0
0
A tecnologia sem senha pode ser uma das categorias mais exageradas em segurança cibernética no momento, mas a realidade no terreno é que as senhas ainda estão amplamente enraizadas – e extremamente inseguras. Cerca de 24,6 bilhões de conjuntos completos de nomes de usuário e senhas estão atualmente em circulação em mercados cibercriminosos a partir deste ano, descobriu um relatório.
São quatro conjuntos completos de credenciais para cada pessoa na Terra e um aumento de 65% desde a última vez que este estudo foi realizado, em 2020.
O relatório da equipe de Pesquisa de Fótons da Digital Shadows, “Aquisição de Contas em 2022“, mostra que os cibercriminosos continuam a lucrar generosamente com essa realidade com uma onda recorde de roubos de credenciais, ataques de aquisição de contas (ATO) e vendas no mercado negro de acesso às contas de vítimas.
Dentro do conjunto de dados de credenciais na Dark Web, aproximadamente 6,7 bilhões das ofertas tinham um emparelhamento exclusivo de nome de usuário e senha, indicando que a combinação não foi duplicada em todos os bancos de dados. Isso é 1,7 bilhão a mais do que o que os pesquisadores descobriram em 2020. O relatório mostra que os mercados que vendem essas credenciais são robustos e sofisticados, com vários serviços de assinatura surgindo para oferecer serviços premium criminais para comprá-las.
‘Lista sem fim’ de dados violados
Outra má notícia para as pessoas de segurança é que muitas das senhas examinadas nesses armazenamentos de dados roubados não eram muito seguras em primeiro lugar.
“Os criminosos têm uma lista interminável de credenciais violadas que podem tentar, mas adicionar a esse problema são senhas fracas, o que significa que muitas contas podem ser adivinhadas usando ferramentas automatizadas em apenas alguns segundos”, diz Chris Morgan, analista sênior de inteligência de ameaças cibernéticas da Digital Shadows.
A saber: Quase uma em cada 200 senhas encontradas nas credenciais oferecidas para venda por criminosos é 123456. Das 50 senhas mais usadas nas agrupadas para o relatório, 49 podem ser quebradas em menos de um segundo usando ferramentas também comumente disponíveis em fóruns subterrâneos. Portanto, se um comprador criminoso compra uma lista de credenciais roubadas ou um cracker de senha, as contas que usam apenas essas credenciais são extremamente vulneráveis a ataques.
Sem senha para o resgate?
Esta é apenas uma das muitas razões pelas quais os defensores da segurança e as organizações de padrões de tecnologia têm pressionado tanto por uma tecnologia sem senha mais utilizável em todo o mundo. De acordo com um relatório recente da Dark Reading, apenas 26% dos tomadores de decisão de TI disseram trabalhar em uma organização sem senha, e 87% admitiram que tinham pelo menos uma categoria de credenciais que ainda dependia de senhas.
Os sistemas mais comuns que eles desejavam poder autenticar sem senhas eram logins de estação de trabalho, aplicativos corporativos legados e aplicativos em nuvem. E esses números se concentram principalmente em contas comerciais sem considerar o problema ainda mais espinhoso da autenticação do consumidor, para tudo, desde contas bancárias até serviços de assinatura de software.
Um dos maiores impulsos para a autenticação sem senha vem através da FIDO Alliance, que há mais de uma década publica padrões para mecanismos de autenticação de alta segurança para levar as senhas ao meio-fio.
No início deste ano, a Fido Alliance reconheceu que “não alcançamos a adoção em larga escala da autenticação baseada em FIDO no espaço do consumidor” em sua revelação de uma visão para credenciais FIDO multidispositivos a serem usadas em casos de uso do consumidor – importante na era do trabalho remoto a partir de dispositivos pessoais. Essas chaves de acesso são mais seguras do que as senhas e são projetadas para facilitar os logins em dispositivos móveis e desktops. Em maio, a Apple, o Google e a Microsoft relataram que vão implementar o suporte para esses padrões em suas plataformas.
Mas, enquanto isso, Morgan explica que as organizações não podem se dar ao luxo de ignorar o problema cada vez maior das credenciais roubadas e traficadas usadas para a ATO.
“Vamos passar para um futuro sem senha, mas por enquanto a questão das credenciais violadas está fora de controle”, diz Morgan. “Nos últimos 18 meses, alertamos nossos clientes sobre 6,7 milhões de credenciais expostas. Isso inclui o nome de usuário e as senhas de sua equipe, clientes, servidores e dispositivos IoT. Muitas dessas instâncias poderiam ter sido mitigadas usando senhas mais fortes e não compartilhando credenciais entre diferentes contas.”
FONTE: DARK READING