the-current-state-of-password-security-in-2021

Improving User Security

The Current State of Password Security in 2021

O estado atual da segurança por senha em 2021

A segurança de senha tem sido um tema quente desde o início da Internet. Era uma vez, proteger suas contas era tão simples quanto não definir sua senha como "senha.” Mas ao longo dos anos, a definição de uma senha segura teve que evoluir rapidamente para acompanhar o ritmo dos hackers e outros agentes mal-intencionados.

Infelizmente, parece que os usuários estão perdendo a luta. Pesquisas descobriram que pelo menos 60 por cento das senhas relacionadas à empresa não atendem aos requisitos mínimos de segurança, como não reutilizar senhas ou usar uma palavra do dicionário na senha. Esse descuido pode ter consequências catastróficas: Na verdade, a Verizon descobriu que 81 por cento das violações ocorrem devido à segurança de senha insatisfatória.

Isso é especialmente problemático devido a um grande aumento na adoção da nuvem, já que mais dados são armazenados na nuvem e os logins são a primeira (e às vezes a única) linha de defesa contra hackers que desejam usar esses dados para fins nefastos. Mesmo se você tiver outras medidas de segurança em vigor, uma boa senha fornece uma maneira simples de proteção contra a grande maioria das ameaças cibernéticas.

Vamos lançar alguma luz sobre os métodos de ataque comuns usados por criminosos cibernéticos e algumas dicas úteis para criar uma senha perfeita para fortalecer sua segurança.

Métodos comuns usados por hackers

1. Ransomware

Ransomware descreve trojans que são colocados nos computadores de suas vítimas para bloquear ou criptografar dados. As empresas não podem acessar seus conjuntos de dados até que tenham pago uma certa quantia em dinheiro do resgate. Este truque sujo é particularmente eficaz quando se trata de empresas que são altamente dependentes de seus dados. Em muitos casos, as empresas irão transferir o valor do resgate para uma conta internacional em moeda Bitcoin. A melhor maneira de prevenir o ransomware é instalar um software que impeça o ataque antes que ele tenha efeito.

2. Phishing e Malware

Muitos usuários da Internet acreditam que são inteligentes o suficiente para evitar uma tentativa de phishing ou detectar malware antes de baixá-lo. Infelizmente, violação após violação provou que essa suposição é falsa e potencialmente muito prejudicial.

Atores mal-intencionados usam uma série de técnicas para enganar os funcionários. Talvez eles coloquem um código malicioso em um documento do Word que mais tarde seja executado como um keylogger, que revelaria a senha rastreando as teclas digitadas pelos funcionários. Ou talvez uma oferta de um cartão-presente gratuito seja suficiente para um funcionário fazer login usando os detalhes da empresa. Os funcionários precisam de treinamento e testes regulares para garantir que estão realmente vigilantes quando se trata desses ataques.

3. Violações anteriores

Provavelmente, se você usou a Internet por mais do que apenas um curto período, suas informações foram comprometidas muitas vezes. Mesmo as pessoas mais cuidadosas costumam ter suas informações roubadas sem culpa própria - por exemplo, a violação da Equifax em 2017 fez com que hackers obtivessem senhas, entre outras informações, de mais de 147 milhões de pessoas.

Essas informações roubadas não ficam guardadas e escondidas. Em vez disso, as informações são colocadas à venda em marketplaces darknet, onde suas informações (junto com centenas ou milhares de outros logins) podem ser compradas por apenas alguns dólares. Assim que suas informações estiverem listadas lá, você poderá ser atacado de todas as frentes usando logins associados a essa violação.

4. Ataques de força bruta

Um ataque de força bruta é um método frequentemente encontrado - embora um tanto rude - usado por cibercriminosos. Nesse tipo de ataque, o hacker executa uma série de programas para inserir todas as combinações possíveis para produzir uma lista de senhas criptografadas. O método é simplesmente repetido até que a senha seja quebrada. Alguns programas de quebra de senha são até mesmo capazes de superar medidas básicas de segurança, como limites de quantas senhas incorretas podem ser enviadas. Embora os ataques de força bruta sejam melhores para encontrar senhas curtas e simples, eles podem quebrar qualquer senha com tempo e paciência suficientes. De forma bastante inteligente, o invasor usará uma senha em todas as contas antes de tentar a segunda senha e, desta forma, as contas não serão bloqueadas.

5. Método de dicionário

O método de dicionário é semelhante a um ataque de força bruta, mas usa uma metodologia um pouco mais inteligente. Os hackers costumam usar programas que usam listas de palavras comuns de dicionário combinadas com uma série previsível de números. Por exemplo, o programa pode escolher uma palavra aleatória como "castanha" e pontuá-la com "12345" ou "123456789.” Este método simples se tornou uma forma formidável de quebrar senhas sem que o hacker despendesse muito tempo ou esforço, pois muitos funcionários escolherão senhas fáceis de lembrar usando palavras reais.

