0
0
Darren Siegel é especialista em segurança cibernética na Specops Software. Ele trabalha como engenheiro de TI líder, ajudando as organizações a resolver desafios complexos dentro da segurança de TI. Nesta entrevista ao Help Net Security ele discute os desafios relacionados à segurança de senhas.
Todos os anos, os atacantes têm acesso a bilhões de senhas. Quais são as principais razões pelas quais esses vazamentos continuam acontecendo?
Claramente não faltam maneiras de um mau ator acessar dados privilegiados em sistemas de computador. Vemos sistemas comprometidos por qualquer coisa, desde senhas administrativas padrão/facilmente adivinhadas até ataques sofisticados de engenharia social a vulnerabilidades conhecidas, mas não reparadas, como a que levou ao vazamento de credenciais da VPN Fortinet SSL no final do ano passado. Explorações de zero-day como Log4J também são obrigadas a acontecer de tempos em tempos, deixando até mesmo os ambientes mais bem guardados potencialmente expostos aos atacantes.
Apesar das soluções disponíveis, vazamentos mostram que as organizações ainda não resolveram os problemas de senhas fracas e reutilização de senhas. Por que?
A maior barreira para senhas mais fortes é o comportamento e as expectativas do usuário final. Os usuários querem senhas rápidas de digitar e fáceis de lembrar, e isso naturalmente os leva a escolher senhas que também são bastante fáceis de adivinhar.
O mesmo pode ser dito para o reaproveitamento de senhas – é muito mais fácil para um usuário final lembrar de uma boa senha do que manter o controle de várias senhas diferentes para diferentes contas. As organizações precisam aproveitar ferramentas que facilitem a escolha de senhas boas e memoráveis.
Que conselho você daria a um CISO em busca de uma maneira de reforçar a segurança e evitar uma violação de senha?
Os CISOs têm um papel exclusivamente desafiador – apenas uma senha ruim ou um sistema não reparado pode levar sua organização a aparecer nas notícias. E, infelizmente, não podemos confiar no comportamento humano dos usuários finais ou mesmo dos administradores de TI sozinhos para manter os sistemas sob controle.
Meu conselho seria implementar soluções que apliquem e auditem boas práticas de senha para que você possa saber com confiança que não há vulnerabilidades relacionadas a senha em sua rede.
O Specops Software tem soluções eficazes de segurança de senhas. Você pode destacar algumas das características mais interessantes?
Eu destacaria a Política de Senha specops com proteção por senha violada. Essa solução permite que os administradores de TI apliquem o uso de boas práticas de senha, impedindo que os usuários desçam senhas que contenham palavras comuns, palavras comuns à sua organização única e mais de 2 bilhões de senhas que apareceram em violações de dados públicos.
Também podemos verificar regularmente as senhas atuais dos usuários contra essas listas de senhas de violação para garantir que continuemos a proteger contra a próxima violação de dados, sempre que isso inevitavelmente acontecer. Sem dúvida, a melhor parte dessa solução é a facilidade de uso para os usuários finais, tornando a adoção no programa perfeita — afinal, quão bom é um software se você não consegue fazer as pessoas usá-la?
FONTE: HELPNET SECURITY