Glossário de segurança e criptografia
Explicações em linguagem simples dos conceitos de segurança por trás do Vaulted.
AES-256-GCM
AES-256-GCM é um algoritmo de criptografia simétrica que combina o Advanced Encryption Standard com uma chave de 256 bits e o modo Galois/Counter, oferecendo tanto a confidencialidade dos dados quanto a verificação de integridade integrada em uma única operação.
Arquitetura zero-knowledge
A arquitetura zero-knowledge é um design de sistema em que o provedor do serviço não tem nenhuma capacidade de acessar, ler ou descriptografar os dados que armazena em nome dos usuários, porque todas as operações de criptografia e descriptografia acontecem no lado do cliente.
Assinatura digital
Uma assinatura digital é um esquema criptográfico que usa uma chave privada para gerar uma assinatura sobre uma mensagem ou documento, que qualquer pessoa com a chave pública correspondente pode verificar para confirmar a autenticidade e a integridade dos dados.
Ataque de força bruta
Um ataque de força bruta é um método de criptoanálise que tenta determinar uma senha, uma chave de criptografia ou outro segredo testando sistematicamente todas as combinações possíveis até encontrar o valor correto.
Ataque de intermediário
Um ataque de intermediário (MITM) é um ciberataque em que um adversário intercepta de forma secreta — e potencialmente altera — as comunicações entre duas partes que acreditam estar se comunicando diretamente entre si.
Autenticação multifator
A autenticação multifator (MFA) é um método de autenticação que exige que um usuário apresente duas ou mais credenciais independentes de categorias distintas — algo que sabe, algo que tem ou algo que é — antes de receber acesso.
Autoridade de certificação
Uma autoridade de certificação (CA) é uma organização externa confiável que emite, assina e gerencia os certificados digitais usados para verificar a identidade de entidades — como sites, organizações ou dispositivos — dentro de uma infraestrutura de chave pública.
bcrypt
O bcrypt é uma função de hashing de senhas baseada na cifra de bloco Blowfish que incorpora um salt integrado e um fator de custo configurável, projetada para ser computacionalmente custosa de um modo que resiste especificamente à aceleração por GPU e hardware especializado.
Compartilhamento de segredos
O compartilhamento de segredos, no contexto da gestão de credenciais, é a prática de transmitir informações sensíveis — como senhas, chaves de API ou chaves privadas — entre partes por meio de um canal projetado para minimizar a exposição, limitar a persistência e impedir o acesso não autorizado.
Confiança zero
A confiança zero é uma arquitetura de segurança que elimina a confiança implícita baseada na localização de rede e, em vez disso, exige a verificação contínua da identidade, do estado do dispositivo e da autorização para cada solicitação de acesso a cada recurso.
Controle de acesso
O controle de acesso é o conjunto de mecanismos e políticas de segurança que regulam quais usuários, sistemas ou processos podem acessar recursos específicos e quais ações estão autorizados a realizar sobre esses recursos.
Controle de acesso baseado em papéis
O controle de acesso baseado em papéis (RBAC) é um modelo de controle de acesso em que as permissões são atribuídas a papéis — como administrador, editor ou leitor — e os usuários obtêm permissões ao serem atribuídos a esses papéis, em vez de receberem permissões diretamente em contas individuais.
Criptografia assimétrica
A criptografia assimétrica é um sistema criptográfico que usa um par de chaves matematicamente relacionadas — uma chave pública que qualquer pessoa pode usar para criptografar dados e uma chave privada que apenas o proprietário possui para descriptografá-los —, eliminando a necessidade de compartilhar uma chave secreta com antecedência.
Criptografia de ponta a ponta
A criptografia de ponta a ponta (E2EE) é um método de comunicação em que os dados são criptografados no dispositivo do remetente e só podem ser descriptografados no dispositivo do destinatário, garantindo que nenhum intermediário, incluindo o provedor do serviço, consiga acessar o conteúdo em texto simples.
Criptografia em repouso
A criptografia em repouso é a prática de armazenar dados de forma criptografada em armazenamento persistente — como discos, bancos de dados ou mídias de backup — de modo que os dados permaneçam protegidos mesmo que o meio de armazenamento seja comprometido.
Criptografia em trânsito
A criptografia em trânsito é a prática de criptografar os dados enquanto eles viajam entre dois sistemas por uma rede, normalmente implementada por meio do TLS (Transport Layer Security) ou de seu predecessor, o SSL, para impedir a interceptação e a adulteração.
Criptografia no lado do cliente
A criptografia no lado do cliente é a prática de criptografar os dados no dispositivo do usuário — normalmente em um navegador ou aplicativo nativo — antes de transmiti-los a um servidor, garantindo que o servidor só receba e armazene dados criptografados.
Criptografia simétrica
A criptografia simétrica é um método criptográfico em que a mesma chave secreta é usada tanto para a criptografia quanto para a descriptografia. Tanto o remetente quanto o destinatário precisam possuir a chave idêntica para criptografar e descriptografar os dados.
