A segurança de palavras-passe fortes é crucial para proteger as tuas informações pessoais e profissionais. Segue estes 10 passos essenciais para melhorar a segurança da tua palavra-passe e proteger as tuas contas online de potenciais ameaças.

Ame-as ou odeie-as, a palavra-passe desempenha um papel importante na nossa vida profissional quotidiana. A palavra-passe tornou-se a forma de iniciar sessão numa aplicação empresarial e a maior parte das contas online são baseadas em palavras-passe; mesmo com a MFA(autenticação multifactor) e a autenticação biométrica, a palavra-passe persiste como primeiro fator.  

A razão para a popularidade da palavra-passe é que é simples para as pessoas utilizarem e para os programadores implementarem. Mas, infelizmente, a palavra-passe tem muitos calcanhares de Aquiles e os cibercriminosos tiram o máximo partido da vulnerabilidade da palavra-passe.  

O que é a segurança da palavra-passe?

A segurança das palavras-passe é uma parte fundamental da segurança no local de trabalho. Mas as palavras-passe são regularmente exploradas, mal utilizadas e abusadas. Algumas estatísticas surpreendentes mostram como a situação da segurança das palavras-passe se tornou má nos últimos anos:

Quantas palavras-passe são roubadas?

  • Os cibercriminosos exploraram 1,7 mil milhões de credenciais de início de sessão (incluindo palavras-passe) em 2021.(Inquérito Spycloud)

Quão inseguras são as palavras-passe?

  • A palavra-passe não encriptada reutilizada número um foi “password”.(Inquérito Spycloud)

  • 45% dos utilizadores não alteram as suas palavras-passe após uma violação.(Estudo LastPass)

Como é que as palavras-passe são mal utilizadas?

A importância da segurança da palavra-passe

As palavras-passe são vulneráveis a ataques de phishing: um inquérito da Hypr 2022 concluiu que 89% das empresas sofreram um ataque de phishing em 2021. A investigação sobre a eficácia do phishing revelou que 32% dos empregados clicam numa ligação de phishing. O erro humano, que inclui a partilha de palavras-passe e a utilização de palavras-passe fracas, está por detrás de 95% dos ataques informáticos, de acordo com o inquérito “IBM Threat Intelligence“.

Melhorar a segurança das palavras-passe é uma forma fundamental de uma organização melhorar a sua postura de segurança. Por isso, concentra-te em práticas de palavras-passe seguras para melhorares rapidamente o nível de risco da tua organização.

Aqui estão dez práticas recomendadas para melhorar a segurança das palavras-passe e reduzir a probabilidade de um ataque informático.

Dez dicas importantes para manteres as tuas palavras-passe fortes e seguras

1/ Não os partilhes!

Os funcionários partilham palavras-passe. A  Um inquérito da Yubico e da Ponemon revelou que 49% dos responsáveis pela segurança informática e 51% dos empregados partilham palavras-passe com colegas de trabalho para aceder a contas profissionais.

Partilhar palavras-passe significa que essas palavras-passe estão fora do controlo da tua organização. O controlo é fundamental para manter a segurança. Certifica-te de que as tuas políticas e práticas de segurança reflectem que um funcionário não deve partilhar palavras-passe. É importante que todos os funcionários sejam informados sobre a importância de não partilhar palavras-passe.

2/ Não utilizes a mesma palavra-passe para contas diferentes

Os funcionários podem ter muitas palavras-passe para memorizar; como mencionado acima, 60% dos funcionários admitem reutilizar palavras-passe em várias contas. Desincentiva os empregados a utilizarem a mesma palavra-passe, fornecendo-lhes mecanismos para o evitar. Estes mecanismos podem incluir o Single Sign On (SSO) em contas relacionadas e um gestor de palavras-passe.

3/ Utiliza um gestor de senhas

Na nossa publicação“Porque precisas de um gestor de palavras-passe“, a MetaCompliance afirma que uma pessoa comum tem de se lembrar de 70 a 80 palavras-passe. Mesmo aqueles que têm uma memória incrível teriam dificuldade em lembrar-se de tantas palavras-passe.

