Predefinição:Identidade comprometida – Wikipédia, a enciclopédia livre

Identidade comprometida: {{{1}}} é um compromisso SHA-512 com a identidade real deste usuário.

Documentação da predefinição[ver] [editar] [histórico] [purgar]

Esta predefinição utiliza TemplateStyles:

Predefinição:Identidade comprometida/styles.css

Esta predefinição permite que você comprove posteriormente que era você quem controlava sua conta no dia em que ela foi inserida. Isso é feito adicionando um código (chamado "hash") à sua página de usuário para que, caso sua conta seja comprometida, você possa convencer terceiros de que realmente é a pessoa por trás do nome de usuário.

Sobre

[editar código]

O objetivo desta predefinição é auxiliar no caso — ainda que improvável — de sua conta ser comprometida. Se você tiver divulgado sua identidade real, essa identidade poderá ser usada para restabelecer contato com você caso sua conta seja comprometida; lembre-se, porém, de que, nesse cenário, não seria possível entrar em contato por meio da própria conta, já que ela pode estar sob o controle de outra pessoa. Contudo, muitos usuários da Wikipédia não divulgam suas identidades reais ou divulgam informações tão limitadas que pode ser difícil identificá-los.

Isto não substitui a necessidade de uma senha forte nem o registro de um endereço de e-mail na conta. Você ainda deve fazer tudo o que estiver ao seu alcance para evitar que sua conta seja comprometida, incluindo o uso de uma senha forte e o cuidado de sair da conta ao utilizar computadores compartilhados.

Se você possuir uma, também pode ser útil compartilhar sua chave pública PGP. Mesmo com todas as precauções, uma conta ainda pode ser comprometida, por exemplo, por meio de um cavalo de Troia ou de um ataque de força bruta à senha. Essa medida deve ser usada apenas como último recurso.

Uso

[editar código]

A ideia é usar uma função hash criptográfica: você escolhe uma sequência secreta conhecida apenas por você, aplica uma função hash unidirecional a ela e publica o resultado em algum lugar. É inviável determinar a sequência secreta original a partir do hash; portanto, um invasor que comprometa a conta provavelmente não conseguiria fornecer a sequência correta.

Sintaxe

[editar código]

{{Identidade comprometida|hash|função hash usada|background=cor CSS|border=cor CSS}}

O texto em itálico deve ser substituído pela entrada apropriada ou o parâmetro correspondente deve ser removido. Os parâmetros são representados no formato parâmetro=valor e separados por barras verticais (|).

Substitua hash pelo valor gerado a partir da sua sequência secreta. Este parâmetro sem nome equivale ao parâmetro 1.
O parâmetro função hash usada, se não for informado, assume por padrão SHA-512 (altamente recomendado).
O parâmetro background, se omitido, assume o valor padrão #E0E8FF (azul claro; ver Tripleto hexadecimal).
O parâmetro border, se omitido, também assume #E0E8FF.
O parâmetro extra-style pode ser usado para estilos adicionais, como text-align:center.

Por exemplo, se o seu hash for "1eb00f7cdeaa38f5e9aec8f065b956acf94d416a4a40c1fb5d1dd23b857ba6fe" usando SHA-256, e você quiser uma caixa laranja clara com borda preta, use o seguinte código:

{{Identidade comprometida|1eb00f7cdeaa38f5e9aec8f065b956acf94d416a4a40c1fb5d1dd23b857ba6fe|SHA-256|background=#FC9|border=#000}}

Para produzir

Identidade comprometida: 1eb00f7cdeaa38f5e9aec8f065b956acf94d416a4a40c1fb5d1dd23b857ba6fe é um compromisso SHA-256 com a identidade real deste usuário.

Obtendo um hash

[editar código]

Utilize a ferramenta de navegador da Fastily ou um software local, como os utilitários sha512sum fornecidos pelo GNU Core Utilities. O uso de outros geradores de hash online não é recomendado, pois estão fora do controle da Wikimedia e não devem ser considerados confiáveis para processar sua sequência secreta.

Método ultrasseguro

[editar código]