Derivação de chave
A derivação de chave é o processo de transformar um valor de origem — normalmente uma senha, uma frase-senha ou um segredo compartilhado — em uma ou mais chaves criptográficas por meio de um algoritmo determinístico projetado para produzir material de chave de alta entropia.
Encapsulamento de chave
O encapsulamento de chave é uma operação criptográfica que criptografa uma chave (a chave de carga útil) usando outra chave (a chave de encapsulamento ou chave de criptografia de chaves), oferecendo proteção de confidencialidade e integridade ao material de chave durante seu armazenamento ou transporte.
Engenharia social
A engenharia social é uma classe de técnicas de ataque que manipulam a psicologia humana — a confiança, o medo, a urgência ou a disposição de ajudar — para enganar as pessoas e fazê-las divulgar informações confidenciais, conceder acesso não autorizado ou realizar ações que comprometam a segurança.
Escalonamento de privilégios
O escalonamento de privilégios é uma técnica de ataque em que um adversário explora uma vulnerabilidade, uma má configuração ou uma credencial roubada para obter permissões de nível superior às autorizadas originalmente, passando normalmente de um usuário comum a uma conta de administrador ou de root.
Exfiltração de dados
A exfiltração de dados é a transferência não autorizada de dados dos sistemas de uma organização para um local externo controlado por um atacante, seja por meio de técnicas baseadas em rede, mídias físicas ou contas comprometidas.
Fragmento de URL
Um fragmento de URL é a parte de uma URL que aparece depois do símbolo de cerquilha (#). Conforme o RFC 3986, os navegadores processam os fragmentos apenas no lado do cliente e nunca os incluem nas requisições HTTP enviadas ao servidor.
GDPR
O Regulamento Geral sobre a Proteção de Dados (GDPR) é uma lei abrangente de proteção de dados promulgada pela União Europeia que regula como as organizações coletam, tratam, armazenam e compartilham os dados pessoais das pessoas dentro da UE e do Espaço Econômico Europeu.
Gestão de credenciais
A gestão de credenciais é o conjunto de políticas, processos e ferramentas usados para lidar com segurança com todo o ciclo de vida das credenciais de acesso, incluindo sua criação, armazenamento seguro, compartilhamento controlado, rotação periódica e revogação oportuna.
Gestão de segredos
A gestão de segredos é a disciplina de armazenar, distribuir, rotacionar e auditar com segurança credenciais sensíveis — como chaves de API, senhas, tokens, certificados e chaves de criptografia — em aplicações, infraestrutura e equipes.
Hashing de senhas
O hashing de senhas é a prática de aplicar uma função criptográfica de mão única e computacionalmente custosa a uma senha — combinada com um salt único — para produzir um resumo de tamanho fixo que permite verificar a senha sem armazená-la de forma recuperável.
HIPAA
A HIPAA (Health Insurance Portability and Accountability Act) é uma lei federal dos Estados Unidos que estabelece padrões nacionais para proteger a privacidade e a segurança das informações de saúde identificáveis individualmente, conhecidas como Informações de Saúde Protegidas (PHI).
HMAC
HMAC (Hash-Based Message Authentication Code) é um mecanismo criptográfico que combina uma função hash criptográfica com uma chave secreta para produzir um código de autenticação de tamanho fixo, permitindo que o destinatário verifique tanto a integridade quanto a autenticidade de uma mensagem.
Infraestrutura de chave pública
A infraestrutura de chave pública (PKI) é um conjunto abrangente de papéis, políticas, hardware, software e procedimentos usados para criar, gerenciar, distribuir, armazenar e revogar certificados digitais e os pares de chaves pública-privada associados.
JSON Web Token
Um JSON Web Token (JWT) é um formato de token compacto e seguro para URL, definido pelo RFC 7519, que representa reivindicações entre duas partes como um objeto JSON assinado digitalmente, permitindo a autenticação sem estado e a troca de informações.
Login único
O login único (SSO) é um esquema de autenticação que permite a um usuário se autenticar uma única vez perante um provedor de identidade central e, em seguida, acessar múltiplas aplicações e serviços independentes sem que lhe sejam solicitadas credenciais novamente.
Mensagens autodestrutivas
Mensagens autodestrutivas são mensagens ou dados compartilhados projetados para serem excluídos de forma automática e permanente depois de acessados um número determinado de vezes ou após a expiração de um período de tempo definido.
Nonce
Um nonce (number used once, número usado uma única vez) é um valor único, normalmente aleatório ou sequencial, que é usado exatamente uma vez em uma operação criptográfica para garantir que entradas idênticas produzam saídas diferentes, evitando os ataques de repetição e a análise de padrões.
OAuth
O OAuth 2.0 é um framework de autorização aberto que permite a uma aplicação de terceiros obter acesso limitado aos recursos de um usuário em outro serviço — como seu perfil ou seus dados — sem que o usuário compartilhe sua senha com o terceiro.
PBKDF2
PBKDF2 (Password-Based Key Derivation Function 2) é um algoritmo de derivação de chave definido no RFC 8018 que aplica uma função pseudoaleatória — normalmente HMAC-SHA-256 — de forma iterativa a uma senha e a um salt para produzir uma chave derivada que é computacionalmente cara de quebrar por força bruta.
