Artigos TecnologiaNOTICIA TECNOLOGIA

Por que uma cultura de falta de higiene de senha continua a prosperar

As senhas continuam sendo a forma número um de autenticação, embora possam deixar uma organização vulnerável a ataques se as medidas de segurança cibernética apropriadas não estiverem em vigor. Eles existem desde que a Internet foi inventada e provavelmente não irão desaparecer nos próximos anos, apesar da proliferação de conversas ‘sem senha’ gerando algum buzz.

Atualmente, existem bilhões de senhas disponíveis na Dark Web, agregadas por meio de vários métodos de ataque, de força bruta a malware e phishing, então usados ​​em ataques de espalhamento de senha e preenchimento de credenciais. Esses ataques são bem-sucedidos porque 65% dos usuários reutilizam senhas, de acordo com um estudo de 2019 do Google. Portanto, não é nenhuma surpresa que credenciais roubadas ou comprometidas sejam uma das principais causas de ataques maliciosos. Na verdade, de acordo com o relatório de custo de uma violação de dados de 2020 da IBM, uma em cada cinco empresas que sofreram uma violação de dados maliciosa foi infiltrada devido a credenciais roubadas ou comprometidas.

Muitas vezes, as senhas são a única chave para desbloquear o acesso a vários aplicativos , recursos e dados confidenciais , mas ainda vemos uma falta de higiene das senhas, levando a algumas violações de dados bastante importantes.

Má higiene de senha: na natureza

Então, o que significa falta de higiene de senha? Essencialmente, esses são os erros que deixam a porta aberta para os invasores. E dado que a segurança não é a prioridade dos usuários, a responsabilidade recai sobre a TI para garantir que eles estejam impondo a segurança da senha com soluções que evitem que os usuários:

  • Reutilizar senhas ou, mais especificamente, usar senhas comprometidas
  • Usar senhas muito fracas e fáceis de adivinhar, como usar a palavra senha na senha ou padrões de teclado comuns como qwerty ou até mesmo senhas relacionadas à organização, como nome da organização, localização e outros identificadores comuns
  • Alterar as senhas sem alterar a palavra base e adicionar caracteres sequenciais no final (por exemplo, alterar a senha1 para a senha).

Mesmo as grandes organizações erram. Para fins de contexto, várias violações importantes podem ser rastreadas até senhas comprometidas como a fonte de entrada, incluindo:

  • Marriott International: em 2020, os invasores obtiveram as credenciais de login de dois funcionários da Marriott, comprometendo um sistema de reserva e, por fim, expondo informações de pagamento, nomes, endereços de correspondência, números de telefone, endereços de e-mail e números de passaporte de até 500 milhões de clientes
  • Uber: em 2016, um invasor obteve acesso ao armazenamento de dados do Uber por meio do enchimento de credenciais. O invasor aproveitou as credenciais previamente comprometidas de um funcionário do Uber para que outros sites acessassem sua conta do GitHub, expondo os dados de 600.000 motoristas do Uber e 57 milhões de usuários do Uber
  • Home Depot: em 2014, os invasores utilizaram credenciais roubadas de um fornecedor terceirizado para infectar a rede da Home Depot com malware que roubou dados de cartão de pagamento e endereços de e-mail de 40 milhões de clientes
  • Dropbox: em 2012, os invasores conseguiram roubar o e-mail e as senhas de mais de 70 milhões de usuários do Dropbox devido a um funcionário reutilizar uma senha hackeada de outro site.

Má higiene de senha: por que isso ainda é um problema?

A falta de higiene de senha persiste principalmente porque não está sendo reconhecida como um problema ou considerada uma ameaça potencial. Por exemplo, um equívoco comum é que os invasores geralmente visam grandes organizações. Em contraste, os invasores de fato visam as SMBs e o têm feito cada vez mais desde a pandemia, devido à taxa de adoção acelerada de aplicativos online e tecnologias remotas que podem ser propensos a erros de configuração, embora não tenham políticas de acesso seguras. De acordo com o relatório de investigação de violação de dados de 2020 da Verizon, as SMBs tiveram 417 incidentes em 2020, com mais da metade divulgando dados.

