Mês da Sensibilização para a Cibersegurança: A Importância de Passwords Fortes, MFA e Boa Higiene de Senhas
Um dos focos do tema do Mês da Sensibilização para a Cibersegurança deste ano - "See Yourself in Cyber" - são as ações simples que indivíduos e organizações podem adotar para se protegerem melhor contra o cibercrime. Dois desses passos são utilizar palavras-passe fortes e a permitir a autenticação multifatorial (MFA). É fácil de se ver o porquê.
Infelizmente, mesmo em 2022, as pessoas ainda estão a usar passwords fracas e fáceis de adivinhar, como, por exemplo, "12345", "qwerty" e, sim, "senha" para aceder a contas, sistemas e infraestruturas críticas. Há quem a ao pensar que combinar o seu aniversário com o nome do seu cão cria complexidade suficiente para evitar que um cibercriminoso adivinhe a sua palavra-passe. Não é o caso. Os atacantes determinados têm sido conhecidos por vasculhar as contas de redes sociais das suas vítimas pretendidas em busca de pistas que os possam ajudar a adivinhar palavras-passe. E há muitas ferramentas para ajudar os hackers a decifrar passwords que se baseiam em fórmulas ou palavras.
Um alerta recente, conjunto da Agência de Cibersegurança e Infraestruturas de Segurança (CISA, na sigla original) dos EUA e dos organismos de vigilância de cibersegurança de vários outros países, assinalou o papel que os fracos controlos de segurança desempenham nas falhas de segurança e a necessidade de as organizações fortalecerem as credenciais (entre outras recomendações). Muitos dos incidentes de cibersegurança mais proeminentes - como o ataque de ransomware ao Colonial Pipeline do ano passado - começam com atacantes que utilizam uma palavra-passe roubada.
Hoje em dia, uma boa higiene das passwords começa por ter senhas únicas, aleatórias e complexas para cada conta (pelo menos 16 caracteres aleatórios, não palavras de dicionário). Claro que isso é mais fácil de dizer do que fazer. As pessoas, geralmente, têm dificuldade em lembrar-se das palavras-passe e, como resultado, recorrem frequentemente a passwords simples, reutilizando palavras-passe entre contas ou alterando-as ligeiramente (modificando, por exemplo, um carácter). Infelizmente, as palavras-passe reutilizadas podem criar múltiplas vulnerabilidades no caso de uma falha de segurança.
Uma forma de minimizar este problema é encorajar a utilização de gestores de senhas. Estes facilitam a criação e o controlo de passwords complexas por parte dos utilizadores. Enquanto as bases de dados de senhas são um alvo principal para roubo e estão amplamente disponíveis online, se uma base de dados de senhas hash for roubada, as passwords fortes podem ser mais difíceis de decifrar.
Mas a boa higiene de passwords é apenas o início de um sistema de autenticação forte. Isto, porque uma vez que um atacante tenha acesso a uma palavra-passe - quer adivinhando-a, quer comprando-a na dark web ou através da engenharia social (como o phishing) -, tem as "chaves do reino" se não houver um passo adicional na verificação da identidade.
De acordo com o mais recente relatório da Verizon DBIR, mais de 40% de todas as falhas de segurança envolvem a utilização de credenciais roubadas. Para falhas nas infraestruturas viradas para a Internet, como servidores web e de correio eletrónico, é superior a 80%. E, segundo uma estimativa, o número de senhas roubadas e disponibilizadas na dark web disparou para 24 mil milhões, subindo anualmente e sem fim à vista. É aí que entra a autenticação multifatorial (MFA). Pode parar muitos ataques antes de começarem, mesmo que os atacantes ganhem acesso a credenciais. Com a MFA, os utilizadores são obrigados a fornecer tanto uma senha como, pelo menos, uma verificação adicional da sua identidade - por exemplo, respondendo a uma mensagem num dispositivo móvel aprovado, com uma chave de hardware ou com um dado biométrico, como uma impressão digital - antes de lhes ser concedido acesso a redes ou recursos. Este passo adicional aumenta significativamente o grau de dificuldade para os atacantes e reduz grandemente a probabilidade de uma credencial comprometida ser suficiente para lançar um ataque.
Está a tornar-se cada vez mais claro que a MFA não é apenas uma boa característica de segurança a ter, mas, em vez disso, é uma parte vital de qualquer estrutura de segurança. A Verizon DBIR recomenda a MFA como a primeira coisa que as PME devem implementar para se protegerem dos ciberataques. Da mesma forma, o recente alerta da CISA sugere o mesmo. Mesmo quando as soluções sem senhas começam a ganhar tração, as passwords não vão a lado nenhum tão cedo.
A boa notícia é que a MFA é acessível, fácil de implementar e fácil de usar. Isto é, claro, se estiver a falar da solução MFA da WatchGuard AuthPoint™. Se quiser ver como o AuthPoint supera a concorrência, veja este relatório da Miercom.