PCI-DSS
O PCI-DSS (Payment Card Industry Data Security Standard) é um conjunto de requisitos de segurança estabelecidos pelo PCI Security Standards Council para proteger os dados dos portadores de cartões e garantir que todas as organizações que processam, armazenam ou transmitem informações de cartões de crédito mantenham um ambiente seguro.
Phishing
O phishing é um ataque de engenharia social em que um adversário envia comunicações fraudulentas — normalmente e-mail, SMS ou mensagens instantâneas — que se passam por uma entidade confiável para enganar os destinatários e fazê-los revelar informações sensíveis, clicar em links maliciosos ou instalar malware.
Prevenção de perda de dados
A prevenção de perda de dados (DLP) é um conjunto de estratégias, ferramentas e processos projetados para detectar e impedir a transmissão, o vazamento ou a exfiltração não autorizada de dados sensíveis para fora de uma organização, seja intencional ou acidental.
Princípio do menor privilégio
O princípio do menor privilégio é um conceito de segurança que estabelece que todo usuário, processo ou sistema deve receber apenas o nível mínimo de acesso — e pelo menor tempo possível — necessário para desempenhar sua função autorizada.
Ransomware
O ransomware é um malware que criptografa os arquivos de uma vítima ou a bloqueia para fora de seus sistemas, e depois exige um pagamento — normalmente em criptomoeda — em troca da chave de descriptografia ou da restauração do acesso.
Registro de auditoria
Um registro de auditoria é um histórico cronológico e à prova de adulteração dos eventos e atividades de um sistema — incluindo as ações dos usuários, as tentativas de acesso, as mudanças de configuração e os eventos de segurança — mantido para fins de responsabilização, conformidade regulatória e análise forense.
Rotação de chaves
A rotação de chaves é a prática de segurança de substituir periodicamente as chaves criptográficas ou credenciais ativas por outras recém-geradas, aposentando ou revogando as antigas, para limitar a janela de exposição caso uma chave seja comprometida.
RSA
RSA (Rivest-Shamir-Adleman) é um algoritmo criptográfico assimétrico que deriva sua segurança da dificuldade computacional de fatorar o produto de dois grandes números primos, usado para criptografia, assinaturas digitais e troca segura de chaves.
Salt (criptografia)
Um salt criptográfico é um valor aleatório que se combina com uma senha ou outra entrada antes de ela ser processada por uma função hash ou uma função de derivação de chave, garantindo que entradas idênticas produzam saídas diferentes e frustrando as tabelas de ataque pré-computadas.
Segredos efêmeros
Segredos efêmeros são itens de dados sensíveis — como senhas, tokens ou chaves — projetados intencionalmente para existir por um período de tempo limitado ou um número limitado de acessos antes de serem destruídos de forma permanente e irrecuperável.
SHA-256
SHA-256 (Secure Hash Algorithm de 256 bits) é uma função hash criptográfica da família SHA-2 que recebe uma entrada de comprimento arbitrário e produz um resumo fixo de 256 bits (32 bytes), projetada para ser uma função unidirecional em que a saída não revela nada sobre a entrada.
SOC 2
O SOC 2 (System and Organization Controls 2) é um framework de auditoria desenvolvido pela AICPA que avalia os controles de uma organização de serviços relacionados à segurança, à disponibilidade, à integridade do processamento, à confidencialidade e à privacidade, conhecidos como os Critérios de Serviços de Confiança.
Texto cifrado
O texto cifrado é a saída criptografada de um algoritmo criptográfico: uma representação embaralhada dos dados originais que é ilegível sem a chave de descriptografia correspondente.
Texto simples
O texto simples são dados em sua forma original, não criptografada e legível por pessoas. Em criptografia, refere-se à entrada de um algoritmo de criptografia ou à saída de um algoritmo de descriptografia.
TLS/SSL
O TLS (Transport Layer Security) é um protocolo criptográfico que oferece privacidade, integridade dos dados e autenticação à comunicação entre duas partes por meio de uma rede. O SSL (Secure Sockets Layer) é seu predecessor obsoleto; as referências modernas a "SSL" quase sempre significam TLS.
Vetor de inicialização
Um vetor de inicialização (IV) é um valor aleatório ou pseudoaleatório usado como entrada adicional de um algoritmo de criptografia junto à chave, garantindo que um texto simples idêntico criptografado com a mesma chave produza um texto cifrado diferente a cada operação.
Violação de dados
Uma violação de dados é um incidente de segurança em que dados sensíveis, protegidos ou confidenciais são acessados, divulgados ou roubados por uma parte não autorizada, seja por meio de um ataque hacker, uma ameaça interna, uma configuração incorreta ou uma exposição acidental.
Web Crypto API
A Web Crypto API é um padrão do W3C que fornece uma interface JavaScript para um conjunto de primitivas criptográficas — incluindo criptografia, descriptografia, geração de chaves, hashing e assinatura — implementadas de forma nativa no navegador.