Segurana e Auditoria de Sistemas

Equipe 4 - Negao de Servio (DoS - Denial of ServiceData: 12/03/2013Tempo: 20 minutosConceitue a ameaaQue tipo de vulnerabilidades so exploradasComo evitar a ameaaRelacionar 5 notcias ou matrias relevantes dos ltimos 3 anos relacionadas ao tema (apresentar data da publicao, jornalista ou fonte e veculo de comunicao)Cristiane Queiroz, Igor Vitor, Joo Lobo, WagnerUso de Recursos: 2,0Postura: 2,0Contedo: 2,0Domnio do Tema: 2,0Voltar

As 3 Principais Propriedades da Segurana da InformaoConfidencialidade: Apenas pessoas explicitamente autorizadas tem acesso a informaoIntegridade: A informao acessada est completa, sem alteraes e, portanto, confivel.Disponibilidade: Est accessvel, para pessoas autorizadas, sempre que necessrio.Princpios Complementares da Segurana da InformaoAutenticidade: preciso possuir mecanismos para verificar a identidade reclamada por uma entidade do sistema;Controle de Acesso: O acesso informao dever ser controlada de acordo os privilgios necessrios entidade relacionada;No-repdio: Mecanismo que deve garantir que uma entidade no pode negar o envolvimento numa transao.Aplicao da Segurana da Informao em NveisDEFINIESAESConceitos de Segurana da InformaoAtivoIncidenteAmeaaVulnerabilidadeProbabilidadeImpactoRiscoAtivo qualquer elemento que possui valor para a organizao e consequentemente necessita ser adequadamente protegido.Na sociedade atual, a informao o principal ativo da empresa e est sob constante risco. A informao representa a inteligncia competitiva dos negcios e reconhecida como ativo crtico para a continuidade operacional e sade da empresa. Dispor da informao correta, na hora adequada, significa tomar uma deciso de forma gil e eficiente.

IncidenteEm segurana da informao, um incidente qualquer acontecimento que prejudique o andamento normal dos sistemas e/ou do negcio.

Ex.: Uma falha de segurana no Yahoo! causou o vazamento de mais de 453 mil dados de usurios de diversos servios oferecidos pelo portal, segundo o Ars Technica. Fonte: Olhar Digital. Julho/2012

AmeaaEm ingls, utiliza-se termo threat para definir ameaa. qualquer ao, acontecimento ou entidade que possa agir sobre um ativo, processo ou pessoa, atravs de uma vulnerabilidade e conseqentemente gerando um determinado impacto. As ameaas apenas existem se houverem vulnerabilidades, sozinhas pouco fazem.Ex.: A companhia de segurana Trusteer est alertando sobre um vrus para Android que est sendo distribudo por criminosos e tem como alvo sistemas de autenticao por SMS empregados por bancos europeus para verificar transferncias online. Fonte: IDG Now!AmeaasTipos de ameaas:Naturais Ameaas decorrentes de fenmenos da natureza, como incndios naturais, enchentes, terremotos, tempestades, poluio, etc. Involuntrias Ameaas inconscientes, quase sempre causadas pelo desconhecimento. Podem ser causados por acidentes, erros, falta de energia, etc. Voluntrias Ameaas propositais causadas por agentes humanos como hackers, invasores, Espies, ladres, criadores e disseminadores de vrus de computador, incendirios.VulnerabilidadeA vulnerabilidade o ponto onde qualquer sistema suscetvel a um ataque ou falha, ou seja, uma condio de risco encontrada em determinados recursos, processos, configuraes, etc.Cada vez mais crackers buscam vulnerabilidades multiplataforma. Utilizando falhas j corrigidas por fornecedores, criminosos se aproveitam da negligncia de usurios, que no atualizam seus softwares quando necessrio.Cada vez mais crackers esto escolhendo como alvo as mesmas vulnerabilidades de aplicativos em Macs e Pcs com Windows, visando benefcios financeiros e para desenvolver malwares multiplataforma. Fonte: IDG Now! Agosto/2012.VulnerabilidadeConceito de vulnerabilidadePrincipais origensDeficincia de projeto: brechas no hardware/softwareDeficincia de implementao: instalao/configurao incorreta, por inexperincia, falta de treinamento ou desleixoDeficincia de gerenciamento: procedimentos inadequados, verificaes e monitoramento insuficientesVulnerabilidades

