Senhas fracas e roubadas

Os funcionários estão enfraquecendo a segurança da empresa com senhas compartilhadas?

A maioria dos funcionários não tem a intenção comprometer a segurança da empresa; mas você deve ser perguntar quais são as práticas de senha que eles atualmente usam para dar conta da proliferação de contas online que exigem senha. De acordo com um estudo da Microsoft Research citado com frequência, “o usuário médio tem 6,5 senhas e cada uma delas é compartilhada entre 3,9 sites diferentes. Cada usuário tem cerca de 25 contas que exigem senhas e digita uma média de 8 senhas por dia."

Uma pesquisa de 2015 da Dashlane revelou que cada pessoa tem mais de 90 contas online e precisou redefinir sua senha usando um link "esqueci minha senha" para 37 destas contas no ano anterior. Empresas que exigem redefinição frequente de senhas tornam cada vez mais difícil para os usuários elaborarem senhas fortes e então lembrar delas posteriormente. Neste ambiente, é compreensível que os usuários tenham simplificado suas senhas - criando as que podem ser usadas em série - e limitando-as a algumas que são então usadas em várias contas.

¹ Verizon’s 2017 Data Breach Investigations Report

Nas empresas, os funcionários usam senhas mais simples e fracas e isso aumenta o risco de violação dos recursos em rede. E o que é pior, quando as credenciais de um funcionário são roubadas de outros sites e se essas credenciais são as mesmas que dão acesso às redes privilegiadas da sua empresa, então os hackers podem entrar pela porta da frente mascarados como o usuário… e até você sabe disso.

Chegamos no limite de proteção que o acesso exclusivamente baseado em senhas pode proporcionar aos sistemas. O que é necessário são medidas adicionais para garantir a identidade do usuário… que é o que a autenticação de múltiplos fatores (MFA) proporciona.

Como os hackers roubam credenciais?

Dado que os nomes de usuário e senhas são com frequência o único obstáculo para o acesso a sistemas que podem render recompensas financeiras, os hackers desenvolveram um interesse em ultrapassá-las quando podem. Algumas formas comuns de comprometer essas informações incluem:

• Phishing/phishing direcionado: Os criminosos usam o e-mail para tentar fazer com que os usuários insiram as credenciais em páginas ou formulários da internet. Parecerá convincente como um e-mail de uma pessoa ou empresa com que o usuário tem relacionamento e eventualmente será extremamente direcionado a um indivíduo específico (fishing direcionado), que é conhecido por ter um acesso privilegiado considerável ao sistema.
• Força bruta: Com senhas mais simples retornando ao uso, os criminosos tentarão senhas comuns até encontrarem uma que funcione. Eles até escrevem scripts automatizados que driblam proteções simples, como limite do número de tentativas de autenticação dentro de uma determinada janela de tempo. Lembre-se que para empresas sem MFA, eles precisam apenas de uma simples combinação de nome de usuário/senha que funcione.
• Gêmeo do mal do Wi-Fi: Ao usarem um dispositivo fácil de encontrar por U$ 99, os criminosos podem sentar em uma área lotada e simularem ser um hotspot de Wi-Fi legítimo. Quando as pessoas se conectam, então o criminoso torna-se efetivamente um MitM (man-in-the-middle), observando o tráfego da rede e até mesmo as chaves de segurança de um usuário conectado. Estudos demonstraram que as pessoas verificam regularmente contas bancárias, compram online e sim, até acessam redes da empresa em Wi-Fi públicos.

Assim que os criminosos obtêm credenciais válidas, eles as usarão para acessarem sistemas e roubar dados, consumir recursos com botnets, instalar ransomwares e até roubar mais credenciais que podem desbloquear outras redes e dados pessoais.