Sua string secreta deve começar ou terminar com uma longa sequência de texto aleatório, como "fFfwq0DuDmMXj8hYTM3NTKeDhk". Isso garante que ataques de força bruta e de dicionário não consigam inferir sua identidade a partir do seu hash público. Não use o texto aleatório de exemplo fornecido aqui; você deve gerar o seu próprio.
Sua sequência secreta deve especificar informações suficientes sobre sua identidade para que, caso fosse revelada, você pudesse comprovar, sem ambiguidade, que corresponde àquela identidade. É recomendável ter pelo menos duas formas de contato. Por exemplo, sua sequência secreta poderia incluir um número de telefone e um endereço de e-mail para contato. No entanto, ela não deve conter dados que você não esteja disposto a compartilhar com a equipe administrativa da Wikipédia.
Evite escolher uma senha que represente sua identidade e que possa ficar completamente desatualizada. Por exemplo, pode ser ruim escolher uma senha que especifique apenas seu número de telefone, pois esse número pode mudar.
Se você quiser alterar sua senha, faça isso, mas mantenha um registro de todas as suas senhas antigas. É melhor revelá-las todas caso precise confirmar sua identidade, pois isso comprovará que você é a mesma pessoa que usou sua conta desde o momento em que a identidade confirmada foi publicada.
Opções avançadas:
- Se você possui contas públicas em outros sites com senhas diferentes, liste os URLs dessas contas. Posteriormente, você poderá realizar uma ação específica para comprovar que é o proprietário dessas contas. Por exemplo, se você possui uma conta no YouTube, um administrador pode fornecer uma sequência de caracteres que você poderá inserir em um comentário de vídeo.
- Você pode incluir informações como o número da sua carteira de motorista, número de identificação nacional ou número do passaporte. Posteriormente, você poderá fornecer cópias desses documentos como prova adicional de sua identidade.
- Outra opção é tirar uma foto ou gravar um vídeo de si mesmo, gerar um hash SHA do arquivo resultante e incluir esse hash na sua senha secreta. Guarde o arquivo. Posteriormente, você poderá fornecê-lo a um administrador, que poderá fazer uma videochamada com você e comparar o arquivo com sua aparência atual. Isso continuará sendo eficaz mesmo que o invasor tenha comprometido todos os seus meios de contato listados.

Exemplo

Nome completo, múltiplas formas de contato, informações de contato de amigos de confiança e uma sequência aleatória:

Joe Schmoe. joe@example.com. 555-123-3456. P.O. Box 1234, San Jose, CA. My best friend Bob's email: bob@example.com. fFfwq0DuDmMXj8hYTM3NTKeDhk

que resulta em um hash SHA-512 de

92938b5423a1793d836333694cf0e55d92b42fb0c14ffcfe8349b51e86bceedcf9631398c31e1afdf114936502ca95577fa9014c26d718e77a235eb889ed56f3

Método de senha

[editar código]

Para uma maneira mais simples de escolher uma senha, você pode usar uma frase-passe, como ilustrado nesta tirinha do XKCD, ou o método Diceware. A frase-senha deve ser algo fácil de lembrar para você, mas difícil de adivinhar para outra pessoa, como uma piada interna ou um segredo. Como de costume, quanto mais longa a frase-senha, mais segura ela é. Com o método Diceware, com um trilhão de tentativas por segundo, uma frase-senha de 4 palavras pode ser quebrada em meia hora, uma de 5 palavras em 6 meses, uma de 6 palavras em 3 500 anos e uma de 7 palavras em 27 milhões de anos. Se você criar sua própria frase-senha, ela será menos segura, pois algumas palavras têm maior probabilidade de serem combinadas com outras (por exemplo, Você" é frequentemente seguido por "são", mas raramente por "citoplasma). Você também tem maior probabilidade de usar palavras comuns (meu, você, é, e, o, de) do que palavras obscuras (agastopia, "'erináceo, impignorar, kakorrhaphiophobia).

Exemplos (bons)

Esses exemplos seriam bons se não tivessem sido publicados aqui (e em outros lugares), então não use nenhum deles exatamente iguais (ou variantes simples) - isso serve apenas para ilustrar alguns formatos de boas senhas.

String: grampo de bateria de cavalo correto
String: Quem você vai chamar? Fantasmas não existem, seu maluco!
String: Eu gosto bastante de Battlefield Earth.

Exemplos (ruins)

String: Meu nome é Bob.
String: Eu nasci em 1982.
String: Qualquer palavra ou anos/data específicos.
String: Quaisquer citações famosas ou trechos de livros.

Redefinição de senha

[editar código]

Quem desejar redefinir a senha por meio do processo de Identidade Comprometida deve esgotar todas as outras opções primeiro. Não existe um procedimento rotineiro para redefinição de senhas por esse meio, e tal solicitação exigirá tempo e a concordância de várias pessoas envolvidas na análise do caso.

Antes de iniciar o processo, confirme que ainda se lembra da sua senha digitando-a em uma ferramenta segura para validação local. Após essa confirmação, siga as orientações descritas em A:CCC § Problemas e soluções, que recomendam entrar em contato por e-mail com cawikimedia.org e não divulgar a senha publicamente.

Ver também

[editar código]

Autenticação de dois fatores

A documentação acima é transcluída de Predefinição:Identidade comprometida/doc. (editar | histórico)
Editores podem experimentar nas páginas de teste (criar | espelhar) e de exemplos para testes (criar) desta predefinição.
Adicione categorias à subpágina /doc. Subpáginas desta predefinição.