ProbabilidadeA probabilidade a chance de uma falha de segurana ocorrer levando-se em conta o grau das vulnerabilidades presentes nos ativos que sustentam o negcio e o grau das ameaas que possam explorar estas vulnerabilidades.ImpactoSo as potenciais consequncias que este incidente possa causar ao negcio da organizao.

Ex.: Alguns impactos resultantes da invaso da rede Playstation Network da Sony:Exposio de dados sigilosos de 77 milhes de usurios;Servio indisponvel por trs semanas;Segundo a Forbes, o prejuzo financeiro pode alcanar, no pior cenrio, 24 bilhes de dlares.RiscoUma expectativa de perda expressada como a probabilidade de que uma ameaa em particular poder explorar uma vulnerabilidade com um possvel prejuzo;Risco pode se definido como uma medida da incerteza associada aos retornos esperados de investimentos (Duarte Jnior, 2004);Subentende-se por risco, o nvel do perigo combinado com: (1) a probabilidade de o perigo levar a um acidente e, (2) a exposio ou durao ao perigo (algumas vezes denominado de latente); algumas vezes, o risco limitado ao relacionamento entre o perigo e o acidente, ou seja, a probabilidade do perigo conduzir a um acidente, mas no da probabilidade do perigo ocorrer (Leveson et al, 1997);Conforme (Scoy, 1992), risco no ruim por definio, o risco essencial para o progresso e as falhas decorrentes so parte de um processo de aprendizado.AtaquesConceitoTipos de ataquesPassivoInterceptao, monitoramento, anlise de trfego (origem, destino, tamanho, freqncia)AtivoAdulterao, fraude, reproduo (imitao), bloqueioAtaquesAtaques sobre o fluxo de informaoInterrupo: ataca a disponibilidadeInterceptao: ataca a confidencialidadeModificao: ataca a integridadeFabricao: ataca a autenticidadeExemplos de Ataques / AmeaasVrusVerme (Worm)Cavalo de Tria (Trojan Horse)MalwareBack Door (Porta dos Fundos) ou Trap Door (Armadilha, Alapo)Bomba LgicaPort Scanning (Varredura de Portas)Spoofs (Falsificao ou Disfarce de identidade)DNS SpoofQuebra de Senha (Password Cracking)Exemplos de Ataques / AmeaasEngenharia SocialSniffing (Monitoramento, Grampo)Web Site DefacementDoS - Denial of Service (Interrupo de Servio)SPAM / Junk MailMensagem-Bomba (Mail Bomb)War DialingInjeo de SQL (SQL Injection)ExploitExemplos de Ataques / Ameaas

Exemplos de Ataques / Ameaas

Exemplos de Ataques / AmeaasDepois de atacar ao longo da semana o Ita, Bradesco, Banco do Brasil e HSBC, o grupo de hackers Anonymous assumiunesta sexta-feira (3/02), em sua pgina no Twitter,o ataque aos sites doCitibank,Panamericano, BMG,Febraban,CieloeRedecard. a primeira vez que o grupo afirma fazer ataques simultneos. Testes feitos porpoca NEGCIOSmostraram que os sites no estavam acessveis.A assessoria de imprensa doPanamericanodeclarou que o site estava indisponvel, possivelmente por sobrecarga de acessos. AFebrabantambm apontou volume de acessos acima do normal no comeo da tarde, mas rechaou queos sistemas internos no haviam sido afetados.OCitibankinformou que sofreu uma interrupo temporria no servio, mas que conseguiu restaurar as operaes no prazo de uma hora. Tambm no houve problema na integridade dos dados dos clientes. O comunicado oficial daCieloapontou que o site foi restabelecido aps ter ficado temporariamente indisponvel na tarde desta sexta-feira, devido a um volume de acessos acima do normal.A assessoria de imprensa doBMGtambm relatou sobrecarga de acessos, acrescendo que a segurana operacional no havia sido afetada. ARedecardtambm apontou sobrecarga e relatou quehouve apenas uma intermitncia no site, o que no prejudicou as transaes da rede de pagamentos.