Outro equívoco é que as organizações se sentem seguras ao usar a autenticação de dois fatores. A autenticação de dois fatores é uma medida de segurança e não à prova de falhas. Além disso, as senhas ainda são o primeiro fator, a senha – deve ser o mais segura possível.

Com a maioria das organizações globalmente utilizando o Active Directory (AD), a percepção de que a política de senha refinada no AD é o suficiente é comum. No entanto, isso não elimina o uso de senhas comprometidas ou remove o uso de padrões de construção de senha fracos. Outro sentimento comum é que implementar e impor uma política de segurança de senha robusta será complicado ou criará atrito com o usuário.

Simplificando a segurança da senha

É verdade que implementar uma política de senha segura pode criar atrito com o usuário, como esquecimento de senha porque agora eles não podem usar coisas como a palavra senha ou voltar a padrões de construção de senha ruins. Portanto, é importante levar em consideração a experiência do usuário para garantir a melhor segurança e os melhores resultados para o usuário. A solução: remover a carga dos usuários e usar a tecnologia em seu lugar.

Muitas organizações recorrem ao NIST para obter orientação nesta frente. O NIST recomenda:

  • Definir um comprimento mínimo de senha de 8 caracteres para incentivar o uso de senhas mais longas
  • Removendo a expiração e a complexidade da senha devido à sua contribuição para o mau comportamento da senha
  • Comparar novas senhas com uma lista de senhas conhecidas vazadas / comprometidas

Embora as recomendações forneçam um ótimo ponto de partida, é essencial considerar o nível de risco. Por exemplo, remover as diretrizes de expiração pode levar a uma lacuna de segurança, pois as organizações levam cerca de 300 dias para identificar uma violação. Portanto, se você não se sentir confortável com a remoção de expiração ou se for regulamentado por PCI ou CMMC ou qualquer outro padrão que exija expiração e complexidade, você deve procurar soluções técnicas que possam reduzir os problemas de falta de higiene de senha que eles podem criar.

Coisas a ter em mente

Ao procurar implementar uma política de senha segura, é importante considerar o ciclo de vida completo da senha, desde a criação até a redefinição / alteração. Portanto, as soluções devem:

  • Elimine o uso de padrões comuns de construção de senha
  • Oferece suporte a recursos orientados ao usuário, como frases-senha (senhas mais longas que podem ser memorizadas) e envelhecimento de senha baseado em comprimento, que recompensa os usuários com expiração de senha menos frequente devido ao comprimento e força de suas senhas
  • Bloqueie continuamente o uso de senhas que vazaram
  • Permita que os usuários redefinam suas senhas com MFA de qualquer lugar, usando qualquer dispositivo, enquanto fornece um feedback claro de regras de política de senha para reduzir várias tentativas de alteração / redefinição de senha com falha
  • Trabalhe com as configurações existentes que você já usa, como a Política de Grupo

As senhas não serão removidas tão cedo – as organizações simplesmente não têm a infraestrutura para oferecer suporte a um ecossistema sem senha. Portanto, é importante que todo o setor se comprometa a implementar uma estratégia progressiva de segurança de senha.


Ajude-nos a crescer, visite SENASNERD no Twitter FacebookInstagram . e deixe o seu gosto, para ter acesso a toda a informação em primeira mão. E se gostou do artigo não se esqueça de partilhar  com os seus amigos.

SUBSCREVA-SE NO CANAL YOUTUBE SENASNERD

Domingos Massissa

Estudante de Engª Informática, editor do portal amante do mundo NERD, onde engloba cinema tecnologia e Gamers.

Artigos Relacionados

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Botão Voltar ao Topo