10 passos para melhorar a segurança da palavra-passe

A segurança de palavras-passe fortes é crucial para proteger as tuas informações pessoais e profissionais. Segue estes 10 passos essenciais para melhorar a segurança da tua palavra-passe e proteger as tuas contas online de potenciais ameaças.

Ame-as ou odeie-as, a palavra-passe desempenha um papel importante na nossa vida profissional quotidiana. A palavra-passe tornou-se a forma de iniciar sessão numa aplicação empresarial e a maior parte das contas online são baseadas em palavras-passe; mesmo com a MFA (autenticação multifactor) e a autenticação biométrica, a palavra-passe persiste como primeiro fator.

A razão para a popularidade da palavra-passe é que é simples para as pessoas utilizarem e para os programadores implementarem. Mas, infelizmente, a palavra-passe tem muitos calcanhares de Aquiles e os cibercriminosos tiram o máximo partido da vulnerabilidade da palavra-passe.

A importância da segurança da palavra-passe

Passwords are vulnerable to phishing attacks: a Hypr 2022 survey found that 89% of companies experienced a phishing attack in 2021. Research into the effectiveness of phishing has found that 32% of employees will click on a phishing link. Human error, which includes sharing passwords and using weak passwords, is behind 95% of cyber attacks, according to the IBM Threat Intelligence survey.

Melhorar a segurança das palavras-passe é uma forma fundamental de uma organização melhorar a sua postura de segurança. Por isso, concentra-te em práticas de palavras-passe seguras para melhorares rapidamente o nível de risco da tua organização.

Aqui estão dez práticas recomendadas para melhorar a segurança das palavras-passe e reduzir a probabilidade de um ataque informático.

Dez dicas importantes para manteres as tuas palavras-passe fortes e seguras

1/ Não os partilhes!

Os empregados partilham palavras-passe. Um inquérito da Yubico e da Ponemon revelou que 49% dos responsáveis pela segurança informática e 51% dos funcionários partilham palavras-passe com colegas de trabalho para aceder a contas empresariais.

Partilhar palavras-passe significa que essas palavras-passe estão fora do controlo da tua organização. O controlo é fundamental para manter a segurança. Certifica-te de que as tuas políticas e práticas de segurança reflectem que um funcionário não deve partilhar palavras-passe. É importante que todos os funcionários sejam informados sobre a importância de não partilhar palavras-passe.

2/ Não utilizes a mesma palavra-passe para contas diferentes

Os funcionários podem ter muitas palavras-passe para memorizar; como mencionado acima, 60% dos funcionários admitem reutilizar palavras-passe em várias contas. Desincentiva os empregados a utilizarem a mesma palavra-passe, fornecendo-lhes mecanismos para o evitar. Estes mecanismos podem incluir o Single Sign On (SSO) em contas relacionadas e um gestor de palavras-passe.

3/ Utiliza um gestor de senhas

Na nossa publicação Porque precisas de um gestor de palavras-passe, a MetaCompliance afirma que uma pessoa comum tem de se lembrar de 70 a 80 palavras-passe. Mesmo aqueles que têm uma memória incrível teriam dificuldade em lembrar-se de tantas palavras-passe.

Para ajudar a eliminar este fardo dos empregados, a tua empresa pode fornecer ao pessoal um gestor de palavras-passe. Um gestor de palavras-passe é um cofre digital que armazena, protege e apresenta uma palavra-passe quando um utilizador inicia sessão, para que não tenha de se lembrar da palavra-passe.

4/ Não escrevas as palavras-passe na tua secretária!

Um mau hábito é escrever as palavras-passe num pedaço de papel: estas estão potencialmente em risco, especialmente num ambiente de trabalho, uma vez que qualquer pessoa que passe pode copiar a palavra-passe e utilizá-la para iniciar sessão nas contas desse funcionário. Além disso, o facto de um funcionário utilizar a mesma palavra-passe em várias contas pode levar à exposição de várias contas.

5/ Nunca dês palavras-passe se te pedirem

Certifica-te de que os empregados compreendem como funciona a engenharia social. Utiliza a formação de sensibilização para a segurança para realçar a forma como os burlões os induzem a fornecer informações pessoais, incluindo palavras-passe.

6/ Torna as palavras-passe difíceis de adivinhar

A palavra-passe mais popular é 123456. Isto facilita o trabalho de um cibercriminoso. A segurança das palavras-passe é ajudada pela utilização de palavras-passe difíceis de adivinhar. Além disso, cria uma política de palavras-passe que incentive a utilização de palavras-passe mais complexas. O organismo de normalização dos EUA, NIST, fornece uma atualização regular sobre as políticas de palavras-passe mais robustas.

7/ Altera as palavras-passe em caso de dúvida

As políticas de segurança devem garantir que os funcionários alterem as palavras-passe se acreditarem que foram vítimas de phishing. No entanto, as actualizações obrigatórias das palavras-passe a cada X semanas ou meses podem muitas vezes resultar numa má higiene das palavras-passe. Se as pessoas são obrigadas a alterar as palavras-passe, tendem a utilizar palavras-passe actualizadas menos robustas – talvez acrescentando um número no final: “password” torna-se “password12”.

8/ Torna as perguntas de recuperação de palavra-passe mais difíceis

A recuperação de palavras-passe é frequentemente um alvo para os cibercriminosos; os métodos utilizados para recuperar palavras-passe exigem que os utilizadores introduzam detalhes como o nome de solteira da mãe. O problema é que este tipo de informação pode ser facilmente encontrado por fraudadores que vasculham fóruns na Internet e plataformas de redes sociais.

Certifica-te de que o teu sistema de recuperação de palavras-passe é robusto e tem mecanismos de segurança associados para evitar a exploração. Consulta as sugestões da OWASP para uma recuperação de palavra-passe robusta.

9/ Não percas palavras-passe em ligações inseguras

Uma palavra-passe pode ser roubada se uma pessoa utilizar uma ligação insegura à Internet para iniciar sessão numa conta. Este método comum é utilizado para roubar dados, incluindo palavras-passe, quando as pessoas utilizam ligações públicas à Internet. Se os teus empregados trabalham remotamente e podem utilizar a Internet pública, certifica-te de que os empregados apenas se ligam utilizando um site seguro, ou seja, HTTPS ou uma VPN.

10/ Educa os utilizadores sobre os perigos dos ataques de dicionário

Incentiva os utilizadores a não utilizarem palavras comuns quando criam uma palavra-passe. Infelizmente, as pessoas tendem a utilizar palavras conhecidas para as palavras-passe: este facto é explorado em “ataques de dicionário” que utilizam programas maliciosos para tentar entrar numa conta utilizando palavras e palavras comuns.

Educa os teus funcionários com a Sensibilização para a Segurança Automatizada sobre tácticas como estas e outras que os hackers utilizam para comprometer as palavras-passe.