Fonte: Amanda Camasmie, para o site poca Negcios

Fonte: Computer Crime and Security Survey, 2010

Fonte: Mdulo 10 Pesquisa Anual de Segurana da Informao, Dezembro de 2007Trabalho 05 e 12/03/20121234FIM5AutenticaoA autenticao o processo de verificao da identidade de um usurio, isto , garantir que um usurio de fato quem diz ser.AutenticaoSYK Something You Know (algo que voc sabe): estas tcnicas de autenticao so baseadas em informaes conhecidas pelo usurio, como seu nome de login e sua senha.

AutenticaoSYH Something You Have (algo que voc tem): so tcnicas que se baseiam na posse de alguma informao mais complexa, como um certificado digital ou uma chave criptogrfica, ou algum dispositivo material, como um smartcard, um carto magntico, um cdigo de barras, etc.

AutenticaoSYA Something You Are (algo que voc ): se baseiam em caractersticas intrinsecamente associadas ao usurio, como seus dados biomtricos: impresso digital, padro da ris, timbre de voz, etc.

FirewallConceitoEssencial, porm no o bastantePode ser usado para ajudar a impedir que sua rede ou seu computador seja acessado sem autorizao. possvel evitar que os usurios acessem servios ou sistemas indevidos, permitindo auditoria.FirewallUm firewall pode ser um PC, um roteador, um servidor, um appliance ou a combinao destes que determine qual informao ou servios podem ser acessados de fora e a quem permitido usar a informao e os servios de fora.Firewall

Caractersticas do FirewallTodo trfego entre a rede interna e a externa (entrada e sada) deve passar pelo FirewallSomente o trfego autorizado passar pelo Firewall, todo o resto ser bloqueadoO Firewall em si deve ser seguro e impenetrvelControles do FirewallControle de Servio: determina quais servios Internet (tipos) estaro disponveis para acessoControle de Sentido: determina o sentido de fluxo no qual servios podem ser iniciadosControle de Usurio: controla o acesso baseado em qual usurio est requerendo (tipicamente os internos, ou externo via VPN)Controle de Comportamento: controla como cada servio pode ser usado (ex: anti-spam)Limitaes de um FirewallO Firewall no protege contra ameaas internasO Firewall no protege contra transferncia de arquivos infectados por vrus, pois seria impraticvel analisar o contedo de tudo que trafegaTipos de FirewallFiltragem de pacotesFirewalls de aplicaoFirewalls baseados no estado

Filtragem de PacotesRegras que avaliam as informaes no cabealho de um pacote toda vez que um chega ao firewall, para ento ser decidido se permitido ou no a sua passagem.Caso seja permitido a passagem do pacote, ele toma o seu caminho normalmente. Porm nenhum pacote passa por roteador ou firewall sem sofrer algumas modificaes. Antes do pacote tomar o seu caminho o roteador ou firewall reduz o valor da TTL (Time-To-Live) no cabealho em pelo menos 1. Se o TTL, que o emissor provavelmente configurou como 128, atingir a marca de 0, o pacote descartado.Filtragem de PacotesIP de origem: o endereo de IP que o pacote lista como seu emissor. IP de destino: o endereo de IP para onde o pacote est sendo mandado. ID de protocolo IP: Um cabealho IP pode ser seguido por vrios cabealhos de protocolos. Cada um desses protocolos tem seu prprio ID de protocolo IP. Os exemplos mais conhecidos so TCP (ID 6) e UDP (ID 17).Numero de portas TCP ou UDP : O numero da porta indica que tipo de servio o pacote destinado. Flag de fragmentao: Pacotes podem ser quebrados em pacotes menores.Ajuste de opes do IP: Funes opcionais no TCP/IP que podem ser especificadas nesse campo. Essas opes so apenas usadas para diagnstico, de forma que o firewall possa descartar pacotes com opes de IP determinadas.

