As palavras-passe têm sido um pilar da segurança desde que a linguagem humana evoluiu. Este segredo partilhado pode ser utilizado para abrir portas físicas e digitais. Mas, como qualquer segredo, se for revelado à pessoa errada, pode ser usado para actos nefastos.
As senhas oferecem aos cibercriminosos uma forma de passar pelo porteiro. Esse portão está aberto se uma palavra-passe for insegura, partilhada, ou pescada por phishing. A gestão de palavras-passe ajuda a mitigar o risco numa organização.
Aqui estão alguns dos riscos da utilização de palavras-passe e dicas sobre a gestão de palavras-passe.
O problema das palavras-passe
As palavras-passe são persistentes porque os utilizadores as compreendem; são compreendidas pelos programadores de web e aplicações e oferecem segurança básica. As palavras-passe persistirão por estas razões, mesmo com iniciativas como o sistema sem palavras-passe, FIDO.
Uma palavra-passe segura é a credencial de login mais fundamental, mas as palavras-passe estão longe de ser uma medida de segurança robusta. Devido às portas que uma palavra-passe pode abrir, esta credencial tornou-se um foco de ataques informáticos. O Relatório de Investigação de Violação de Dados de 2022 (DBIR) identificou o roubo de credenciais como um dos quatro principais métodos utilizados para violar dados.
O Relatório Anual de Exposição de Identidade de 2022 identificou algumas estatísticas espantosas relativas a palavras-passe:
● 1,7 mil milhões de credenciais (combinações de endereço de correio electrónico e palavra-chave ou nome de utilizador e palavra-chave) foram exploradas por hackers em 2021
● 70% dos utilizadores ainda estavam a utilizar palavras-passe comprometidas um ano mais tarde
● A palavra-passe número um reutilizada em texto claro (ou seja, não codificada) era 'password'.
● 60% dos utilizadores reutilizam palavras-passe. Um inquérito do Google descobriu que 52% reutilizam palavras-passe em múltiplas contas.
● Apenas 20% dos utilizadores têm um gestor de senhas
Os custos de exposição de senha, roubo e acesso não autorizado acumulam-se. O relatório 2022 do Ponemon Institute sobre os custos das ameaças internas descobriu isso:
● O custo do roubo de credenciais aumentou 65% de $2,79 milhões em 2020 para $4,6 milhões em 2021/2022
● A contenção de uma ameaça interna demora cerca de 85 dias
● Incidentes que demoraram mais de 90 dias a conter custaram, em média, 17,19 milhões de dólares
Como as palavras-passe acabam nas mãos dos criminosos cibernéticos
Algumas das formas mais típicas de roubo ou comprometimento de palavras-passe incluem:
Infecção por Malware
O malware concebido para roubar dados enviará qualquer palavra-passe/nome de utilizador/ combos de correio electrónico introduzido por um utilizador aos cibercriminosos que controlam o malware.
Um relatório SpyCloud descobriu que em 2021, o malware "RedLine Stealer" foi amplamente utilizado para roubar credenciais e outros dados dos utilizadores de Windows. O malware estava disponível para compra num website escuro por $800 ou uma assinatura "Malware-as-a-service" por $200 por mês.
Violação de dados: o que é um "data breach"? MetaCompliance
As violações de dados oferecem a um criminoso cibernético uma forma de aceder a palavras-passe e pares de nomes de utilizador ou emails roubados, ou seja, credenciais de login. Por exemplo, a recolha 1-5 de violações de dados de 2019 expôs 2,2 mil milhões de palavras-passe e endereços de correio electrónico.
As violações de dados ocorrem tipicamente através do acesso não autorizado a uma base de dados, uma má configuração de segurança que deixa a base de dados vulnerável, a exposição acidental devido a entrega incorrecta de correio electrónico, ou a pirataria informática deliberada. Num ciclo de cibercrime, uma base de dados comprometida liberta então mais credenciais de login para levar a cabo mais ataques.
Phishing
Uma forma popular de roubar palavras-passe é o phishing. De facto, a DBIR de 2022 observou o phishing como um dos quatro principais métodos de violação de dados para obter acesso aos detalhes de login. O Spear-phishing é uma questão particular para os administradores do sistema e utilizadores privilegiados visados pelas suas credenciais de acesso privilegiado.
Vendedores de terceiros são alvos de hackers em ataques relacionados com a palavra-passe. Por exemplo, no caso do ataque de resgate de gasodutos coloniais de 2021, uma única palavra-passe roubada de um ex-empregado foi ligada ao ataque que causou o encerramento temporário de metade dos abastecimentos de combustível dos EUA.
