias, fazer-se passar pela Internet ou descobrir alguns de seus segredos.]

• Se você compartilhasse uma senha com uma conta, usaria essa conta de maneira diferente?

• Existem coisas que você não assistiria em um serviço de streaming de mídia ou escreveria em um e-mail se outra pessoa pudesse ver o que você está fazendo? [Os participantes devem refletir sobre seu próprio comportamento ao usar uma conta compartilhada. Eles devem considerar que sua atividade online está em exibição para outros usuários na conta.]

• Se a sua conta for uma representação virtual sua, como um perfil de mídia social, é correto permitir que outras pessoas usem sua conta? [Discuta a possibilidade de alguém fingir ser ele e enviar mensagens para seus amigos, e a possibilidade de perder o acesso à sua conta por permitir que outros a usem pode ser proibido pelos termos de serviço da plataforma.]

• Você permite que algum dos dispositivos que usa para armazenar suas senhas? Por que ou por que não? Isso significa que é seguro salvar suas senhas em seu telefone pessoal ou computador? O que acontece se você emprestar seu telefone ou computador a um amigo?

• Há algum dispositivo que você compartilha com outras pessoas, como família ou amigos? Você compartilha uma conta nesse dispositivo ou cada pessoa tem a sua própria?

• Você costuma usar um dispositivo público, como na biblioteca, na escola ou em outro lugar? Você faz nesse dispositivo as mesmas coisas que faria em outro lugar?

[Organize os participantes em pares.]

• Em seus pares, discuta se você já se conectou a um computador na escola, em uma biblioteca ou em outro ambiente comunitário e viu que outra pessoa ainda estava conectada a sua mídia social ou conta de e-mail. [Peça-lhes que considerem se examinariam a conta ou faria qualquer outra coisa.]

[Dê aos participantes 5 minutos para discutir e peça-lhes que compartilhem. Envolva o grupo em uma discussão sobre esse uso não autorizado.]

Atividade nº 4: Acesso não autorizado à conta

[Observação: parte do conteúdo desta atividade foi abordada na “Atividade nº 1: Noções básicas de senha”. Adiamos seu julgamento sobre se você gostaria ou não de revisar este material novamente, caso já tenha se envolvido na Atividade # 1, ou pulá-la.]

DIZER:

• É possível que outras pessoas acessem sua conta, mesmo sem já saber ou ter sucesso com uma adivinhação aleatória de sua senha. Se alguém souber informações pessoais suficientes sobre você, essa pessoa poderá fazer suposições fundamentadas sobre sua senha ou pode convencer alguém em uma empresa a ceder suas informações.

PERGUNTAR:

• Levante a mão se você já esqueceu sua senha de um site.

• O que acontece quando você clica em “Esqueci minha senha?” [O site geralmente pede respostas para perguntas de segurança ou tentará entrar em contato com alguém usando um número de telefone ou e-mail.]

• Quais são algumas perguntas de segurança que o site pede? [Explique como algumas dessas são perguntas que amigos ou conhecidos podem responder ou adivinhar. Coisas como: o nome de seu animal de estimação, onde nasceram, o nome de seu professor favorito, o nome de seu melhor amigo, seu time de esportes favorito.]

• Quem mais pode saber esse tipo de informação sobre você?

• Como um site entra em contato com você quando você esquece uma senha? [Mensagem de texto, e-mail, etc.]

• Quem mais pode ter acesso aos seus pontos de contato?

• Como um estranho pode descobrir as informações pessoais associadas às suas respostas às perguntas de segurança? [Postagens em mídias sociais, pesquisas online de informações públicas, adivinhação várias vezes, contato com seus amigos, etc.]

• Quais são alguns exemplos de postagens em mídias sociais com informações pessoais? [Por exemplo, uma foto de seu gato com o nome na legenda, postagens públicas de aniversário ou uma foto dele e de seus amigos com um local marcado.]

• Como você pode usar o Google para saber mais sobre alguém e hackear sua senha? [Se um mecanismo de busca mostra a foto da turma de alguém da nona série em um jornal da escola online, eles podem descobrir o nome do professor da nona série dessa pessoa.]

DIZER:

• Publicar informações que contenham as respostas às suas perguntas de segurança pode ser muito perigoso. Certifique-se de escolher perguntas de segurança que tenham respostas que só você conhece. Você também pode inventar respostas para perguntas de segurança, desde que as salve em um gerenciador de senhas (um site / aplicativo que permite aos usuários armazenar suas senhas, como o LastPass ) ou que sejam fáceis de lembrar.

• Os sites podem entrar em contato com os usuários usando um número de telefone ou e-mail associado à conta do usuário. Se um usuário esquecer sua senha, os sites geralmente fornecem uma senha temporária ou hiperlink que o usuário pode usar para redefinir sua senha.

PERGUNTAR:

• Essa é uma maneira segura de garantir que a pessoa que está solicitando a nova senha seja o usuário?

• E se você compartilhar o endereço de e-mail associado à conta? [O método de link de redefinição de senha é seguro na maioria das vezes, mas se eles compartilharem uma conta ou senha com outra pessoa, isso os expõe a riscos.]

DIZER:

• O hacking social pode ser realizado por pessoas que entram em contato com você diretamente e tentam induzi-lo a fornecer suas informações. Às vezes, as pessoas enviarão um e-mail fingindo ser outra pessoa (como um amigo, um membro da família ou alguém do banco) e pedirão que você compartilhe informações importantes com elas (como sua data de nascimento) para verificar sua identidade. O hacking social também pode ser mais sutil, como se alguém hackeasse a conta de mídia social do seu amigo e mandasse uma mensagem para você (e potencialmente para muitos outros) perguntando sobre seu aniversário ou onde você cresceu. Se você receber qualquer mensagem de seu amigo que pareça estranha, você pode primeiro entrar em contato com seu amigo (fora da plataforma de mídia social) para determinar se ele está realmente enviando o conteúdo.

• Ataques que usam um e-mail ou site de aparência real são chamados de phishing e podem levar ao roubo de identidade. Por exemplo, um ladrão de identidade pode abrir cartões de crédito em seu nome e usá-los, o que pode dificultar a obtenção de um cartão de crédito quando for mais velho.

• O phishing pode permitir que o ladrão se faça passar por você e acesse mais informações, permitindo que ele bisbilhote seus e-mails, envie mensagens para seus amigos fingindo ser você ou roube seu dinheiro. Esse processo também pode permitir que o ladrão bloqueie sua conta criando uma nova senha que você não conhece.

Atribuição

[ Peça aos participantes que respondam às seguintes perguntas e adicionem suas respostas na forma de texto ou imagens ao Folheto Aprendendo sobre Senhas.]

DIZER:

1. Quais são os três insights desta sessão que você aplicará na próxima vez que tiver que criar uma senha?

2. Qual é o caso em que você acha que não há problema em compartilhar sua senha com outra pessoa?

3. Quais são as três estratégias que você pode usar para compartilhar com segurança sua senha com outra pessoa?

4. Quais são os três exemplos do que pode dar errado se uma senha cair nas mãos erradas?