Modified README
This commit is contained in:
Aragon
parent
ac1eeb8d60
commit
fd495f1f35
44
README.md
44
README.md
|
|
@ -16,25 +16,27 @@
|
|||
|
||||
### [5. Navegadores](#navegadores)
|
||||
|
||||
### [6. Clientes de Email](#clientes-de-email)
|
||||
### [6. Servidores de Email](#servidores-de-email)
|
||||
|
||||
### [7. PGP](#pgp)
|
||||
### [7. Clientes de Email](#clientes-de-email)
|
||||
|
||||
### [8. Metadata](#metadata)
|
||||
### [8. PGP](#pgp)
|
||||
|
||||
### [9. Envio de arquivos](#envio-de-arquivos)
|
||||
### [9. Metadata](#metadata)
|
||||
|
||||
### [10. Mapas](#mapas)
|
||||
### [10. Envio de arquivos](#envio-de-arquivos)
|
||||
|
||||
### [11. VPNs](#vpns)
|
||||
### [11. Mapas](#mapas)
|
||||
|
||||
### [12. Firewalls](#firewalls)
|
||||
### [12. VPNs](#vpns)
|
||||
|
||||
### [13. Sistemas Operacionais](#sistemas-operacionais)
|
||||
### [13. Firewalls](#firewalls)
|
||||
|
||||
### [14. Outros](#outros)
|
||||
### [14. Sistemas Operacionais](#sistemas-operacionais)
|
||||
|
||||
### [15. Guias](#guias)
|
||||
### [15. Outros](#outros)
|
||||
|
||||
### [16. Guias](#guias)
|
||||
|
||||
## Introdução
|
||||
|
||||
|
|
@ -88,18 +90,27 @@ Também, para simplificar descrição de compatibilidade dos aplicativos, entend
|
|||
|
||||
| Nome | Descrição | Disponível para | Dificuldade |
|
||||
| :------------- | :------------- | :------------ | :------------ |
|
||||
[Tor Browser](https://www.torproject.org/projects/torbrowser.html.en) | Browser do [Projeto Tor](https://www.torproject.org/) desenvolvido para navegação anônima através da rede tor. | Android, Desktop | Fácil
|
||||
[Tor Browser](https://www.torproject.org/download/) | Browser do [Projeto Tor](https://www.torproject.org/) desenvolvido para navegação anônima através da rede tor. | Android, Desktop | Fácil
|
||||
[Onion Browser](https://onionbrowser.com/) | Adaptação do Tor Browser para utilização no iOS. | iOS | Pendente
|
||||
[Brave](https://brave.com/) | Browser com bloqueador de publicidade e rastreadores nativo baseado no [Chromium](https://www.chromium.org/). | Mobile, Desktop | Fácil
|
||||
[Firefox Klar](https://f-droid.org/en/packages/org.mozilla.klar/) | Similar ao Brave, mas baseado no [Firefox](https://www.mozilla.org/firefox/). | Mobile | Fácil
|
||||
|
||||
## Servidores de email
|
||||
|
||||
| Nome | Descrição
|
||||
| :------------- | :------------- |
|
||||
[Disroot](https://disroot.org/) | Serviço de email hospedado por um coletivo libertário localizado nos Países Baixos
|
||||
[Guerrilla Mail](http://www.guerrillamail.com/) | Email temporário e descartável. Hospedado inclusive em um [hidden service](https://grrmailb3fxpjbwm.onion) acessível pela rede tor.
|
||||
[Protonmail](https://protonmail.com/) | Cliente de email com criptografia de ponta a ponta entre usuários do serviço. Também disponível através de [hidden service](https://protonirockerxow.onion). Requer que o acesso seja feito pelo webmail ou por um aplicativo mobile específico do Protonmail.
|
||||
[RiseUp](https://riseup.net/en/email) | Serviço de email hospedado por um coletivo libertário americano. Para criar uma conta, faz-se necessário que dois usuários do serviço o indiquem para que a abertura de conta aconteça. Isso, ou uma conta pode ser cedida após uma boa avaliação de uma carta de apresentação.
|
||||
[Tutanota](https://tutanota.com/) | Tal como o protonmail, mas sem hidden service e também sem exigir apresentar um número de celular ou email anterior para obter um cadastro. Requer que o acesso seja feito pelo webmail ou por um aplicativo mobile específico do Protonmail.