Exposição Acidental e Ameaças Internas
Os empregados gostam de partilhar palavras-passe com os colegas, bem como de as reutilizar. Um inquérito recente revelou que quase 42% dos empregados partilham palavras-passe com os colegas de trabalho. O mesmo estudo concluiu que 1 em cada 4 empregados ainda tinha acesso a contas antigas, mesmo depois de deixar uma empresa.
A exposição acidental de palavra-passe ou o acesso não autorizado contribui significativamente para ataques cibernéticos e violações de dados, tendo a DBIR de 2022 descoberto que 82% dos ataques envolvem um ser humano.
Cinco dicas rápidas para a gestão de palavras-passe
Aqui estão cinco dicas para gerir palavras-passe e reduzir o risco:
Configurar e Aplicar Políticas de Senha
As políticas de senhas são o primeiro passo para desmarcar a utilização de senhas. As políticas de senhas incluem tudo o que está associado à gestão de senhas e à manutenção de senhas seguras. Por exemplo, uma política deve incluir o armazenamento seguro de palavras-passe e a frequência com que uma palavra-passe precisa de ser alterada.
As políticas de senhas devem também indicar claramente como os empregados devem criar e gerir as senhas. As políticas devem ser distribuídas aos funcionários, e a gestão da política deve ser automatizada ao longo do seu ciclo de vida para garantir a sua aceitação e compreensão em toda a empresa.
Utilizar um Gestor de Senha
Os gestores de senhas como o Lastpass e os geradores de senhas reduzem a fadiga das senhas e, portanto, podem ajudar a eliminar a reutilização e partilha de senhas. Se estiver a utilizar um gestor de senhas, então, tecnicamente, só precisa de se lembrar de um conjunto de credenciais - a senha principal para iniciar sessão no seu gestor de senhas.
Uma vez conectado ao gestor de senhas usando a sua senha principal, o gestor de senhas faz o resto - armazena, gera, sincroniza e actualiza as senhas. A sua senha principal é utilizada para encriptar as palavras-passe armazenadas no seu cofre de palavras-passe.
Mas os gestores de senhas continuam a ser subutilizados nas empresas. Existem muitos gestores de senhas, mas os serviços baseados na nuvem podem ser mais fáceis de implementar e administrar. Procure um gestor de senhas que também possa funcionar em sistemas operativos e proteger outros tipos de dados, incluindo senhas.
Utilizar um segundo factor (2FA/MFA)
A utilização de um segundo factor, tal como um código de autenticação móvel, é uma forma útil de acrescentar outra camada de segurança ao acesso de uma aplicação. No entanto, não se deve confiar no 2FA para oferecer um controlo de acesso 100% sem risco.
Os cibercriminosos já estão a trabalhar em formas de contornar a autenticação de segundo factor. Se for possível, implemente 2FA, mas apoie esta medida com as nossas duas dicas seguintes para desarranjar senhas de risco:
Formar os empregados sobre a Higiene por Senha
As políticas de senhas devem reflectir as normas da indústria de segurança cibernética para a criação, utilização e gestão de senhas. No entanto, a aplicação desta política exige que os empregados compreendam porque é que as palavras-passe seguras são essenciais.
Os programas de Formação de Sensibilização para a Segurança Cibernética incluem tipicamente módulos sobre a criação de senhas fortes e a manutenção de senhas seguras.
Utilizar Simulações de Phishing para Reduzir Roubo de Senha
O phishing é um dos principais métodos para roubar palavras-passe e outras credenciais. Ao dar formação aos funcionários sobre como funciona o phishing e como são vistos os sinais de uma mensagem de phishing, uma empresa pode ajudar a evitar o roubo de credenciais através do phishing.
As plataformas de simulação de phishing oferecem uma forma centralizada e configurável de enviar mensagens simuladas de phishing ao pessoal. Uma plataforma avançada de simulação de phishing também lhe permitirá adaptar as mensagens simuladas de phishing para reflectir as diferentes funções na sua empresa.
As organizações continuarão provavelmente a utilizar palavras-passe durante algum tempo, aumentando o risco de um ataque cibernético. No entanto, aplicando as cinco dicas aqui delineadas, poderá desarranjar o uso de passwords pelos seus empregados. Estas dicas ajudam a prevenir a violação de dados e a infecção por resgates e ajudam a sua empresa a cumprir os regulamentos de protecção de dados.