Muitas violações poderiam ter sido facilmente evitadas com a autenticação de dois factores (2FA). Para além de uma palavra-passe, a 2FA requer um segundo passo de verificação, como um código de smartphone ou uma leitura biométrica. A Microsoft estima que a autenticação multi-fator (MFA) bloqueia mais de 99,9% dos ataques de comprometimento de contas, o que a torna crucial, uma vez que a "autenticação quebrada" continua a ser uma das principais vulnerabilidades OWASP.
Os hackers utilizam tipicamente uma das seguintes técnicas para obterem as credenciais dos utilizadores:
- O phishing de base ampla implica um actor malicioso que envia um e-mail genérico a partir de um endereço de e-mail falso, o que encoraja os destinatários a entrar numa página de Internet falsa usando as suas credenciais reais. As razões apresentadas no e-mail de phishing podem variar entre 'aceder a uma nova ferramenta', 'redefinir uma palavra-passe' ou, ironicamente, 'confirmar uma actividade de conta suspeita'.
- O Spear phishing segue o mesmo modelo do phishing de base ampla, mas os e-mails são específicos para cada alvo. Isto significa que o correio electrónico se dirige ao utilizador pelo seu nome real, ou aplicações que este utiliza regularmente. Os e-mails de phishing da Spear parecem mais credíveis do que os seus equivalentes, o que aumenta a sua taxa de sucesso.
- Ataques de preenchimento de credenciais, em que um agente malicioso que descobre ou adquire com êxito a palavra-passe de um alvo pode aceder a todas as contas que partilham essa palavra-passe. Esta situação é particularmente problemática quando se considera a sensibilização dos utilizadores para a cibersegurança pessoal.
- A pulverização de palavras-passe permite aos atacantes obterem acesso experimentando palavras-passe comuns ou por defeito. Os exemplos mais genéricos são senhas tais como '123456' e 'password'.
Porque é importante a autenticação de dois factores?
Como podemos ver, a invasão de uma senha não é missão impossível e não exige que os atacantes vasculhem o lixo do alvo na esperança de encontrar uma folha de papel com as suas credenciais anotadas.
Entre estes três tipos de ataques - phishing, recheio de credenciais, e pulverização de palavras-passe - é fácil imaginar que de mil empregados, pelo menos um deles poderia ser comprometido. E isso coloca toda a organização em risco.
No entanto, quando se lança outro modo de autenticação na mistura, o risco de compromisso aproxima-se de zero. Embora uma palavra-passe possa ser pirateada, as hipóteses do atacante também aceder remotamente ao dispositivo de autenticação ou biométrica do alvo são quase nulas. É desta forma que 99,9% dos compromissos de conta podem ser evitados.
A Formação de Sensibilização para a Segurança é Crítica para o Sucesso da Autenticação de Dois Factores
A implementação de dois factores de autenticação na sua organização tem duas considerações.
Em primeiro lugar, a tecnologia. Para implementar a autenticação de dois factores, é necessário escolher um método que autentique os utilizadores. O método mais comum hoje em dia é a utilização de um smartphone. Produtos como o Office 365 têm funções de AMF incorporadas e gestão de políticas que podem facilmente configurar aplicações móveis dos utilizadores como prova de identidade.
Em segundo lugar, e talvez o mais difícil, as pessoas. Os utilizadores terão de passar por uma etapa adicional de início de sessão sempre que acederem a uma ferramenta que tenha o MFA ativado. É aqui que a formação de sensibilização para a segurança é indispensável. Sem uma campanha educativa para os funcionários, que descreva a importância da autenticação de dois factores, alguns utilizadores podem sentir-se incomodados com o passo adicional de autenticação e podem recorrer a aplicações não autorizadas - como o WhatsApp - para partilhar ficheiros e mensagens. Esta utilização não autorizada de aplicações é designada por TI sombra e é uma prática de alto risco, uma vez que contorna toda a segurança da empresa.
A consciência da segurança cibernética do utilizador é ainda mais importante quando reconsideramos o ataque de enchimento de credenciais. Se mais de 50% dos utilizadores utilizarem a mesma palavra-passe para múltiplas contas, é também muito provável que partilhem palavras-passe entre contas pessoais e de trabalho.
Criação de uma Firewall Humana com Autenticação de Dois Factores
Por este motivo, recomendamos a extensão das campanhas de Formação de Sensibilização para a Segurança aos hábitos de segurança pessoal do empregado. A activação do 2FA em serviços de correio electrónico pessoal como o Gmail é fácil de configurar e conveniente de utilizar. Esta acção única tem um benefício duplo, directamente para o utilizador e indirectamente para a organização, uma vez que minimiza o risco de violação de dados.
Para além de promover a importância da autenticação de dois factores para uso pessoal, a formação em gestão de incidentes pode também ajudar os utilizadores que tenham sido comprometidos a seguir um procedimento que possa evitar danos adicionais, incluindo a comunicação de violações às equipas de TI relevantes e a mudança de palavras-passe sempre que necessário.
Campanhas de educação para promover uma boa consciência pessoal da segurança cibernética são a única forma de obter a adesão voluntária dos utilizadores. Quando os empregados compreenderem a importância de manter seguros tanto o seu trabalho como os serviços informáticos e de comunicação domésticos, formarão uma base sólida para toda a empresa.
Melhoreasuacibersegurança com uma formação eficaz dos funcionários
Para reforçar a cibersegurança da sua organização, recomendamos que explore estes artigos:
- A importância da formação em segurança informática para colaboradores
- Guia para a consciencialização e formação em segurança
- Por que a formação em cibersegurança paga vale a pena
Em alternativa, solicite uma demonstração gratuita da nossa formação avançada em cibersegurança para funcionários para ver como uma formação eficaz pode melhorar a sua defesa contra as ciberameaças.