Firewalls de AplicaoCom a utilizao deste tipo de firewall, podemos usufruir da filtragem na base em informao de nvel de aplicao (por exemplo, com base em URLS dentro de um servidor, possibilita o estabelecimento de zonas com diferentes tipos de acesso);Possibilita o modo de acordo com a informao e no simplesmente com base em regras de acesso estticas;Possibilidade de funcionarem como repositrios (arquivos) temporrios ocorrendo melhorias significativas ao longo do seu desempenho.Firewall baseado em estadoFirewall de Pacotes + Firewall de AplicaoPossibilita o funcionamento ao nvel da aplicao de uma forma dinmica;Inclui funcionalidades de encriptao e encapsulamento e balanceamento de carga;A manuteno e configurao requerem menos complexas operaes.Alto custo

IDS Intrusion Detection SystemsConceitoTipos:IDS localizados em hosts (H-IDS)IDS localizados na rede (N-IDS)IDS Hbridos

IDS baseados em HostConceitoMais empregados nos casos em que a segurana est focada em informaes contidas em um servidor e os usurios no precisam ser monitorados;Aplicado em redes onde a velocidade de transmisso muito alta como em redes Gigabit Ethernet;Usados tambm quando no se confia na segurana corporativa da rede em que o servidor est instalado.Verificaes dos IDS baseados em HostAcesso a arquivos.Integridade de arquivos.Varredura de portasModificao e privilgios de usurios.Processos do sistema.Execuo de programas.Uso de CPU.Conexes.Vantagens do IDS baseado em HostAtaques que ocorrem fisicamente num servidor podem ser detectados.Ataques que utilizam criptografia podem no ser notados pelos NIDS, mas descobertos pelos HIDS, pois o SO primeiro decifra os pacotes.Independem da topologia da rede.Geram poucos falsos positivos, que so alarmes falsos de ataques.No necessita de hardware adicional.Desvantagens do IDS baseado em HostSo de difcil monitoramento, j que em cada estao deve ser instalado e configurado um IDS;Podem ser desativados por DoS;Recursos computacionais so consumidos nas estaes monitoradas, com diminuio do desempenho;O IDS pode ser atacado e desativado, escondendo um ataque, se as fontes de informaes residirem na estao monitorada;Fica difcil de configurar e gerenciar em todos os hosts de uma rede.Desvantagens do IDS baseado em HostNecessita de espao de armazenamento adicional para os registros do sistema. dependente do SO. HIDS para Linux diferente de um HIDS Windows.No tm bom desempenho em sistemas operacionais que geram poucas informaes de auditoria.Apresenta diminuio do desempenho do host monitorado.Componentes dos IDS baseados em redeOs sensores que cuidam dos segmentos de redes, fazem a captura, formatao de dados e anlise de trfego.Gerenciador: fazem com que os sensores sejam administrados de modo integrado, com a definio dos tipos de resposta para cada tipo de comportamento suspeito detectado.A comunicao entre sensores e gerenciador criptografada.

Vantagens do IDS baseado em redeCom um bom posicionamento, pode haver apenas poucos IDS instalados para monitorar uma rede grandeUm pequeno impacto provocado na rede com a instalao desses IDS, pois so passivos, e no interferem no funcionamento da redeDifceis de serem percebidos por atacantes e com grande segurana contra ataquesPode detectar tentativas de ataques (ataques que no tiveram resultados).Fica mais difcil um invasor apagar seu rastro.

