Ainda não decidiu se vai adotar um gestor de senhas corporativas? Damos-lhe 9 razões para o fazer
No início dos anos 2000, os cursos sobre segurança de palavras-passe começavam, normalmente, com uma pergunta ao público: quantos de vocês é que têm até 10 passwords para se lembrarem? E 25? Alguém com mais de 50? Hoje, costumo começar com a questão: "Quantas credenciais acreditam que ainda estão ativas? Menos de cem?".
É interessante a forma como as coisas acontecem. Muitas pessoas nem sequer se apercebem de quantas credenciais decidiram armazenar no seu navegador, quando lhes é pedido. Pode ser uma password usada muitas vezes por mês, ou talvez aquela que teve de criar numa loja em que comprou apenas uma vez, mas precisou de seguir a sua encomenda. O facto é que é quase impossível de se saber. Se costuma guardar as suas palavras-passe no browser, poderá aprender sobre isso. E se for infetado por um malware que possa roubar as suas credenciais no browser, como o recente malware BlackGuard, ou se alguém tiver acesso ao seu e-mail - o método mais utilizado para redefinir palavras-passe - a sua vida digital está acabou!
Os gestores de senhas podem ajudá-lo a controlar melhor as suas credenciais, especialmente se pensar em termos de utilização empresarial. Não tem certezas quanto a isto? Vejamos algumas áreas em que pode ajudar a mitigar questões relacionadas com palavras-passe:
- Partilha da palavra-passe: Pode facilmente partilhar por telefone uma palavra-passe como "football123". Agora, tente partilhar "tNNi^M$E*@Ep7LD&". Não é assim tão fácil, certo? Isto pode ajudar a evitar a partilha intencional ou através da engenharia social.
- Utilização da password empresarial em aplicações pessoais: A empresa fez-me criar uma nova palavra-passe, com letras maiúsculas, números e caracteres especiais. Utilizo a minha criatividade e uso "Football@123". Mas, já que tenho esta palavra-passe agradável e segura, porque não utilizá-la noutros locais? Talvez no meu serviço de streaming de TV, que partilho com a minha filha, que partilha com o namorado... Lembre-se, não tem controlo sobre as passwords fora da empresa. Neste exemplo, o namorado da sua filha tem as credenciais da sua empresa. Uma senha complexa é agradável, mas tente introduzir "tNNi^M$E*@Ep7LD&" na sua smart TV.
- A mesma palavra-chave para tudo: Os utilizadores podem memorizar algumas palavras-chave, talvez 3 ou 4. O resto é apenas variações. Não sou diferente. Os utilizadores tentarão usar a mesma palavra-passe em todo o lado, talvez com algumas pequenas variações. Uma palavra-passe corporativa pode estar em dezenas de contas não controladas. Os gestores de senhas vão treinar o utilizador para criar uma senha diferente em todo o lado. Afinal de contas, irá criá-la para si e preenchê-la durante a autenticação.
- Exposição de credenciais na dark web: Sou utilizador do LinkedIn há bastante tempo e eles tiveram fugas, pelo menos, algumas vezes, pelo que as minhas credenciais acabaram na dark web. Se isto lhe acontecer, não há nada que possa fazer a não ser redefinir a sua palavra-passe. O problema é que pode demorar algum tempo a perceber que isso aconteceu. A culpa não é sua, a empresa com a qual tem uma conta foi, infelizmente, atacada. A sua palavra-passe - que provavelmente utiliza para dezenas de outras contas – está, agora, exposta. Mas, espere, a maioria dos websites não armazenará a sua palavra-passe completamente aberta, eles utilizarão um hash da sua password. Por isso, os atacantes ainda precisam de decifrar as palavras-passe. Se tiver uma senha fácil, mesmo que seja uma combinação de palavras, há uma grande probabilidade de que seja decifrada. Uma palavra-passe longa e complexa não pode ser pirateada com o poder atual do computador. Portanto, mesmo que ocorra uma falha, uma password gerada por um gestor de palavras-passe será muito provavelmente protegida.
- Senhas fáceis de adivinhar: Há ataques, como o password spraying, que vão utilizar palavras-passe simples. Outros ataques, utilizando dicionários para palavras-passe mais longas, podem ser bastante eficazes para decifrar passwords fáceis. Senhas hashed incluindo salt - uma variável adicional - podem ser decifradas com combinações múltiplas de letras/números até apenas 8 caracteres. Senhas com até 12 caracteres e hash normal podem ser decifradas normalmente sem problemas. Senhas com 16 caracteres, como as geradas pelo gestor de senhas, não podem ser decifradas com múltiplas combinações.
- Senhas de administrador partilhadas: As empresas têm, por vezes, credenciais partilhadas, como uma palavra-passe de administrador que é partilhada entre todo o pessoal de administração de TI. Mesmo quando são utilizadas palavras-passe complexas, como se certificam de que não são expostas? Num ataque recente, os hackers encontraram uma folha de cálculo da empresa com múltiplas credenciais de administrador. Jackpot! Os gestores de senhas de empresas terão muito provavelmente a capacidade de partilhar com segurança as senhas entre indivíduos e armazená-las sempre num cofre.
- Exposição de senhas para contas geridas por MSP: Os MSP vão ter sempre as credenciais administrativas utilizadas para aceder às suas contas geridas, uma ou mais por conta, partilhadas entre grupos de técnicos. Uma falha de segurança dessas palavras-passe pode ser um desastre para um MSP, expondo as suas contas geridas ao risco de ligações remotas e de ransomware. Os cofres de senhas podem ser muito eficazes nessas situações.
- Aplicações corporativas sem apoio de MFA: As aplicações empresariais mais robustas suportam MFA, geralmente através do protocolo SAML, o que cria uma relação de confiança com um fornecedor de identidade. Algumas podem ter a sua própria solução de MFA. Mas, ainda há um grande número de aplicações que não compreendem bem a necessidade de MFA. Empresas como a Salesforce não só permitem, como estão a fazer cumprir a sua aplicação desde fevereiro de 2022. Mas para as aplicações que ainda não têm MFA, o mínimo a fazer é certificar-se de que as credenciais são únicas e não reutilizadas. Os gestores de senhas não vão ajudar em todas as situações, tais como um website de phishing. Mas podem reduzir drasticamente a exposição.
- Descuido dos utilizadores em relação à palavra-passe: A formação dos utilizadores é sempre importante na proteção contra ataques de phishing ou mesmo dizer uma palavra-passe por telefone, porque a pessoa do outro lado da linha disse que é do seu banco e precisa de desbloquear o seu cartão de crédito. Os gestores de senhas podem ser realmente eficazes para ajudar a treinar os utilizadores, fazê-los compreender a importância de manter uma senha segura e reduzir a possibilidade de a utilizar em situações perigosas.
Mas pode perguntar: e a autenticação sem palavra-passe? Esta é uma tendência crescente, mas existem muito poucas situações em que possa utilizá-la. Entrar no seu computador com a sua cara muito provavelmente não o ajudará a entrar noutros websites. Alterar o login da sua aplicação de telemóvel para a sua impressão digital cria uma grande experiência de utilizador, mas não pode ser utilizada se precisar de iniciar sessão através do seu computador.
O facto é que as palavras-passe não vão desaparecer e, até haver uma solução que cubra todos os casos numa empresa, os gestores de palavras-passe podem ser eficazes na mitigação desses riscos. Pense seriamente sobre esta utilização. Estamos a pensar e, em breve, teremos algumas novidades a anunciar sobre este assunto