As palavras-passe têm sido um pilar da segurança desde a evolução da linguagem humana. Este segredo partilhado pode ser utilizado para abrir portas físicas e digitais. Mas, como qualquer segredo, se for revelado à pessoa errada, pode ser utilizado para actos nefastos.

As palavras-passe oferecem aos cibercriminosos uma forma de ultrapassar o guardião. Esse portão está aberto se uma palavra-passe for insegura, partilhada ou vítima de phishing. Gerir as palavras-passe ajuda a reduzir o risco numa organização.

Vê aqui alguns dos riscos da utilização de palavras-passe e dicas sobre como gerir as palavras-passe.

O problema das palavras-passe

As palavras-passe são persistentes porque os utilizadores as compreendem; são compreendidas pelos programadores da Web e de aplicações e oferecem segurança básica. As palavras-passe persistirão por estas razões, mesmo com iniciativas como o sistema sem palavra-passe, FIDO.

Uma palavra-passe segura é a credencial de início de sessão mais fundamental, mas as palavras-passe estão longe de ser uma medida de segurança robusta. Devido às portas que uma palavra-passe pode abrir, esta credencial tornou-se um foco de ataques informáticos. O Relatório de Investigações de Violação de Dados (DBIR) de 2022 identificou o roubo de credenciais como um dos quatro principais métodos utilizados para violar dados.

O Relatório Anual de Exposição de Identidade de 2022 identificou algumas estatísticas surpreendentes relativamente às palavras-passe:

1,7 mil milhões de credenciais (combinações de endereço de e-mail e palavra-passe ou nome de utilizador e palavra-passe) foram exploradas por hackers em 2021

70% dos utilizadores ainda utilizavam palavras-passe comprometidas um ano depois

A palavra-passe número um reutilizada em texto claro (ou seja, não encriptada) foi ‘password’

60% dos utilizadores reutilizam as palavras-passe. Um inquérito da Google revelou que 52% reutilizam palavras-passe em várias contas.

Apenas 20% dos utilizadores têm um gestor de palavras-passe

Os custos da exposição, roubo e acesso não autorizado a palavras-passe são elevados. O relatório de 2022 do Ponemon Institute Cost of Insider Threats descobriu que:

O custo do roubo de credenciais aumentou 65%, de 2,79 milhões de dólares em 2020 para 4,6 milhões de dólares em 2021/2022

Conter uma ameaça interna demora cerca de 85 dias

Os incidentes que demoraram mais de 90 dias a serem contidos custaram, em média, 17,19 milhões de dólares

Como é que as palavras-passe acabam nas mãos dos cibercriminosos

Algumas das formas mais comuns de roubo ou comprometimento de palavras-passe incluem:

Infeção por malware

O malware concebido para roubar dados envia qualquer combinação de palavra-passe/nome de utilizador/e-mail introduzida por um utilizador para os cibercriminosos que controlam o malware.

Um relatório da SpyCloud descobriu que, em 2021, o malware “RedLine Stealer” foi amplamente utilizado para roubar credenciais e outros dados de utilizadores do Windows. O malware estava disponível para compra num site obscuro por 800 dólares ou numa subscrição de malware como serviço por 200 dólares por mês.

Violação de dados

As violações de dados oferecem ao cibercriminoso uma forma de aceder a palavras-passe e nomes de utilizador ou pares de e-mail roubados, ou seja, credenciais de início de sessão. Por exemplo, a violação de dados Collection 1-5 de 2019 expôs 2,2 mil milhões de palavras-passe e endereços de correio eletrónico.

As violações de dados ocorrem normalmente através do acesso não autorizado a uma base de dados, de uma configuração incorrecta da segurança que deixa a base de dados vulnerável, da exposição acidental devido a uma entrega incorrecta de correio eletrónico ou de uma pirataria deliberada. Num ciclo de cibercrime, uma base de dados comprometida liberta mais credenciais de início de sessão para efetuar mais ataques.

Phishing

Uma forma popular de roubar palavras-passe é o phishing. De facto, o DBIR de 2022 assinalou o phishing como um dos quatro principais métodos de violação de dados para obter acesso a dados de início de sessão. O spear-phishing é um problema específico para os administradores de sistemas e utilizadores privilegiados que são visados pelas suas credenciais de acesso privilegiado.

Os fornecedores terceiros são alvos dos hackers em ataques relacionados com palavras-passe. Por exemplo, no caso do ataque de ransomware à Colonial Pipeline em 2021, uma única palavra-passe roubada de um ex-funcionário foi associada ao ataque que causou o encerramento temporário de metade do abastecimento de combustível dos EUA.