Desvantagens do IDS baseado em redePodem falhar em reconhecer um ataque em um momento de trafego intenso;Em redes mais modernas baseadas em switches, algumas das vantagens desse tipo de IDS no se aplicam;No conseguem analisar informaes criptografadas, sendo um grande problema, visto que muitos atacantes utilizam criptografia em suas invases;Grande parte no pode informar se o ataque foi ou no bem sucedido, podendo apenas alertar quando o ataque foi iniciado.Exemplos de IDS baseados em hostsTripwireSwatchPortsentryOSSEC-HIDS

Exemplos de IDS baseados em redeSnortRealSecureNFRExemplo de ambiente hbridoOSSEC-HIDS + SnortFormas de detecoDeteco por AssinaturaBusca de eventos que correspondam a padres pr-definidos de ataques e outras atividades maliciosas.;Se limita a detectar somente ataques conhecidos (assinaturas conhecidas).Deteco por AnomaliasAtaques so aes diferentes das atividades normais de sistemas;IDSbaseado em anomalias monta um perfil que representa o comportamento rotineiro de um usurio, Host e/ou conexo de rede. A principal desvantagem a gerao de um grande nmero de alarmes falsos devido ao comportamento imprevisvel de usurios e do prprio sistema.

HoneypotsFuncionam como armadilhas para os crackers.No contm dados ou informaes importantes para a organizao.Seu nico propsito passar-se por um equipamento legtimo da organizao. configurado para interagir como o atacante.Detalhes de ataques podem ser capturados e estudados.BackupFalhas tcnicas: falha no disco rgido (HD), falha de energia, sobrecarga na rede de computadores que pode gerar falhas de comunicao e de software; Falhas ambientais: descargas eltricas provindas de raios, enchentes, incndios; Falhas humanas: detm 84% das perdas de dados e so devidas excluso ou modificao de dados acidental ou mal-intencionada, vrus, roubo de equipamentos e sabotagem.

Tipos de BackupBackup normalBackup diferencialBackup incrementalBackup NormalUm backup normal copia todos os arquivos selecionados e os marca como arquivos que passaram por backup (ou seja, o atributo de arquivo desmarcado). Com backups normais, voc s precisa da cpia mais recente do arquivo ou da fita de backup para restaurar todos os arquivos. Geralmente, o backup normal executado quando voc cria um conjunto de backup pela primeira vez. Backup NormalVANTAGENS: Os arquivos so mais fceis de localizar porque esto na mdia de backup atual. Requer apenas uma mdia ou um conjunto de mdia para a recuperao dos arquivos.

DESVANTAGENS: demorado. Se os arquivos forem alterados com pouca freqncia, os backups sero quase idnticos.

Backup DiferencialUm backup diferencial copia arquivos criados ou alterados desde o ltimo backup normal ou incremental. No marca os arquivos como arquivos que passaram por backup (o atributo de arquivo no desmarcado). Se voc estiver executando uma combinao dos backups normal e diferencial, a restaurao de arquivos e pastas exigir o ltimo backup normal e o ltimo backup diferencial.Backup DiferencialVANTAGENS: A recuperao exige a mdia apenas dos ltimos backups normal e diferencial. Fornece backups mais rpidos do que um backup normal.

DESVANTAGENS: A restaurao completa do sistema pode levar mais tempo do que se for usado o backup normal. Se ocorrerem muitas alteraes nos dados, os backups podem levar mais tempo do que backups do tipo incremental.Backup IncrementalUm backup incremental copia somente os arquivos criados ou alterados desde o ltimo backup normal ou incremental. e os marca como arquivos que passaram por backup (o atributo de arquivo desmarcado). Se voc utilizar uma combinao dos backups normal e incremental, precisar do ltimo conjunto de backup normal e de todos os conjuntos de backups incrementais para restaurar os dados.Backup IncrementalVANTAGENS: Requer a menor quantidade de armazenamento de dados. Fornece os backups mais rpidos.

