Dadas as informações imprecisas que vêm sendo veiculadas nas mídias sociais, ocasionando preocupação na comunidade com relação a vazamentos de senhas, a SIn vem esclarecer que:
- A equipe vem executando ações constantes de forma a reforçar a segurança de seus sistemas, o que envolve, além de aspectos tecnológicos, procedimentos de uso;
- As senhas dos usuários não são armazenadas em texto plano (legível) nos bancos de dados institucionais, visando dificultar a exposição das informações em caso de possíveis vazamentos; as senhas são armazenadas na forma de hash criptográfico e existe registro de log das alterações realizadas;
- Observou-se que todas as situações de possíveis vazamentos das quais a SIn foi notificada ou tomou conhecimento até o momento estão relacionadas a senhas fracas ou a senhas vazadas devido ao uso de dispositivos móveis/notebooks que não foram configurados corretamente de acordo com as instruções da rede sem fio Eduroam, divulgadas no site http://wifi.ufscar.br e em panfletos informativos;
- A fim de mitigar o uso de senhas fracas ou vazadas em outras circunstâncias, em 27/05/2020 foi incorporado ao procedimento de redefinição de senhas um processo de validação da nova senha, confrontando-a com as que foram comprometidas e disponibilizadas no site https://haveibeenpwned.com;
- Conforme comunicado realizado em 28/08/2020, a SIn notificou por e-mail automático os usuários que possuíam senhas fracas, orientando-os a redefinir a senha por meio do sistema SAGUI (https://sistemas.ufscar.br/senha); essa ação tratou-se, também, de serviço de utilidade pública, a fim de informar aos usuários que essas senhas não deveriam ser utilizadas em outros sites ou serviços, uma vez que a senha desses usuários havia sido automaticamente invalidada nos Sistemas UFSCar;
- No dia 29/10/2020, ao tomar conhecimento das informações veiculadas nas mídias sociais, a SIn tomou a precaução de realizar nova verificação, para garantir que o sistema estava funcionando como esperado; constatou-se que nenhuma das senhas atualmente presentes na base de dados consta nas bases de senhas vazadas; a verificação foi realizada, simultaneamente, pelo código em produção no sistema SAGUI e por uma implementação independente do código, a fim de afastar a possibilidade de que erros de programação pudessem causar um diagnóstico incorreto;
Sendo assim, é desnecessário que os usuários cujo Número UFSCar conste nas listas que estão sendo veiculadas nas mídias sociais preocupem-se com trocar suas senhas nos Sistemas UFSCar. Reforçamos que todas as senhas comprometidas foram automaticamente invalidadas e não podem mais ser utilizadas nos Sistemas UFSCar.
Aproveitamos a oportunidade para reforçar as boas práticas recomendadas a comunidade no InfoRede publicado no dia 28/08 e que está disponível no site da SIn em: https://www.sin.ufscar.br/noticias/implantacao-de-novos-procedimentos-para-aumentar-a-seguranca-dos-sistemas-da-ufscar
São elas:
- EDUROAM: realizem as configurações da rede Eduroam por meio dos tutoriais disponíveis no site http://wifi.ufscar.br/. A configuração da rede por métodos manuais é desencorajada, pois pode colocar a senha do usuário em risco. Detalhes sobre os riscos e meios adequados de configuração do Eduroam estão no site da SIn. Caso você tenha configurado a rede Eduroam sem seguir essas instruções, seu usuário e senha podem estar comprometidos. Lembre-se que a UFSCar adota uma senha única para acesso à rede e para os sistemas acadêmicos e administrativos, portanto o vazamento da sua senha pode ter consequências drásticas. Recomendamos, nesse caso, que a senha seja imediatamente redefinida.
- Conta de E-mail institucional: habilite a autenticação de dois fatores. Trata-se de uma camada de segurança a mais à conta de e-mail, protegendo a conta em caso de comprometimento da senha. Além da senha, o sistema exigirá um dispositivo, como smartphone, para confirmar o acesso do usuário. A autenticação de dois fatores será opcional aos usuários neste momento, mas a SIn recomenda fortemente aos usuários que ativem o recurso para tornar suas contas mais seguras. Mais informações sobre o funcionamento desse método de autenticação podem ser obtidas aqui. Aos usuários que ainda não migraram suas contas de e-mail para o G-Suite, recomendamos que o façam o quanto antes. A camada de proteção adicional citada não está disponível para as contas que ainda não foram migradas para o G-Suite.
- Frisamos que a SIn não solicita senhas aos usuários em nenhuma circunstância. Caso você receba algum e-mail solicitando a sua senha, pedimos que desconsidere e avise a SIn por meio da Central de Serviços (servicos.ufscar.br).
- Orientamos aos usuários que não utilizem a mesma senha em mais de um domínio. Nesse sentido, para aumentar a segurança dos nossos usuários, é importante que a senha escolhida para uso nos sistemas da UFSCar não sejam usadas em outros sites.