|
||||
|
||||
## Clientes de email
|
||||
|
||||
| Nome | Descrição | Disponível para | Dificuldade |
|
||||
| :------------- | :------------- | :------------ | :------------ |
|
||||
[Guerrilla Mail](http://www.guerrillamail.com/) | Email temporário e descartável. Hospedado inclusive em um [hidden service](https://grrmailb3fxpjbwm.onion) acessível pela rede tor. | Android, Browser | Fácil
|
||||
[Protonmail](https://protonmail.com/) | Cliente de email com criptografia de ponta a ponta entre usuários do serviço. Também disponível através de [hidden service](https://protonirockerxow.onion). | Mobile, Browser | Fácil
|
||||
[Tutanota](https://tutanota.com/) | Tal como o protonmail, mas sem hidden service e também sem exigir apresentar um número de celular ou email anterior para obter um cadastro. | Mobile, Browser | Fácil
|
||||
[K-9 Mail](https://k9mail.github.io/) | Cliente de email com funcionalidades para automatizar a criptografia de emails usando chaves PGP | Android | Médio
|
||||
[Thunderbird](https://www.thunderbird.net/en-US/) | O Cliente de email da Mozilla Foundation, possui diversos plugins que extendem suas capacidades, como o Enigmail
|
||||
|
||||
## PGP
|
||||
|
||||
|
|
@ -121,6 +132,7 @@ Também, para simplificar descrição de compatibilidade dos aplicativos, entend
|
|||
| :------------- | :------------- | :------------ | :------------ |
|
||||
[Firefox Send](https://send.firefox.com/) | Envio de arquivos privado, temporário e criptografado através dos servidores da Mozilla Foundation. | Browser | Fácil
|
||||
[OnionShare](https://onionshare.org/) | Envio de arquivos através de hidden services pela rede tor. | Desktop | Mediana
|
||||
[NextCloud](https://nextcloud.com/) | Sincronizador de arquivos. Arquivos podem ser hospedados em qualquer servidor habilitado, como aquele do [Disroot](cloud.disroot.org) | Todos | Fácil
|
||||
[TrebleShot](https://f-droid.org/packages/com.genonbeta.TrebleShot/) | Envie arquivos e aplicativos seguramente entre aparelhos na rede local | Android | Fácil
|
||||
|
||||
## Mapas
|
||||
|
|
@ -135,7 +147,7 @@ Também, para simplificar descrição de compatibilidade dos aplicativos, entend
|
|||
| Nome | Descrição| Disponível para | Dificuldade |
|
||||
| :------------- | :------------- | :------------ | :------------ |
|
||||
[Orbot](https://guardianproject.info/apps/orbot/) | Encaminhe a conexão à internet dos aplicativos através da rede tor. | Android | Fácil
|
||||
[Riseup VPN](https://f-droid.org/en/packages/se.leap.riseupvpn/) | Encaminha a conexão à internet do seu sistema operacional através dos servidores VPN da Riseup | Android | Fácil
|
||||
[Riseup VPN](https://riseup.net/en/vpn) | Encaminha a conexão à internet do seu sistema operacional através dos servidores VPN da Riseup | Desktop, Android | Fácil
|
||||
|
||||
## Firewalls
|
||||
|
||||
|
|
@ -154,7 +166,6 @@ Também, para simplificar descrição de compatibilidade dos aplicativos, entend
|
|||
[Debian](https://www.debian.org/) | O sistema operacional mantido pela Fundação Debian. Composto Inteiramente por software livre senão habilitado doutra forma pelo usuário. | Desktop e USB | Fácil
|
||||
[LineageOS for microG](https://lineage.microg.org/) | Um sistema operacional baseado em software livre que faz uso do microG como meio de substituir o funcionamento do Google Play Services | Android | Fácil
|
||||
[Parrot](https://www.parrotsec.org/) | Um sistema operacional orientado a testes de segurança baseado no Debian| Desktop e USB | Mediano
|
||||
[PureOS](https://www.pureos.net/) | Um sistema operacional baseado no Debian com diversas configurações e softwares orientados à segurança e privacidade pré-instalados. | Desktop e USB | Fácil
|
||||
[Qubes](https://www.qubes-os.org/) | Um sistema operacional resistente à adversários orientado à compartimentalização | Desktop | Difícil
|
||||
[Tails](https://tails.boum.org/) | Sistema operacional do tipo [Live USB](https://pt.wikipedia.org/wiki/Live_USB) otimizado e equipado com ferramentas de anonimização | USB | Mediano
|
||||
|
||||
|
|
@ -166,6 +177,7 @@ Também, para simplificar descrição de compatibilidade dos aplicativos, entend
|
|||
[Diceware Password Generator](https://github.com/jeffisaak/diceware-pass-gen) | Gerador de senhas baseado na aplicação do método [Diceware](https://en.wikipedia.org/wiki/Diceware) nas [listas de palavras do EFF](https://www.eff.org/deeplinks/2016/07/new-wordlists-random-passphrases) | Android | Fácil
|
||||
[firejail](https://firejail.wordpress.com) | [Sandbox](https://en.wikipedia.org/wiki/Sandbox_(computer_security)) compatível com diversas aplicações. | Linux | Mediano
|
||||
[Veracrypt](https://veracrypt.fr/en) | Criptografia com senha de arquivos e volumes | Desktop | Fácil
|
||||
[Umbrella](https://secfirst.org/umbrella/) | Guia e checklist de segurança portátil | Mobile | Fácil
