Especialistas dizem que é hora de parar de confiar em senhas
Principais vantagens
- Os especialistas em segurança cibernética sugerem que as senhas, por si só, não devem mais ser consideradas adequadas para proteger contas.
- Os usuários devem habilitar a autenticação multifator (MFA) sempre que possível.
- No entanto, o MFA não deve ser usado como desculpa para a criação de senhas fracas.
Oscar Wong / Getty Images
As senhas mais fortes e as políticas de senha mais rígidas não têm muita utilidade quando o provedor de serviços online vaza suas credenciais devido a uma configuração incorreta em seus servidores.
Se você acha que tal eventualidade seria uma raridade, saiba que muitos dos maiores vazamentos de dados em 2021 foram devido a pegadinhas técnicas por parte dos prestadores de serviços. Na verdade, em dezembro de 2021, especialistas em segurança cibernética ajudaram a conectar esse tipo de configuração incorreta no bucket S3 da Amazon Web Services propriedade da Sega, que continha todos os tipos de informações confidenciais, incluindo senhas.
"O uso de senhas deve se tornar obsoleto e devemos procurar maneiras diferentes de fazer login nas contas", CEO do fornecedor de segurança Gurucul,
O problema com senhas
Em dezembro, The Sun relatou que a National Crime Agency (NCA) do Reino Unido forneceu mais de 500 milhões de senhas para o popular Fui sacaneado (HIBP), que foi descoberto durante uma investigação.
O HIBP permite que os usuários verifiquem se suas senhas vazaram em uma violação e estão sujeitas a abusos por hackers. De acordo com o fundador do HIBP, Troy Hunt, mais de 200 milhões das senhas fornecidas pela NCA ainda não existia no banco de dados.
"Embora o recurso de armazenamento de credenciais de conta dos navegadores seja muito conveniente... recomenda-se que os usuários evitem usá-lo. "
"Isso aponta para o tamanho do problema, o problema sendo as senhas, um método arcaico de provar a genuína confiança de alguém. Se alguma vez houve um apelo à ação para eliminar as palavras-passe e encontrar alternativas, tem de ser este, " Baber Amin, COO de especialistas em identidade digital, Veridium disse à Lifewire por e-mail, em resposta à recente contribuição da NCA para o HIPB.
Amin acrescentou que as credenciais vazadas não comprometem apenas as contas existentes, já que os hackers agora as usam com ferramentas analíticas baseadas em IA para identificar padrões de como um indivíduo cria senhas. Em essência, as credenciais vazadas também colocam em risco a segurança de outras contas não comprometidas.
Senhas e mais
Defendendo um mecanismo de proteção melhor do que as senhas, Nayyar sugere que os usuários que têm a opção de configurar a autenticação multifator em suas contas o façam.
Ron Bradley, VP de Avaliações Compartilhadas, uma organização de membros que ajuda a desenvolver as melhores práticas para garantia de risco de terceiros, concorda. "Ative a autenticação multifator em todos os lugares possíveis, especialmente em aplicativos que movimentam dinheiro."
Proteger uma conta apenas com uma senha é conhecido como autenticação de fator único. A autenticação multifator ou MFA é construída em cima disso e protege as contas adicionando uma etapa extra ao processo de login, solicitando aos usuários outra informação. Muitos serviços, incluindo vários bancos, implementam MFA enviando um código de verificação para o número do celular de um usuário registrado no banco.
Mark Kolpakov / Getty Images
No entanto, esse mecanismo de verificação está sujeito a um mecanismo de ataque conhecido como Ataque de troca SIM, onde os invasores assumem o controle do número do telefone celular de um alvo enganando a operadora do proprietário para reatribuir o número ao cartão SIM do invasor.
Apesar de reconhecer tal ataque que tinha como alvo alguns de seus clientes, a T-Mobile disse que os ataques de troca de SIM tornaram-se uma ocorrência comum em todo o setor.
Em vez disso, uma opção melhor para habilitar o MFA é usar aplicativos como Duo Security, Google Authenticator, Authy, Microsoft Authenticator e outros aplicativos MFA dedicados.
Sprawl de senha
No entanto, todos os especialistas em segurança cibernética com quem conversamos alertaram que o uso de MFA não deve ser uma desculpa para não tomar as medidas adequadas para proteger as senhas.
“Faça parte do grupo de um por cento que não tem ideia de qual é a senha de seu banco porque é muito longa e complexa”, aconselhou Bradley.
Ele acrescenta que os usuários devem considerar investir em um gerenciador de senhas quando se trata de senhas. Embora não haja falta de gerenciadores de senhas gratuitos e haja um integrado ao seu navegador, especialistas sugerem que um gerenciador de senhas gratuito é melhor do que não ter nenhum, mas os usuários devem ter cuidado ao usar 1.
"Faça parte do grupo de um por cento que não tem ideia de qual é a senha do seu banco porque é muito longa e complexa."
Enquanto investigando uma violação recente da rede interna de uma empresa, pesquisadores de segurança cibernética da AhnLab descobriram que a conta VPN usada para invadir a rede da empresa vazou do PC de um funcionário remoto.
Este PC foi infectado com vários malware, incluindo um projetado especificamente para extrair senhas dos gerenciadores de senhas integrados aos navegadores da web baseados em Chromium, como Google Chrome e Microsoft Beira.
"Embora o recurso de armazenamento de credenciais de conta dos navegadores seja muito conveniente, pois existe o risco de vazamento de credenciais da conta após a infecção por malware, os usuários são recomendados a evitar o uso ", avisa o AhnLab pesquisadores.