0
0
Os adversários não precisam usar métodos sofisticados para obter acesso a sistemas corporativos ou implantar ransomware – eles podem simplesmente comprar ou roubar credenciais e fazer login.
Ao sobrecarregar os usuários com a tarefa quase impossível de manter “senhas seguras”, as empresas acabam dando às pessoas um nível enorme e injusto de responsabilidade pela segurança. Como resultado, muitas organizações estão confiando no que equivale a um lançamento de dados para proteger a si mesmas e seus clientes de invasores.
Band-aids não consertam buracos de bala
O Relatório de Investigação de Violação de Dados da Verizon e o estudo após estudo nos lembram que as senhas – também conhecidas como “segredos compartilhados” – são um método fundamentalmente inseguro de validação de usuários e a maior vulnerabilidade para as organizações.
Infelizmente, a maioria das organizações coloca o fardo sobre seus usuários para mitigar os riscos associados ao uso de senhas: eles exigem que seus funcionários ou clientes criem senhas mais longas / mais fortes e forcem alterações frequentes de senhas.
Isso não corrige o problema e cria uma experiência de usuário muito frustrante. De fato, pesquisas recentes revelaram que a pessoa média usa 100 senhas – uma tarefa assustadora para qualquer um. Não é de surpreender que erros sejam cometidos e que um elemento de fadiga se instale.
Além disso, essa abordagem de segurança significa que o usuário também é responsável por manter todas as suas informações pessoais relevantes seguras, mesmo quando as violações de segurança significam que bilhões de registros de dados pessoais, incluindo senhas, estão prontamente disponíveis na dark web.
Senhas “fortes” são um mito
Para ser claro, não existe tal coisa como uma “senha segura”. Os adversários usam técnicas de engenharia social para enganar os usuários a entregar suas senhas ou implantar malware para roubá-las. Mesmo que um funcionário ou cliente siga todos os conselhos fornecidos e escolha uma “senha longa e forte”, isso não importa. Este conselho desatualizado baseia-se no fato de que é mais difícil “quebrar” (descriptografar) senhas mais fortes. Em vez de “quebrar” senhas, os adversários simplesmente as roubam quando já não estão criptografadas. Os adversários implantam malware no endpoint ou usam técnicas de AitM (adversary-in-the-middle). O malware é igualmente capaz de roubar uma senha de três caracteres ou uma senha de três mil caracteres (independentemente de incluir caracteres especiais ou não).
Assim, misturar letras e símbolos e construir a senha perfeita de doze caracteres não faz nada para resolver o problema: existem técnicas de engenharia social e ferramentas prontamente disponíveis que facilitam o roubo de senhas “fortes”. Portanto, assumir que sua organização ou seus clientes estarão seguros se usarem senhas mais longas e mais fortes é um mito. Enquanto as senhas permanecerem em uso, elas serão roubadas e usadas para cometer crimes cibernéticos em todas as suas formas.
Limitações dos gerenciadores de senhas
A única coisa que um usuário final pode fazer para se proteger parcialmente é escolher uma senha exclusiva para cada conta. Isso pode limitar a capacidade do invasor de usar a abordagem de preenchimento de senhas, ou seja, o invasor usando credenciais roubadas para uma conta e tentar usá-las em várias outras contas. Essa técnica geralmente é bem-sucedida porque funcionários e clientes geralmente usam a mesma senha em vários sites.
Digite gerenciadores de senhas. Essa abordagem cresceu em popularidade porque permite que os usuários criem e armazenem senhas exclusivas para todos os seus muitos aplicativos, sistemas e serviços. Assim, se sua senha do Facebook for roubada, o adversário não poderá usá-la para fazer login em seu banco. No entanto, ele não corrige as deficiências inescapáveis da abordagem de senha. Ele limita os ataques de reutilização de senha, mas não interrompe os outros ataques mencionados acima.
Os gerenciadores de senhas não fazem nada para impedir uma tática de invasor no meio ou de um invasor no ponto de extremidade. O mesmo fluxo de login está lá, a única diferença é que essa senha vem do gerenciador de senhas versus a digitação do usuário. Ele também não faz nada contra um ataque de engenharia social – o usuário ainda pode abrir o gerenciador de senhas, olhar para a senha e entregá-la ao bandido.
Mas os gerenciadores de senhas têm outra desvantagem: eles concentram maciçamente o risco. Como todas as senhas do usuário são armazenadas em um único banco de dados na nuvem e no dispositivo do usuário, o impacto potencial de uma violação é muito maior. E os gerenciadores de senhas protegem o banco de dados de senhas com – você adivinhou – uma senha! Se um invasor conseguir roubar essa senha principal, ele terá acesso a todas as suas senhas. Em dezembro de 2022, por exemplo, o gerenciador de senhas LastPass foi hackeado, com invasores decolando com, entre outras coisas, backups de dados do cofre do cliente.
Em última análise, os gerenciadores de senhas não fornecem o nível de segurança necessário para a economia conectada de hoje. Então, qual é a alternativa?
O problema com MFA
MFA é frequentemente aclamado como uma solução para a vulnerabilidade de senha. Em vez de exigir uma única senha, os usuários são solicitados a inserir várias informações para verificar sua identidade e acessar suas contas. No entanto, o MFA de primeira geração é fraco, pois muitas vezes adiciona outro fator facilmente hackeado.
Por exemplo, senhas únicas enviadas por e-mail ou SMS e links mágicos são facilmente eliminadas, e as notificações push estão sujeitas a táticas de engenharia social, como ataques de “bombardeio imediato”, onde os adversários enviam várias solicitações aos usuários que sofrem de “fadiga de empurrar”. Os invasores têm ferramentas de código aberto que tornam extremamente fácil ignorar o MFA de primeira geração, deixando claro que dois fatores fracos não contribuem para uma solução de segurança forte.
O futuro é um MFA sem senha e resistente a phishing
Uma mudança fundamental na abordagem é necessária para proteger as contas de funcionários e clientes e para remover a carga sobre os usuários finais. Organizações em todo o mundo estão fazendo um esforço conjunto para implementar tecnologias de autenticação seguras e de próxima geração. Muitos estão migrando para abordagens de autenticação sem senha e resistentes a phishing que combinam criptografia de chave pública com a autenticação biométrica integrada disponível em dispositivos modernos. Isso fornece dois fatores muito fortes resistentes a phishing.
As soluções que empregam o padrão FIDO2 (Fast Identity Online) fornecerão a base para a próxima geração de MFA sem senha e resistente a phishing. As soluções baseadas em FIDO usam chaves de acesso – criptografia de chave pública/privada que já está implantada globalmente no Transport Layer Security (TLS, também conhecido como o bloqueio no navegador) para garantir comunicações privadas entre usuários e sites. Essa abordagem alivia o risco de ataques do homem no meio.
Soluções que também garantem que as chaves privadas sejam armazenadas em um Trusted Platform Module (TPM) – um criptoprocessador seguro internacional que é incorporado em dispositivos de endpoint modernos – mitigam significativamente os ataques man-on-the-endpoint.
Ao aliviar os usuários da responsabilidade de proteger sites, serviços e aplicativos, as organizações podem oferecer um impulso transformacional aos elos mais fracos da segurança cibernética. Em um mundo onde o crescimento dos serviços digitais dependentes de senha continua a ser acompanhado pelo sucesso de agentes mal-intencionados, isso representa um ganho mútuo para as equipes de segurança sob pressão para oferecer melhor proteção sem afetar a experiência do usuário.
FONTE: HELPNET SECURITY