Muitas violações poderiam ter sido facilmente evitadas com a autenticação de dois factores (2FA). Para além de uma palavra-passe, a 2FA requer um segundo passo de verificação, como um código de smartphone ou uma leitura biométrica. A Microsoft estima que a autenticação multi-fator (MFA) bloqueia mais de 99,9% dos ataques de comprometimento de contas, o que a torna crucial, uma vez que a “autenticação quebrada” continua a ser uma das principais vulnerabilidades OWASP.

Normalmente, os piratas informáticos utilizam uma das seguintes técnicas para obter as credenciais do utilizador:

  1. O phishing generalizado implica que um agente malicioso envia um e-mail genérico a partir de um endereço de e-mail falso que incentiva os destinatários a iniciar sessão numa página Web falsa utilizando as suas credenciais reais. As razões apresentadas no e-mail de phishing podem variar entre “aceder a uma nova ferramenta”, “redefinir uma palavra-passe” ou, ironicamente, “confirmar uma atividade suspeita na conta”.
  2. O Spear phishing segue o mesmo modelo do phishing de base alargada, mas as mensagens de correio eletrónico são específicas para cada alvo. Isto significa que o e-mail se dirige ao utilizador pelo seu nome verdadeiro ou pelas aplicações que utiliza regularmente. Os e-mails de spear phishing parecem mais credíveis do que os seus homólogos, o que aumenta a sua taxa de sucesso.
  3. Ataques de preenchimento de credenciais, em que um agente malicioso que descobre ou adquire com êxito a palavra-passe de um alvo pode aceder a todas as contas que partilham essa palavra-passe. Esta situação é particularmente problemática quando se tem em conta a sensibilização pessoal dos utilizadores para a cibersegurança.
  4. A pulverização de palavras-passe permite que os atacantes obtenham acesso experimentando palavras-passe comuns ou predefinidas. Os exemplos mais genéricos são palavras-passe como ‘123456’ e ‘password’.

Porque é que a autenticação de dois factores é importante?

Como podemos ver, a quebra de uma palavra-passe não é uma missão impossível e não exige que os atacantes vasculhem o lixo do alvo na esperança de encontrar uma folha de papel com as suas credenciais escritas.

Entre estes três tipos de ataques – phishing, credential stuffing e password spraying – é fácil imaginar que, em cada mil funcionários, pelo menos um deles pode ser comprometido. E isso coloca toda a organização em risco.

No entanto, quando adicionas outro modo de autenticação à mistura, o risco de comprometimento aproxima-se de zero. Embora uma palavra-passe possa ser pirateada, as hipóteses de o atacante também aceder remotamente ao dispositivo de autenticação ou biométrico do alvo são quase nulas. É assim que 99,9% dos comprometimentos de contas podem ser evitados.

A formação em sensibilização para a segurança é fundamental para o sucesso da autenticação de dois factores

A implementação da autenticação de dois factores na tua organização tem duas considerações.

Em primeiro lugar, a tecnologia. Para implementar a autenticação de dois factores, tens de escolher um método que autentique os utilizadores. Atualmente, o método mais comum é a utilização de um smartphone. Produtos como o Office 365 têm funções MFA incorporadas e gestão de políticas que podem facilmente configurar as aplicações móveis dos utilizadores como prova de identidade.

Em segundo lugar, e talvez o mais difícil, as pessoas. Os utilizadores terão de passar por uma etapa adicional de início de sessão sempre que acederem a uma ferramenta que tenha o MFA ativado. É aqui que a formação de sensibilização para a segurança é indispensável. Sem uma campanha de educação dos funcionários que descreva a importância da autenticação de dois factores, alguns utilizadores podem sentir-se incomodados com o passo adicional de autenticação e podem recorrer a aplicações não autorizadas – como o WhatsApp – para partilhar ficheiros e mensagens. Esta utilização não autorizada de aplicações é designada por TI sombra e é uma prática de alto risco, uma vez que contorna toda a segurança da empresa.

A sensibilização dos utilizadores para a cibersegurança é ainda mais importante quando reconsideramos o ataque de credential stuffing. Se mais de 50% dos utilizadores utilizam a mesma palavra-passe para várias contas, é também muito provável que partilhem palavras-passe entre contas pessoais e profissionais.

Criar uma Firewall Humana com Autenticação de Dois Factores

Por este motivo, recomendamos que alargues as campanhas de Formação de sensibilização para a segurança aos hábitos de segurança pessoais dos funcionários. A ativação da 2FA em serviços de correio eletrónico pessoais, como o Gmail, é fácil de configurar e conveniente de utilizar. Esta ação única tem um benefício duplo, diretamente para o utilizador e indiretamente para a organização, uma vez que minimiza o risco de violações de dados.

Para além de promover a importância da autenticação de dois factores para utilização pessoal, a formação em gestão de incidentes também pode ajudar os utilizadores que tenham sido comprometidos a seguir um procedimento que pode evitar mais danos, incluindo a comunicação de violações às equipas de TI relevantes e a alteração de palavras-passe, se necessário.

As campanhas educativas para promover uma boa sensibilização pessoal para a cibersegurança são a única forma de conseguir a adesão voluntária dos utilizadores. Quando os empregados compreenderem a importância de manter seguros os seus serviços de TI e de comunicações, tanto no trabalho como em casa, estarão a formar uma base sólida para toda a empresa.

Melhora a tuacibersegurança com uma formação eficaz dos empregados

Para reforçar a cibersegurança da tua organização, recomendamos que consultes estes artigos:

Em alternativa, solicita uma demonstração gratuita da nossa Formação avançada em cibersegurança para funcionários para veres como uma formação eficaz pode melhorar a tua defesa contra as ciberameaças.

Conscientização sobre segurança cibernética para leigos