Porque é que as push notifications são a melhor forma de proteger as passwords
As passwords ainda são a estratégia mais comum para proteger as contas numa empresa? Este inquérito da Pulse sobre a segurança das passwords revela que 38% dos inquiridos utilizam entre 4 a 6 contas protegidas por passwords diariamente e 49% admitem que as suas equipas de IT resolvem uma média de 9 problemas relacionados com palavras-passe todos os dias. A maioria reconhece que esta questão foi exacerbada pelo trabalho remoto durante os meses mais recentes devido à pandemia. O que é surpreendente nestes casos é que, apesar de conscientes destas dificuldades, apenas 38% providenciam formação anual sobre proteção de passwords aos seus colaboradores.
Além disso, 91% consideram que as camadas de segurança adicionais são frustrantes para os utilizadores finais. Não é que não tenham noção de que ferramentas como os gestores de passwords (32% afirmam que usam) os pode ajudar, mas queixam-se de que os utilizadores destas ferramentas não as consideram intuitivas ou fáceis de usar, uma vez que exigem autenticação manual para terem acesso.
É preocupante que as empresas saibam o quão importante é proteger as suas passwords, mas que por diversas razões, como a dificuldade de uso para os funcionários e utilizadores, não implementam tanta segurança como deviam. Até as palavras-passe mais complexas podem ser decifradas por cibercriminosos que usem tojan keyloggers ou ferramentas como o Mimikatz. Tendencialmente, os utilizadores não usam mais do que 2 a 5 passwords diferentes e, por vezes, estas palavras-passe são do conhecimento de alguns familiares, a propósito da partilha de subscrições de serviços de streaming ou outras plataformas. Frequentemente, existe o risco de que estas passwords também possam ser obtidas através de técnicas de engenharia social, como o phishing.
São, também, muitas as credenciais que acabam na dark web fruto de falhas de segurança de dados e essas passwords permanecem expostas, e até as empresas se aperceberem que houve uma falha de segurança, podem ser exploradas com intenções maliciosas.
Dada esta situação, é imperativo que as empresas implementem soluções de autenticação multifatorial (MFA). As soluções de autenticação multifatorial sem password existem, mas não são muito flexíveis e são específicas para determinadas funções (ex. login no computador), portanto, a maioria dos sites e serviços ainda não as suporta. Além disso, os que utilizam estas soluções precisam quase sempre de uma password de suporte, como no caso das aplicações bancárias que, inicialmente, suportam biometria com reconhecimento facial no telemóvel, mas que requerem sempre também uma password de suporte.
É por isso que a melhor solução, na maioria dos casos, é as organizações implementarem soluções de MFA com push notifications. Se um hacker obtém umas credenciais válidas e tenta aceder a uma conta, o utilizador legítimo recebe uma push notification (que, normalmente, inclui dados de referência como a localização geográfica de quem tentou aceder) a requisitar a confirmação. Se o utilizador a ignorar ou rejeitar, o acesso é bloqueado. Além disso, esta solução têm outra vantagem importante: os utilizadores legítimos serão informados quando a sua password for obtida sem a sua permissão ou exposta na dark web, permitindo-lhes alterá-la rapidamente. É também importante destacar que a formação dos utilizadores é imperativa na implementação de uma solução de MFA. Os utilizadores devem compreender e assimilar que devem sempre ver as push message antes de as aprovarem ou as recusarem, evitando os clickers satisfeitos.
Para quem utiliza OTP regulares baseadas em tempo, há sempre o risco de que o hacker também consiga clonar o telemóvel, através de um aplicação RAT, e criar um clone do token móvel com isto. Nestes casos, existe uma funcionalidade extra de proteção MFA que não só verifica o número de telefone, mas também se o aparelho recetor é o legítimo, através de um algoritmo de encriptação/hash especificamente ligado ao hardware do aparelho pré-registado, como se fosse ADN móvel. Isto reduz significativamente o risco n.º1 que torna as empresas vulneráveis a acessos não autorizados: as credenciais dos seus colaboradores.