Sua empresa já teve senhas hackeadas?
Após a brecha da empresa global de inteligência Stratfor, hackers publicaram o arquivo de senha roubada contendo os nomes e hashes para mais de 860.000 contas. Um esforço para utilizar técnicas típicas de quebra de senha no arquivo rendeu resultados rápidos: cerca de 1 em cada 10 contas tiveram uma senha trivial.
Embora seja desconhecido o número de titulares de contas que reutilizam suas senhas, muitos assinantes têm utilizado endereços de email de seu empregador, o que sugere a possibilidade de que eles reutilizam suas senhas também. Enquanto no mundo real a pesquisa é escassa, o pouco que existe sugere que a reutilização é exuberante. Após a quebra de sites online da Sony no ano passado, por exemplo, uma análise conectada a um pequeno subconjunto de usuários cujas senhas foram divulgadas em outra violação revela que dois terços tinham reutilizado suas senhas.
Para as empresas, a reutilização de senhas enfraquece a segurança e pode fazer com que uma empresa passe a contar com serviço de segurança terceirizado cuja ação é questionável. Enquanto as companhias tentar fazer com que o funcionário separe a vida pessoal da profissional, os trabalhadores podem, inadvertidamente, reconectar os dois, disse Sam Curry, diretor de tecnologia da identidade de segurança da gigante RSA.
“A pessoa média tem provavelmente um ou dois telefones e provavelmente tem qualquer número de serviços aos consumidores e duas ou três máquinas que interagem entre si,” diz Sam Curry. “Se a senha é a mesma em todos os lugares, então existem literalmente dezenas ou centenas de lugares onde suas senhas podem ser armazenadas em cache ou o hash pode ser armazenado em cache.”
Enquanto as empresas podem definir a política e educar seus funcionários a usar senhas boas e não reutilizar os códigos secretos – especialmente entre as empresas e sites pessoais – especialistas de segurança da informação devem buscar outras soluções, diz Mark Joynes, diretor de gerenciamento de produto da Entrust.
“As empresas que estão levando a questão de segurança a sério não devem se basear em mecanismos de senha”, diz Joynes. “Em função da natureza humana, os usuários irão reutilizar as senhas, independentemente do risco relativo da aplicação.”
Considere estes cinco passos para mitigar o risco.
1. Não basta educar. Motive
Enquanto a educação não é suficiente, o treinamento dos funcionários nunca é um desperdício. No entanto, as empresas precisam fazer um trabalho melhor de ensinar seus funcionários dando-lhes incentivos para fazer o que é certo. A empresa poderia, por exemplo, dar aos trabalhadores o acesso a ferramentas de segurança e serviços de forma gratuita.
“As pessoas são motivadas por razões sociais, razões morais ou por motivos financeiros”, diz Curry da RSA. “Essas são as alavancas e são as coisas que podem ser feitas para influenciar o comportamento dos funcionários, gostem eles ou não.”
2. Se você deve usar uma senha, utilize uma frase secreta
Para situações onde a única opção para garantir uma conta é usar uma senha, muitos especialistas em segurança recomendam uso de frases, compostas de três ou mais palavras juntas.
A frase é muito mais difícil do que uma senha. No seu relatório mais recente, a Trustwave, empresa de segurança, descobriu que senhas fracas de contas administrativas como são a ameaça número 1 que seus analistas encontraram durante os testes de penetração e investigações contraordenação. A empresa coletou uma base de dados de 2,5 milhões de senhas e relatou que poderia facilmente quebrar 10%. Mais de 60% de senhas continham 60 caracteres ou menos.
“Quando eu defino senhas para todas as minhas contas levo muito, muito tempo, porque são frases-chave, e não senhas”, afirma Nicholas J. Percoco, vice-presidente sênior da Trustwave e chefe do SpiderLabs.
3. Use um segundo fator, mesmo internamente
Uma maneira de tornar o uso de senhas de funcionários menos relevantes para a segurança de uma empresa é a utilização de um segundo fator de autenticação.
Biometria, cartões de senha única, tokens ou smart. Ter um segundo fator pode tornar os ataques muito mais difícil. Além disso, as empresas não devem apenas usar dois fatores para acesso remoto, mas internamente também, diz Percoco.
“Na maioria dos ambientes, se você perguntar aos funcionários onde eles usam dois fatores, eles vão dizer que apenas no acesso remoto”, diz.”
4. Esteja pronto para um roubo de senha
No entanto, mesmo um segundo fator às vezes não é suficiente. As empresas precisam estar prontas quando uma das suas medidas de segurança é violada, seja por meio de um vazamento de senha ou através de um ataque como o compromisso de tokens SecurID, da RSA.
Ter uma identidade e um sistema de gerenciamento de acesso que pode rapidamente revogar uma medida certa de segurança exige outra opção chave, diz Entrust do Joynes.
“Com uma abordagem de plataforma, onde você tem uma variedade de autenticadores em jogo, se um autenticador ficar comprometido você poderá conseguir outra coisa de forma dinâmica?, diz.
5. Observe o comportamento para determinar quando usar a segurança adicional
Finalmente, observando o comportamento do usuário é possível detectar ataques que, por meio de concessões ou de coerção, são capazes de obter acesso à rede.
Por exemplo, os bancos agora olham para a ?velocidade? de transações em seu site de internet banking, diz Joynes. Se um cliente mudar de endereço e logo em seguida fazer uma transferência de dinheiro, levantamos uma bandeira vermelha, especialmente se as duas transações acontecem no espaço de microssegundos.
“Ao entender o contexto do pedido de transação, você pode tomar uma melhor decisão sobre a segurança”, diz Entrust do Joynes.