DESVANTAGENS: A restaurao completa do sistema pode levar mais tempo do que se for usado o backup normal ou diferencial.Periodicidade de BackupFrequncia de Modificaes X Importncia da InformaoBackup DirioBackup SemanalBackup MensalBackup AnualArchiveCopia ou move os arquivos de acordo com o contedo real. Eles tambm localizam e retornam arquivos de acordo com seu contedo,inclundo autor, data e outras tags customizadas.Caractersticas a considerar na implementao de um archiveSer Content-Aware. Por exemplo, ele deve indexar o contedo dos documentos, no apenas os metadados do sistema de arquivos.Preencher tags de metadados customizados extraindo informaes do contedo dos arquivos.Arquivar um subconjunto de dados (definido pela poltica de archive) seletivamente para atender conformidade regulamentar e regras de governana corporativa da informao.Proporcionar acesso rpido aos dados arquivados.Criptografia

CriptografiaConceitoHistricoTiposCriptografia Simtrica;Criptografia AssimtricaConceituaokryptos (oculto, secreto), graphos (escrever).Texto aberto: mensagem ou informao a ocultarTexto cifrado: informao codificada;Cifrador: mecanismo responsvel por cifrar/decifrar as informaesChaves: elementos necessrios para poder cifrar ou decifrar as informaesEspao de chaves: O nmero de chaves possveis para um algoritmo de cifragemConceituaoAlgoritmo computacionalmente seguroCusto de quebrar excede o valor da informaoO tempo para quebrar excede a vida til da informaoMeios de criptoanliseFora brutaMensagem conhecidaMensagem escolhida (conhecida e apropriada)Anlise matemtica e estatsticaEngenharia socialConceitos para bom algoritmo de criptografiaConfuso: transformaes na cifra de forma irregular e complexaDifuso: pequena mudana na mensagem, grande na cifraHistricoCifrador de Csarmensagem aberta: Reunir todos os generais para o ataquemensagem cifrada com k = 1: Sfvojs upept pt hfofsbjt qbsb p bubrvfmensagem cifrada com k = 2: Tgwpkt vqfqu qu igpgtcku rctc q cvcswgmensagem cifrada com k = 3: Uhxqlu wrgrv rv jhqhudlv sdud r dwdtxh

CuriosidadeCriptografia AES (Advanced Encryption Standard)Chaves de 128 bits, ou seja, espao de chaves com 2128 possibilidades340.282.366.920.938.463.463.374.607.431.768.211.456 chaves diferentesTipos de CifrasCifras de TransposioCifras de Substituio:Cifra de substituio simples ou monoalfabtica ;Cifra de substituio polialfabtica;Cifra de substituio de polgramos ;Cifra de substituio por deslocamento.Criptografia SimtricaAlgoritmo o prprio processo de substituio ou transposio.Consiste nos passos a serem tomados para realizar a encriptao.ChaveDefine o alfabeto cifrado exato que ser utilizado numa codificao em particular.

O algoritmo utilizado em um processo de encriptao pode ser divulgado sem problemas. A chave, porm, deve ser uma informao confidencial do remetente e do destinatrio.