Claramente, os hackers têm uma lista cada vez maior de maneiras de obter acesso à sua conta e todos os dados confidenciais dentro dela. Para acompanhar o ritmo, leia nossas dicas para criar uma senha perfeita.

Nossas dicas para a senha perfeita

1. Variedade é a chave

Uma senha segura em nenhuma conta deve consistir apenas de letras. Você também deve usar números, caracteres especiais e maiúsculas para tornar um ataque de força bruta significativamente mais difícil. No entanto, certifique-se de não usar palavras fora do dicionário ou análogos próximos dessas palavras. Por exemplo, a senha "tatu" levará apenas 16 minutos para quebrar usando um ataque de força bruta online, enquanto '@rm@dill0' levará cerca de uma hora - o que torna ambas as senhas muito simples para uso prático..

Em vez disso, use uma sequência de palavras, de letras maiúsculas e minúsculas, números, símbolos e palavras que não fazem parte do dicionário. Isso pode significar usar abreviações complexas, escrever frases sem sentido ou usar uma sequência aleatória de números, letras e símbolos.

2. O comprimento importa

É fácil: quanto mais longa a senha, mais difícil é quebrá-la. O comprimento do código pode ser decisivo, especialmente para ataques de força bruta. Portanto, se você usar uma senha de sete dígitos composta por maiúsculas, letras e números (62 caracteres), o número possível de combinações é 3.521.614.606.208 (mais de 3,5 trilhões). O número sobe para 218 trilhões de ciclos necessários para quebrar o código, simplesmente adicionando outro dígito. Isso significa que se sua senha tiver mais de 10 dígitos e caracteres especiais adicionais, um simples ataque de força bruta levaria vários anos para ser concluído.

3. Não reutilize senhas

Imagine se você usasse a mesma chave para sua casa, carro, escritório, caixa de correio e armazenamento. Perder uma chave daria a alguém o poder de tirar quase tudo de valor de você. Apesar disso, 13 por cento dos usuários relatam usar a mesma senha em todas as contas online, com 52 por cento de todos os usuários da Internet admitindo que usam a mesma senha em muitas (mas não em todas) contas.

Se um agente malicioso adquire uma lista de senhas, ele não tentará apenas acessar as contas violadas. Eles tentarão acessar seu PayPal, contas de trabalho, e-mails, mídia social ou qualquer outro canal que tenha algo de valor. Todas as suas senhas devem ser exclusivas - caso contrário, uma violação pode comprometer toda a sua abordagem de segurança online.

4. A maneira fácil de criar uma senha

Este truque mostra como criar uma senha complexa que só você possa lembrar. Pense em uma frase e coloque as primeiras letras de cada palavra em uma linha. Portanto, a frase “Meu nome é Joe Bloggs e nasci em 1º de janeiro de 1900!” produziria a seguinte senha: 'MNjJBaIwbo1J1900!' É longo, contém números, caracteres especiais, maiúsculas e letras e, definitivamente, não é encontrado em nenhum dicionário. Perfeito!

A Internet também pode ajudá-lo se você não quiser pensar na sua própria senha. Existem muitos geradores de senha na Internet que usam strings aleatórias para produzir uma senha. Mas tenha cuidado! É muito difícil lembrar essas combinações.

5. Use um gerenciador de senhas

Se você acha que não se lembra, sua senha é 'MNjJBaIwbo1J1900!' usando o dispositivo mnemônico mencionado acima, um gerenciador de senhas seguro pode ajudar. Hoje, existem muitos gerenciadores de senhas disponíveis com uma variedade de opções de segurança e criptografia. Em vez de precisar se lembrar de 10, 20 ou 30 senhas únicas e difíceis, você só precisa se lembrar da senha do seu gerenciador de senhas. O uso desses aplicativos garantirá que você não perderá o acesso às suas contas e incentivará o uso de senhas mais exclusivas e seguras.

6. Redefina sua senha

A pergunta mais complicada entre os gerentes de segurança: é importante redefinir as senhas regularmente? E se sim, em que intervalos? Pode parecer sensato alterar as senhas regularmente para evitar ataques cibernéticos, pelo menos à primeira vista. Mas os especialistas têm uma visão diferenciada. Muitos usuários fazem apenas pequenas alterações em suas senhas, transformando 'senha1' em 'senha2'. Esses padrões são fáceis de prever. Além do mais, as pessoas tendem a escolher senhas fáceis se souberem que precisam ser alteradas logo de qualquer maneira.

Para redefinir ou não para redefinir? Recomendamos alterar sua senha com base em seu comprimento. Por exemplo, uma senha de 12 caracteres deve ser alterada a cada seis meses. Mas uma senha de 8 caracteres deve ser alterada trimestralmente. Esse também é o conselho geral dado pelo Escritório Federal de Segurança da Informação (BSI). A maioria dos sistemas envia um lembrete automático a cada 2 a 3 meses para restaurar a senha e é aconselhável não ignorar este conselho. Você precisa redefinir sua senha imediatamente após uma invasão bem-sucedida de um portal que você usa e o roubo de dados. O aspecto mais importante é usar uma senha segura. Geradores de senha são ferramentas úteis a esse respeito.