Para ajudar a eliminar este fardo dos empregados, a tua empresa pode fornecer ao pessoal um gestor de palavras-passe. Um gestor de palavras-passe é um cofre digital que armazena, protege e apresenta uma palavra-passe quando um utilizador inicia sessão, para que não tenha de se lembrar da palavra-passe.

4/ Não escrevas as palavras-passe na tua secretária!

Um mau hábito é escrever as palavras-passe num pedaço de papel: estas estão potencialmente em risco, especialmente num ambiente de trabalho, uma vez que qualquer pessoa que passe pode copiar a palavra-passe e utilizá-la para iniciar sessão nas contas desse funcionário. Além disso, o facto de um funcionário utilizar a mesma palavra-passe em várias contas pode levar à exposição de várias contas.

5/ Nunca dês palavras-passe se te pedirem

Certifica-te de que os empregados compreendem como funciona a engenharia social. Utiliza a formação de sensibilização para a segurança para realçar a forma como os burlões os induzem a fornecer informações pessoais, incluindo palavras-passe.

6/ Torna as palavras-passe difíceis de adivinhar

A palavra-passe mais popular é 123456. Isto facilita o trabalho de um cibercriminoso. A segurança das palavras-passe é ajudada pela utilização de palavras-passe difíceis de adivinhar. Além disso, cria uma política de palavras-passe que incentive a utilização de palavras-passe mais complexas. O organismo de normalização dos EUA, NIST, fornece uma atualização regular sobre a  políticas de palavra-passe mais robustas.

7/ Altera as palavras-passe em caso de dúvida

As políticas de segurança devem garantir que os funcionários alterem as palavras-passe se acreditarem que foram vítimas de phishing. No entanto, as actualizações obrigatórias das palavras-passe a cada X semanas ou meses podem muitas vezes resultar numa má higiene das palavras-passe. Se as pessoas são obrigadas a alterar as palavras-passe, tendem a utilizar palavras-passe actualizadas menos robustas – talvez acrescentando um número no final: “password” torna-se “password12”.

8/ Torna as perguntas de recuperação de palavra-passe mais difíceis

A recuperação de palavras-passe é frequentemente um alvo para os cibercriminosos; os métodos utilizados para recuperar palavras-passe exigem que os utilizadores introduzam detalhes como o nome de solteira da mãe. O problema é que este tipo de informação pode ser facilmente encontrado por fraudadores que vasculham fóruns na Internet e plataformas de redes sociais.

Certifica-te de que o teu sistema de recuperação de palavras-passe é robusto e tem mecanismos de segurança associados para evitar a exploração. Verifica  Sugestões da OWASP para uma recuperação robusta da palavra-passe.

9/ Não percas palavras-passe em ligações inseguras

Uma palavra-passe pode ser roubada se uma pessoa utilizar uma ligação insegura à Internet para iniciar sessão numa conta. Este método comum é utilizado para roubar dados, incluindo palavras-passe, quando as pessoas utilizam ligações públicas à Internet. Se os teus empregados trabalham remotamente e podem utilizar a Internet pública, certifica-te de que os empregados apenas se ligam utilizando um site seguro, ou seja, HTTPS ou uma VPN.

10/ Educa os utilizadores sobre os perigos dos ataques de dicionário

Incentiva os utilizadores a não utilizarem palavras comuns quando criam uma palavra-passe. Infelizmente, as pessoas tendem a utilizar palavras conhecidas para as palavras-passe: este facto é explorado em “ataques de dicionário” que utilizam programas maliciosos para tentar entrar numa conta utilizando palavras e palavras comuns.

Educa os teus funcionários com Formação de sensibilização para a segurança sobre tácticas como estas e outras que os hackers utilizam para comprometer as palavras-passe.

risco de cibersegurança