|
||||
|
||||
## Guias
|
||||
|
||||
|
|
|
|||
|
|
@ -1,27 +1,32 @@
|
|||
> Slide 1
|
||||
|
||||
### Roteiro
|
||||
|
||||
# Cipher: O que é uma senha forte na prática?
|
||||
|
||||
- Apresentação pessoal, agradecimentos.
|
||||
Olá você que nos acompanha, eu sou Aragão e esta é a palestra "O que é uma senha forte na prática (interrogação)". Esta foi uma palestra a qual ministrei na CryptoRave 2019 e agora estamos disponbilizando online para dar início a uma série de vídeos entitulada "Cipher" onde abordaremos, ponto a ponto, video a video, técnicas de autodefesa no âmbito digital e a teoria que as fundamentam.
|
||||
|
||||
Esta palestra foi baseada em um artigo de mesmo nome que escrevi, cujo link vocês encontram na descrição deste vídeo.
|
||||
|
||||
> Slide 2
|
||||
|
||||
### 1. Resumo - 5 min.
|
||||
|
||||
Nessa palestra realizaremos uma demonstração de como senhas são comumente armazenadas, para autenticação de usuários em serviços e dispositivos, e como estas senhas podem ser eventualmente descobertas por terceiros. À partir disso, mostraremos como se precaver contra isso no processo de criação de senha e traçaremos algumas conclusões. Finalmente, abriremos espaço para dúvidas e colocações da audiência.
|
||||
Para responder a questão posta pelo título desta palestra iremos realizar uma introdução ao tópico da autenticação por senha, para então descrever onde e como senhas são comumente armazenadas, e como estas senhas podem ser eventualmente descobertas por terceiros. À partir disso, mostraremos como se precaver contra isso no processo de criação de senha e traçaremos algumas conclusões.
|
||||
|
||||
> Slide 3
|
||||
|
||||
### 2. Apresentação do coletivo - 5 min.
|
||||
|
||||
Mas antes, gostaria de apresentar brevemente o coletivo do qual faço parte: o Paradigma. Em suma, um coletivo hacker dedicado à pesquisa, desenvolvimento e aplicação de técnicas e tecnologias diversas para o fim de construir uma sociedade mais justa.
|
||||
Mas antes de começar, gostaria de apresentar brevemente o coletivo do qual faço parte: o Paradigma. Em suma, um coletivo hacker dedicado à pesquisa, desenvolvimento e aplicação de técnicas e tecnologias diversas para o fim de construir uma sociedade mais justa.
|
||||
|
||||
> Slide 4
|
||||
|
||||
Fazemos isso organizando encontros abertos, regulares, buscando nos desenvolver no uso de ferramentas de software livre e segurança da informação de maneira colaborativa, para então compartilhar este conhecimento adiquirido em documentação, oficinas, novas ferramentas, e palestras, como esta.
|
||||
|
||||
Este é um coletivo formado recentemente, fundado inclusive entre participantes deste evento. Então, estejam convidados à participar em nossos encontros.
|
||||
Para participar no nosso coletivo ou nossos encontros, vocês encontrarão todas as informações de contato disponíveis na descrição deste vídeo.
|
||||
|
||||
Agora, sem mais delongas.
