Ninguém quer que a segurança dos seus dados online seja comprometida. Infelizmente, vazamentos de dados de grande repercussão em empresas grandes e confiáveis não são incomuns. Esses vazamentos podem comprometer a segurança dos seus endereços de e-mail, senhas e qualquer outra informação que você tenha armazenado em um perfil específico. Alguns clientes criaram sua conta SuperSaaS há anos e ainda usam a mesma senha no SuperSaaS que usam em outro site. Há duas maneiras pelas quais tentamos nos defender contra hackers que querem usar essas listas para obter acesso.
Impedimos tentativas em massa de senhas, mas isso não protege totalmente
Primeiro, temos um sistema configurado para detectar qualquer pessoa que tente testar muitas senhas de uma vez. Esses endereços IP são bloqueados automaticamente, e nosso software de monitoramento nos alerta. No entanto, esse tipo de monitoramento não é totalmente eficaz porque os hackers podem empregar vários endereços IP e testar algumas senhas em cada um deles.
Verificamos sua senha em uma lista de senhas conhecidas como comprometidas
Como segunda linha de defesa, pegamos as listas de contas comprometidas que estão disponíveis online em empresas de pesquisa de segurança e verificamos se algum de nossos clientes aparece nelas. No site have i been pwned? você pode verificar se sua conta aparece na lista. Se encontrarmos uma senha correspondente, verificamos se o endereço de e-mail correspondente também aparece nessa lista e redefinimos a senha se ambos aparecerem.
Podemos verificar sua senha sem realmente saber qual ela é
É importante observar que não precisamos enviar sua senha a ninguém para essa verificação; na verdade, sua senha nunca sai de nossos servidores. Em vez disso, usamos uma impressão digital matemática da sua senha, um chamado hash criptográfico, e verificamos se esse hash aparece na lista. As impressões digitais são mantidas em segurança em uma lista separada que não sai do nosso escritório; embora, por si só, sejam inofensivas, elas não podem ser reconstruídas de volta em uma senha. Dessa forma, ninguém precisa lidar diretamente com as senhas reais, e nem saberemos qual senha você usou se encontrarmos uma correspondência na lista. Tudo o que saberemos é que ela está em uma lista de senhas comprometidas e que seria uma boa ideia redefini-la.
Redefinimos as senhas que encontramos na lista
Se o hash da sua senha de fato for encontrado na lista de senhas com hash, excluímos sua senha por precaução. Na próxima vez que você tentar fazer login, você será encaminhado para a tela de “senha esquecida”, para enviar para si um link de redefinição de senha por e-mail.
Para deixar claro, isso não significa que sua conta tenha sido comprometida. Significa apenas que redefinimos sua senha por precaução para evitar que ela seja comprometida no futuro. Acreditamos que o pequeno incômodo de ter uma senha apagada pesa menos do que o grande problema de uma conta violada. Claro, você pode falar conosco se tiver alguma dúvida sobre esse processo.
Esse processo de teste será repetido em intervalos regulares, por exemplo, se ocorrer outro grande vazamento e novas listas aparecerem online. Raramente falamos sobre nossa segurança, porque, desde que estejamos fazendo nosso trabalho, há pouco a comunicar. Essa é uma das poucas formas visíveis pelas quais estamos tentando oferecer uma experiência segura quando você usa a SuperSaaS. Fique tranquilo: como equipe, estamos trabalhando duro nos bastidores com cybersecurity todos os dias. Publicado originalmente em fevereiro de 2019.