7. Use a autenticação de dois fatores

A autenticação de dois fatores (2FA) está se tornando rapidamente o padrão para segurança de senha, pois pode fornecer uma linha sólida de proteção, mesmo se sua senha for quebrada. Com a autenticação de dois fatores, os usuários verificam sua identidade em dois dispositivos distintos - por exemplo, depois de inserirem a senha correta no laptop, eles precisam confirmar o login no celular. Isso protege contra a grande maioria dos ataques cibernéticos, pois um hacker raramente terá acesso a ambos os dispositivos autorizados.

Lembre-se de que 2FA não é à prova de falhas e uma ótima senha ainda é uma primeira linha de defesa eficaz. Por exemplo, hackers determinados e sofisticados podem usar métodos criativos como troca de SIM para obter temporariamente acesso a telefones celulares, permitindo que trabalhem em torno de 2FA. Para proteger suas informações mais confidenciais, evite usar SMS para autorizar sua conta e, em vez disso, use um programa dedicado como o Google Authenticator.

8. Use autenticação biométrica

É possível que um hacker consiga obter acesso aos seus dispositivos e impedir o 2FA, mas é muito mais difícil para um agente malicioso roubar seu rosto ou impressão digital. Anos atrás, a biometria era proibitivamente cara ou extremamente fácil de contornar - mas com os avanços da tecnologia, qualquer pessoa pode usar biometria de alta qualidade a um custo acessível.

A biometria pode assumir uma variedade de formas - como rastrear a dinâmica de suas teclas, escanear sua impressão digital ou retina, reconhecer seu rosto ou analisar uma assinatura. No entanto, tenha em mente que a biometria não deve ser sua única forma de autenticação. Um funcionário com uma lesão ocular recente pode falhar no teste de reconhecimento facial devido a um tapa-olho, ou um funcionário com as mãos úmidas pode não conseguir usar um leitor de impressão digital. Por esse motivo, uma senha bem elaborada sempre será uma faceta importante da autenticação biométrica.

9. Ultra secreto!

Alguns podem acreditar que esta dica é flagrantemente óbvia, mas ainda é a mais importante: nunca dê a ninguém sua senha. Nem mesmo um amigo, colega ou cônjuge. Também evite anotar suas senhas. Embora tornem mais fácil lembrar os códigos, as implicações podem ser desastrosas se caírem em mãos erradas.

Conclusão

100 por cento de proteção não existe. Cada senha pode ser quebrada de alguma forma: A preocupação é quanto tempo leva. O uso de combinações longas, compostas de letras, números e caracteres especiais é o primeiro passo para a proteção eficaz de seus dados. Dito isso, as organizações experientes em segurança devem sempre tentar estar vários passos à frente dos hackers.

Seguir essas práticas recomendadas ajudará você a melhorar a segurança de sua organização, mas não fornecerá proteção de ponta a ponta. Se você gostaria de levar a segurança da sua organização para o próximo nível, serviços como avaliações de vulnerabilidade e testes de penetração delinearão seus pontos fortes e fracos antes que um hacker os encontre. Ao usar uma mistura de diferentes estratégias para proteger seus dados, você estará mais protegido contra agentes mal-intencionados.

Precisa de ajuda para proteger seus dados?

Nossos especialistas em segurança e senha estão prontos para ajudá-lo com avaliações de vulnerabilidade e testes de penetração.

Inscrever-se

Comente esse artigo

Deixe seu comentário para sabermos o que você achou desse assunto.

Deixe um comentário

Autores

Bala Sathunathan

Bala Sethunathan

Director, Security Practice & CISO

Cybersecurity

Artigos relacionados

cyber-security-update-may-2021
  • 14 junho 2021
  • Bala Sethunathan
  • Segurança Gerenciada, Cybersecurity User Awareness, Cyber Threat Bulletin, Segurança cibernética

Atualização de Segurança Cibernética Maio de 2021

Atualmente, as configurações incorretas da nuvem apresentam um alto risco de violação de dados. Conheça estas melhores práticas que ajudam a proteger seus ativos baseados em nuvem.

creating-a-cybersecurity-program
  • 22 março 2021
  • Bala Sethunathan
  • Segurança Gerenciada, Cybersecurity User Awareness
  • Social Engineering, Cybersecurity, Password Security

5 passos para segurança - Conscientize seus colaboradores sobre segurança cibernética

Os cibercriminosos procuram por vulnerabilidades além da sua infraestrutura - seus colaboradores podem ser um alvo. Entenda como a conscientização do seu time pode detê-los

Know These Cybersecurity Threats
  • 11 março 2021
  • Bala Sethunathan
  • Segurança Gerenciada, Backup Gerenciado, Cybersecurity User Awareness
  • Ransomware, Malware, Internet, segurança

Conheça essas ameaças à cibersegurança

Não seja pego desprevenido - os ataques cibernéticos estão se tornando cada vez mais comuns. Conheça algumas ameaças importantes da cibersegurança