Princípios importantes
- Especialistas em cibersegurança sugerem que as senhas, por si só, não devem mais ser consideradas adequadas para proteger contas.
- Os usuários devem habilitar a autenticação multifator (MFA) sempre que possível.
- No entanto, a MFA não deve ser usada como desculpa para criar senhas fracas.
As senhas mais fortes e as políticas de senha mais rigorosas não são muito úteis quando seu provedor de serviços online vaza suas credenciais devido a uma configuração incorreta em seus servidores.
Se você acha que tal eventualidade seria uma raridade, saiba que muitos dos maiores vazamentos de dados em 2021 foram devidos a problemas técnicos dos provedores de serviços. Na verdade, em dezembro de 2021, especialistas em segurança cibernética ajudaram a corrigir essa configuração incorreta no bucket S3 da Amazon Web Services, de propriedade da Sega, que continha todos os tipos de informações confidenciais, incluindo senhas.
"O uso de senha deve se tornar obsoleto, e devemos procurar maneiras diferentes de fazer login nas contas", disse o CEO da fornecedora de segurança Gurucul, Saryu Nayyar, à Lifewire por e-mail.
O problema com senhas
Em dezembro, o The Sun informou que a Agência Nacional de Crimes do Reino Unido (NCA) forneceu mais de 500 milhões de senhas para o popular serviço Have I Been Pwned (HIBP), que descobriu durante uma investigação.
HIBP permite que os usuários verifiquem se suas senhas foram vazadas em uma violação e estão sujeitas a abusos por hackers. De acordo com o fundador do HIBP, Troy Hunt, mais de 200 milhões de senhas fornecidas pela NCA ainda não existiam no banco de dados.
Embora o recurso de armazenamento de credenciais de conta dos navegadores seja muito conveniente… os usuários são recomendados a abster-se de usá-lo.
"Isso aponta para o tamanho do problema, o problema sendo as senhas, um método arcaico de provar a autenticidade de alguém. seja, " Baber Amin, COO de especialistas em identidade digital, Veridium disse à Lifewire por e-mail, em resposta à recente contribuição da NCA para o HIPB.
Amin acrescentou que as credenciais vazadas não comprometem apenas as contas existentes, já que os hackers agora as usam com ferramentas analíticas baseadas em IA para identificar padrões de como um indivíduo cria senhas. Em essência, credenciais vazadas também colocam em risco a segurança de outras contas não comprometidas.
Senhas e mais
Defendendo um mecanismo de proteção melhor do que as senhas, Nayyar sugere que os usuários que têm a opção de configurar a autenticação multifator em suas contas devem fazê-lo.
Ron Bradley, vice-presidente de Avaliações Compartilhadas, uma organização de membros que ajuda a desenvolver as melhores práticas para garantia de risco de terceiros, concorda. "Ative a autenticação multifator em todos os lugares possíveis, especialmente aplicativos que movimentam dinheiro."
Proteger uma conta apenas com uma senha é conhecido como autenticação de fator único. A autenticação multifator ou MFA se baseia nisso e protege as contas, adicionando uma etapa extra ao processo de login, solicitando aos usuários outra informação. Muitos serviços, incluindo vários bancos, implementam a MFA enviando um código de verificação para o número de celular de um usuário registrado no banco.
No entanto, esse mecanismo de verificação é propenso a um mecanismo de ataque conhecido como ataque de troca de SIM, em que os invasores assumem o controle do número de telefone celular de um alvo, enganando a operadora do proprietário para reatribuir o número ao cartão SIM do invasor.
Embora reconheça tal ataque que teve como alvo alguns de seus clientes, a T-Mobile disse que os ataques de troca de SIM tornaram-se uma ocorrência comum e em todo o setor.
Em vez disso, uma opção melhor para ativar a MFA é usar aplicativos como Duo Security, Google Authenticator, Authy, Microsoft Authenticator e outros aplicativos MFA dedicados.
Password Sprawl
No entanto, todos os especialistas em segurança cibernética com quem conversamos alertaram que o uso de MFA não deve ser uma desculpa para não tomar as medidas adequadas para proteger as senhas.
"Faça parte dos 1% que não têm ideia de qual é a senha do banco porque é muito longa e complexa", aconselhou Bradley.
Ele acrescenta que os usuários devem considerar investir em um gerenciador de senhas quando se trata de senhas. Embora não haja escassez de gerenciadores de senhas gratuitos, e também haja um integrado ao seu navegador, os especialistas sugerem que um gerenciador de senhas gratuito é melhor do que não ter um, mas os usuários devem ter cuidado ao usar um.
Faça parte dos 1% que não têm ideia de qual é a senha do banco porque é muito longa e complexa.
Ao investigar uma violação recente da rede interna de uma empresa, pesquisadores de segurança cibernética do AhnLab descobriram que a conta VPN usada para invadir a rede da empresa vazou do PC de um funcionário remoto.
Este PC foi infectado com vários malwares, incluindo um projetado especificamente para extrair senhas dos gerenciadores de senhas integrados aos navegadores da Web baseados em Chromium, como Google Chrome e Microsoft Edge.
"Embora o recurso de armazenamento de credenciais de conta dos navegadores seja muito conveniente, pois existe o risco de vazamento de credenciais de conta após infecção por malware, recomenda-se que os usuários evitem usá-lo ", alertam os pesquisadores do AhnLab.