|
||||
|
||||
> Slide 5
|
||||
|
||||
|
|
@ -252,7 +257,7 @@ Portanto, Reinhold sugere um método de criação de senhas que utiliza **real a
|
|||
Então jogamos os dados e lemos os resultados em um mesmo sentido, como da esquerda para a direita e de cima para baixo. Suponhamos que tiremos o resultado "2,4,3,4,1"
|
||||
|
||||
```
|
||||
> bat -p /dev/random | tr -dc '[1-6]' | fold -w 5 | head -1
|
||||
> cat /dev/random | tr -dc '1-6' | fold -w 5 | head -1
|
||||
24341
|
||||
> grep 23615 7776palavras-numeradas-2e.txt
|
||||
23615 cone
|
||||
|
|
@ -260,15 +265,13 @@ Então jogamos os dados e lemos os resultados em um mesmo sentido, como da esque
|
|||
Assim, obtemos o resultado "cone". Repetindo este processo pelo menos mais seis vezes, conforme a recomendação de Reinhold, obtemos a seguinte frase:
|
||||
|
||||
```
|
||||
> begin
|
||||
set -l passphrase
|
||||
while test (count $passphrase) -ne 6
|
||||
set -l dice (bat -p /dev/random | tr -dc '[1-6]' | fold -w 5 | head -1)
|
||||
set -a passphrase (grep -oP "(?<=$dice ).+" 7776palavras-numeradas-2e.txt 2>/dev/null)
|
||||
end
|
||||
echo $passphrase
|
||||
end
|
||||
fortuna carona estupor acabado berro inovar
|
||||
> grep {-e }(bat -p /dev/random | tr -dc '1-6' | fold -w 5 | head -6) 7776palavras-numeradas-2e.txt
|
||||
34266 fortuna
|
||||
21555 carona
|
||||
32341 estupor
|
||||
11236 acabado
|
||||
15515 berro
|
||||
41241 inovar
|
||||
```
|
||||
|
||||
Reinhold sugere que façamos este procedimento em um espaço reservado, com cortinas fechadas, e anotemos o resultado num pedaço de papel sobre uma superfície rígida. Enquanto não memorizarmos a senha em questão, carregamos este papel conosco. Depois, o queimamos e pulverizamos suas cinzas.
|
||||
|
|
@ -357,23 +360,23 @@ Podemos concluir, portanto, que:
|
|||
|
||||
> Slide 37
|
||||
|
||||
- Como método de autenticação, senhas são prevalentes e ainda serão por mais algum tempo.
|
||||
1. Como método de autenticação, senhas são prevalentes e ainda serão por mais algum tempo.
|
||||
|
||||
> Slide 38
|
||||
|
||||
- Uma maneira eficiente e massiva para um adversário obter senhas de terceiros é conseguindo acesso a servidores onde estes usuários possuem contas e extrair uma cópia das hashes que correspondem à suas senhas.
|
||||
2. Uma maneira eficiente e massiva para um adversário obter senhas de terceiros é conseguindo acesso a servidores onde estes usuários possuem contas e extrair uma cópia das hashes que correspondem à suas senhas.
|
||||
|
||||
> Slide 39
|
||||
|
||||
- Essas hashes são então submetidas à sucessivas adivinhações que, dependendo do poder computacional do adversário, vão de centenas de milhões à centenas de bilhões por segundo. Estes ataques são geralmente informados por meio de dicionários a testar primeiramente as combinações mais relevantes.
|
||||
3. Essas hashes são então submetidas à sucessivas adivinhações que, dependendo do poder computacional do adversário, vão de centenas de milhões à centenas de bilhões por segundo. Estes ataques são geralmente informados por meio de dicionários a testar primeiramente as combinações mais relevantes.
|
||||
|
||||
> Slide 40
|
||||
|
||||
- Espontaneamente construir uma senha improvável, mesmo quando informado das combinações mais prováveis, é um método limitado em termos da força resultante da senha, e impraticável para proteger um grande número de pessoas.
|
||||
4. Espontaneamente construir uma senha improvável, mesmo quando informado das combinações mais prováveis, é um método limitado em termos da força resultante da senha, e impraticável para proteger um grande número de pessoas.
|
||||
|
||||
> Slide 41
|
||||
|
||||
- Em contra partida, Diceware é um método de simples utilização e que gera senhas com **real aleatoriedade**, a senha resultante é tão aleatória que a este tempo desconhecemos computadores que, mesmo informados do método, sequer possuem a capacidade de percorrer um número relevante de possibilidades em um período de tempo razoável.
|
||||
5. Em contra partida, Diceware é um método de simples utilização e que gera senhas com **real aleatoriedade**, a senha resultante é tão aleatória que a este tempo desconhecemos computadores que, mesmo informados do método, sequer possuem a capacidade de percorrer um número relevante de possibilidades em um período de tempo razoável.
|
||||
|
||||
> Slide 42
|
||||
|
||||
|
|
|
|||
File diff suppressed because one or more lines are too long
|
Before Width: | Height: | Size: 15 MiB After Width: | Height: | Size: 15 MiB |
Binary file not shown.
Loading…
Reference in New Issue