Desvantagens do Uso de Chaves SimtricasSe uma pessoa quer se comunicar com outra com segurana, ela deve passar primeiramente a chave utilizada para cifrar a mensagem.Grandes grupos de usurios necessitam de um volume grande de chaves, cujo gerenciamento complexoCriptografia AssimtricaPostulada pela primeira vez em meados de 1975 por Withfield Diffie e Martin HellmanAlgoritmos de chave pblica e privadaBaseada em princpios de manipulao matemtica.Os algoritmos so computacionalmente pesados e lentos.Criptografia Assimtrica

Criptografia AssimtricaRSA Ron Rivest / Adi Shamir / Leonard AdlemanCriado em 1977. o algoritmo de chave pblica mais utilizado.Utiliza nmeros primos.A premissa por trs do RSA que fcil multiplicar dois nmeros primos para obter um terceiro nmero, mas muito difcil recuperar os dois primos a partir daquele terceiro nmero.Criptografia AssimtricaCerca de 95% dos sites de comrcio eletrnico utilizam chaves RSA de 512 bits.O desenvolvimento dos algoritmos de criptografia assimtrica possibilitou o aparecimento de aplicaes que trafegam dados internet de forma segura, notadamente do e-commerce.Certificado DigitalAssim como o RG ou o CPF identificam uma pessoa, um certificado digital contm dados que funcionam como um certificado fsico, contendo informaes referentes a:pessoa ou entidade a quem foi emitido o certificado digital e respectivo endereo;sua chave pblica e respectiva validade;nmero de srie; enome da empresa que emitiu seu certificado (chamada de Autoridade Certificadora, ou AC) com respectiva assinatura digital.

Certificado DigitalQualquer modificao realizada em um certificado digital o torna invlido e por isso impossvel falsific-lo.O objetivo da assinatura digital no certificado indicar que uma outra entidade (a Autoridade Certificadora AC) garante a veracidade das informaes nele contidas.Fazendo uma analogia, a AC faz o papel dos rgos pblicos como a Secretaria de Segurana Pblica quando emite um RG, ou seja, ela garante quem voc , dando-lhe legitimidade atravs de sua assinatura digital.

Assinatura DigitalUm documento pode ser considerado genuno quando no sofreu alteraes. No mundo real, a autenticidade de um documento pode ser garantida pelo uso de assinaturas, rubricas e marcas especiais.No mundo virtual, este item pode ser assegurado atravs do uso de assinaturas digitais.Assinatura DigitalA assinatura digital visa garantir que um determinado documento no seja alterado aps assinado. Etapas:O autor, atravs de um software prprio, realiza uma operao e faz um tipo de resumo dos dados do documento que quer enviar, tambm chamado de funo hash. O Autor usa a chave privada de seu certificado digital para encriptar este resumo.Assinatura Digital

Complexidade de SenhasA funo primordial da senhaMtodos de quebra de senha:Deduo inteligenteAtaques de dicionrioAutomatizao ou Fora BrutaSugestes para a criao de senhas segurasNo utilize palavras existentes em dicionrios nacionais ou estrangeiros;No escreva suas senhas em papis, muito menos salve na mquina documentos digitais, como o Word ou o bloco de notas;No utilize informaes pessoais fceis de serem obtidas, tais como: nome ou sobrenome do usurio, nome da esposa, filhos ou animais de estimao, matrcula na empresa, nmeros de telefone, data de nascimento, cidades de origem, etc.;No utilize senhas constitudas somente por nmeros ou somente por letras;Utilize senhas com, pelo menos, seis caracteres;Misture caracteres em caixa baixa e alta (minsculas e maisculas);Sugestes para a criao de senhas segurasCrie senhas que contenham letras, nmeros e caracteres especiais (*,#,$,%...);Inclua na senha, pelo menos, um caractere especial ou smbolo;Utilize um mtodo prprio para lembrar das senhas que dispense registrar a mesma em qualquer local;No empregue senhas com nmeros ou letras repetidos em sequncia;No fornea sua senha para ningum;Altere as senhas, pelo menos, a cada 3 meses;Utilize senhas que possam ser digitadas rapidamente, sem que seja preciso olhar para o teclado;Para facilita a memorizao da senha possvel criar uma frase secreta e extrair delas as iniciais de cada letra. Por exemplo da frase melhor 1 pssaro na mo do que 2 voando se extrai Em1pnmdq2v.Curiosidadehttp://www.nakedpassword.com/