No dia 4 de maio foi comemorado o Dia Mundial da Senha, uma data criada para reforçar a importância da segurança de usuários e empresas. Pensando em conscientizar sobre a importância da segurança da informação, a Daryus Consultoria, empresa focada em Continuidade de Negócios, Gestão de Riscos, Segurança e Privacidade da Informação e Cibersegurança, lista alguns pontos e dicas para a gestão de senhas.
“Com as técnicas de espionagem, o crime organizado e o hacktivismo cada vez mais aprimorados, qualquer invasão ou vazamento de dados pode comprometer a reputação da empresa ou prejudicar colaboradores e clientes. É importante desenvolver um trabalho contínuo de conscientização e condicionamento dentro das organizações”, ressalta Jeferson D’Addario, CEO do Grupo Daryus, consultor e especialista no tema com mais de 20 anos de experiência.
A falta de gestão de senhas pode acarretar problemas de curto, médio e longo prazo, no ambiente corporativo. A fragilidade de senhas pode resultar em golpes de phishing, uma técnica de engenharia social usada para enganar usuários e obter informações confidenciais, roubo de dados sensíveis, roubo de identidade ou obter credenciais para acesso as redes da empresa.
De acordo com um relatório da empresa norte-americana, NordPass, divulgado no ano passado, algumas combinações seguem sendo utilizadas pelos internautas brasileiros e de outros países. A senha que lidera o ranking é a sequência numérica 123456, com mais de 13 mil usos e a segunda senha mais utilizada é o nome do país. Confira as 10 senhas mais utilizadas pelos brasileiros, segundo a pesquisa:
A divisão de cibersegurança da Daryus Consultoria também cita que em vários trabalhos de teste de invasão (penetration test) e identificação de vulnerabilidades para empresas, muitas vezes identifica o uso de senhas fracas como 123456, 123nomedapessoa, 123nomedaempresa entre outras, o que preocupa muito os consultores e as diretorias responsáveis.
Para D’Addario, senhas frágeis são sempre uma porta de entrada para cibercriminosos. “Cabe às empresas garantir uma política de senhas e monitoramento de acessos, para minimizar esses ataques e proteger a organização. O uso combinado de números, letras e símbolos são alternativas para garantir uma melhor gestão de senhas”.
O especialista ainda afirma que para facilitar a memorização, muitos usuários acabam utilizando as mesmas senhas para contas e serviços diversos. “Isso pode ser prejudicial caso ocorra uma invasão, pois o cibercriminoso pode ter acesso às demais contas utilizando a mesma senha. Apesar da agilidade, é muito importante diferenciar esses acessos e investir em senhas fortes para cada tipo de serviço”, pontua D’Addario.
Confira algumas dicas para uma gestão de senhas eficaz:
É importante capacitar e orientar os colaboradores por meio de treinamentos, workshops, jogos, peças teatrais, filmes e outros materiais de apoio, para que eles identifiquem se estão colocando senhas fortes e cuidando adequadamente de suas contas de acesso. É importante que as pessoas entendam para praticar na empresa e em casa, inclusive orientando a família. Na empresa temos políticas de segurança e tecnologias, mas em casa com a família o importante é que compreendam os riscos e benefícios. Muitos executivos e gerentes podem ser alvos de cibercriminosos em suas contas pessoais.
Se uma senha for muito compartilhada ela perderá o seu propósito que é proteger as informações e os dados da empresa. Portanto, as senhas nunca devem ser compartilhadas com outras pessoas, sejam da equipe ou familiares. Senhas são pessoais e intransferíveis. Recomenda-se que cuide das suas contas de acesso e senhas da empresa ou pessoais com muito zelo.
Trocar senhas é chato! Sabemos disso, mas é preciso. Nas empresas, provavelmente o administrador configura para trocar a cada 3 meses em média, o que é considerado ainda uma prática clássica.
No ambiente corporativo é muito comum administrar diversas contas e senhas. Para auxiliar nesse trabalho, é possível contar com ferramentas para gerenciar esses acessos. O gerenciador de senhas armazena essas informações de forma segura, o usuário só precisa guardar uma senha mestra para acessar o aplicativo. Para uso pessoal, pode-se usar gerenciadores de senhas também, eles são conhecidos como cofres de senhas e alguns tem a opção de assinatura para toda a família.
Utilizar fatores adicionais, como tokens físicos ou digitais é uma boa prática. Podem ser definidos pelas empresas, pois, existem várias opções e tecnologias, e pode ser utilizado para uso pessoal.
Outro ponto são os perfis abertos em redes sociais, “que são um grande fator de risco, pois facilita a construção de ‘wordlists’ por parte de hackers que utilizam informações como nomes de cônjuges e familiares, datas de nascimento (que são postadas durante as comemorações), nomes de pets, etc. Por meio de softwares de fácil acesso (como o Kali Linux), eles poderiam utilizar técnicas de força bruta (conhecimento facilmente acessível em tutoriais no YouTube e agora potencializado pelo Chat GPT e outras inteligências artificiais)”, salienta José Medeiros, consultor em segurança da informação e privacidade da Daryus Consultoria.
De uma maneira tradicional e clássica, estas são as dicas e recomendações básicas. Porém, atualmente grandes empresas de tecnologia, como a Microsoft, já orientam conceitos mais avançados que parecem um contraponto pois as características humanas e de comportamento demonstram que as pessoas vão cometer os mesmos erros.
“Do ponto de vista da pessoa, se ela tiver que trocar a senha periodicamente e de forma obrigatória, ela rapidamente vai pensar em algo óbvio, sequencial, normatizado, o que facilitaria a vida de quem quisesse adivinhar ou decifrar suas senhas. As pessoas costumam facilitar as coisas e tendem a buscar números, datas, palavras fáceis de lembrar, e os cofres de senhas ainda não são tão usados ou difundidos”, explica Pedrita Miranda, consultora e líder da equipe de TI na Daryus Consultoria.
Pedrita complementa que “do ponto de vista da organização, se forçamos a ter uma senha forte seguindo as melhores práticas, por que ela precisa ser obrigatoriamente trocada a cada 30 ou 60 dias? Quanto mais regras de complexidade, maior a tendência dos usuários de normatizar a senha e por consequência, deixá-la mais fraca”.
Outra prática clássica foi posta em xeque, a do cadastro de dica de senha, que era comum e já não é mais recomendada, pois, as pessoas tendem a colocar parte da senha na dica ou uma palavra que é exatamente a senha, o que facilita para os cibercriminosos. “As pessoas tendem a usar dicas do tipo: Qual nome do seu animal de estimação? Informação que é facilmente obtida com uma busca simples nas redes sociais”, salienta Pedrita.
“Existem novas tecnologias como MFA, lista de senhas proibidas, cofre de senhas, leitores biométricos e outras tecnologias que podem fortalecer o login dos usuários e acesso as redes corporativas”, destaca Cristian Souza, consultor em cibersegurança Daryus Consultoria e professor do IDESP.
“As pessoas no dia a dia normal de trabalho sejam remotas ou presenciais, dentro de suas atribuições, projetos e processos de trabalho são a primeira linha de defesa de uma organização. É importante que os líderes entendam que a segurança da informação não é um papel ou uma política publicada na intranet, trata-se de mudança de mentalidade, comportamento e entendimento dos riscos e benefícios”, finaliza D’Addario.