Exposição acidental e ameaças internas

Os empregados gostam de partilhar as palavras-passe com os colegas e de as reutilizar. Um estudo recente revelou que quase 42% dos empregados partilham palavras -passe com colegas de trabalho. O mesmo estudo revelou que 1 em cada 4 funcionários ainda tinha acesso a contas antigas, mesmo depois de deixar a empresa.

A exposição acidental de palavras-passe ou o acesso não autorizado contribuem significativamente para os ciberataques e as violações de dados, tendo o DBIR de 2022 concluído que 82% dos ataques envolvem um ser humano.

Cinco dicas rápidas para gerir as palavras-passe

Aqui tens cinco dicas para gerir as palavras-passe e reduzir os riscos:

Configurar e aplicar políticas de senha

As políticas de palavras-passe são o primeiro passo para reduzir o risco da utilização de palavras-passe. As políticas de palavras-passe incluem tudo o que está associado à gestão de palavras-passe e à manutenção da segurança das palavras-passe. Por exemplo, uma política deve incluir o armazenamento seguro de palavras-passe e a frequência com que uma palavra-passe tem de ser alterada.

As políticas de palavras-passe também devem indicar claramente como os funcionários devem criar e gerir as palavras-passe. As políticas devem ser distribuídas aos funcionários e a gestão da política deve ser automatizada ao longo do ciclo de vida da política para garantir que é aceite e compreendida por toda a empresa.

Utiliza um gestor de senhas

Os gestores de palavras-passe, como o Lastpass, e os geradores de palavras-passe reduzem o cansaço das palavras-passe e, por conseguinte, podem ajudar a eliminar a reutilização e partilha de palavras-passe. Se estiveres a utilizar um gestor de palavras-passe, então, tecnicamente, só precisas de te lembrar de um conjunto de credenciais – a palavra-passe mestra para iniciar sessão no teu gestor de palavras-passe.

Depois de iniciares sessão no gestor de palavras-passe utilizando a tua palavra-passe mestra, o gestor de palavras-passe faz o resto – armazena, gera, sincroniza e actualiza palavras-passe. A tua palavra-passe mestra é utilizada para encriptar as palavras-passe armazenadas no teu cofre de palavras-passe.

Mas os gestores de palavras-passe ainda são pouco utilizados nas empresas. Existem muitos gestores de palavras-passe, mas os serviços baseados na nuvem podem ser mais fáceis de implementar e administrar. Procura um gestor de palavras-passe que também funcione em vários sistemas operativos e que proteja outros tipos de dados, incluindo palavras-passe.

Utiliza um segundo fator (2FA/MFA)

A utilização de um segundo fator, como um código de autenticação móvel, é uma forma útil de adicionar outra camada de segurança ao acesso a uma aplicação. No entanto, não deves confiar na 2FA para oferecer um controlo de acesso 100% isento de riscos.

Os cibercriminosos já estão a encontrar formas de contornar a autenticação de segundo fator. Se puderes, implementa a 2FA, mas apoia esta medida com as duas dicas seguintes para reduzir o risco das palavras-passe:

Dá formação aos funcionários sobre a higiene das palavras-passe

As políticas de palavras-passe devem refletir as normas da indústria de cibersegurança para a criação, utilização e gestão de palavras-passe. No entanto, a aplicação desta política exige que os funcionários compreendam porque é que as palavras-passe seguras são essenciais.

Os programas de formação de sensibilização para a cibersegurança incluem normalmente módulos sobre como criar palavras-passe fortes e manter as palavras-passe seguras.

Usa simulações de phishing para reduzir o roubo de senhas

O phishing é um dos principais métodos para roubar palavras-passe e outras credenciais. Ao dar formação aos funcionários sobre como funciona o phishing e quais são os sinais reveladores de uma mensagem de phishing, uma empresa pode ajudar a evitar o roubo de credenciais através de phishing.

As plataformas de simulação de phishing oferecem uma forma centralizada e configurável de enviar mensagens de phishing simuladas ao pessoal. Uma plataforma avançada de simulação de phishing também permite que personalizes as mensagens de phishing simuladas para refletir as diferentes funções na tua empresa.

É provável que as organizações continuem a utilizar palavras-passe durante algum tempo, aumentando o risco de um ataque informático. No entanto, ao aplicar as cinco dicas aqui descritas, podes reduzir o risco de utilização de palavras-passe pelos teus funcionários. Estas dicas ajudam a evitar violações de dados e infecções de ransomware e ajudam a sua empresa a cumprir os regulamentos de proteção de dados.

Formação de sensibilização para a segurança para fornecedores terceiros