0
0
O Diretor de Segurança de Identidade da Microsoft tem alertado sobre a ineficácia das senhas e, mais recentemente, sobre a autenticação multifatorial padrão ou MFA.
Senhas não importam
No início deste ano, Alex Weinert alertou que “Seu Pa$$word não importa“, na verdade ele explicou as razões pelas quais mesmo senhas fortes não são necessariamente eficazes.
“Quando se trata de composição e comprimento, sua senha (principalmente) não importa”, disse Weinert, da Microsoft. Ele deve saber: a equipe com quem trabalha na Microsoft se defende contra centenas de milhões de ataques baseados em senha todos os dias.https://d54ed0aba2ce028306b82ef9b3f98657.safeframe.googlesyndication.com/safeframe/1-0-37/html/container.html?n=0
“Lembre-se que tudo o que seu agressor se importa é roubar senhas… Essa é uma diferença fundamental entre segurança hipotética e prática.” — Alex Weinert, da Microsoft
Em outras palavras, os bandidos farão o que for necessário para roubar sua senha e uma senha forte não é um obstáculo quando os criminosos têm muito tempo e muitas ferramentas à sua disposição.
Em uma mesa, ele deu uma lista de razões pelas quais os hackers são frequentemente bem sucedidos. Por exemplo:
—Violação de senha,ou seja, os bandidos já têm sua senha.
Risco: violações maciças acontecem o tempo todo. Como eles já têm sua senha e porque as senhas são difíceis de pensar e serem reutilizadas (62% dos usuários admitem reutilização), os hackers podem invadir mais de uma de suas contas. Mais de 20 milhões de contas sondadas diariamente em sistemas Microsoft ID.
—”Password Spray” também conhecido como adivinhação
Risco: “Às vezes 100 de milhares quebrados por dia. Milhões sondados diariamente.”
—Phishin,ou seja, e-mails falsos — às vezes muito autênticos — supostamente de uma empresa respeitável em que você confia.
Risco: “funciona… as pessoas estão curiosas ou preocupadas e ignoram sinais de alerta.
Solução para o acima (uma exortação voltada mais para empresas de tecnologia do que usuários): confiar mais em biometria, como impressão digital (ou uma “impressão digital cognitiva”*), voz ou identificação facial, de acordo com a Mountain View, Com sede na Califórnia, que, entre outras coisas, está envolvida na segurança do software. “Esses mecanismos de reconhecimento são armazenados apenas no dispositivo do usuário. As senhas são ‘segredos compartilhados’ que residem tanto no dispositivo quanto em um servidor que, como todos sabemos, pode ser hackeado”, disse Synopsys.
Mas a Synopsys também acrescenta isso: Se você tornar suas senhas longas e complicadas, use uma mistura de letras, símbolos e pontuação, altere periodicamente sua senha e não use a mesma senha para mais de uma conta, “você [será] um outlier (já que a maioria dos usuários não as faz)”, ou seja, você estará mais seguro do que a grande maioria das pessoas.
A autenticação multifatorial baseada em telefone também não é segura
O MFA baseado em telefones, também conhecido como redes telefônicas comutam publicamente ou PSTN, não é seguro, de acordo com Weinert.
(O que é típico do MFA? É quando, por exemplo, um banco envia um código de verificação através de uma mensagem de texto.)
“Acredito que eles são os menos seguros** dos métodos MFA disponíveis hoje”, escreveu Weinert em um blog (via ZDNet).
“Quando os protocolos de SMS (sms) e de voz foram desenvolvidos, eles foram projetados sem criptografia… O que isso significa é que os sinais podem ser interceptados por qualquer um que possa ter acesso à rede de comutação ou dentro da faixa de rádio de um dispositivo”, escreveu Weinert.
Solução: use autenticação baseada em aplicativos. Por exemplo, Microsoft Authenticator ou Google Authenticator. Um aplicativo é mais seguro porque não depende da sua operadora. Os códigos estão no próprio aplicativo e expiram rapidamente.
——
Notas:
*Uma impressão digital cognitiva combinaria vários comportamentos, como padrões de teclas, uso do mouse, estrutura de frases e uso da linguagem.
**Mas note que usar autenticação multifatorial é muito mais seguro do que não usá-la.
FONTE: FORBES