O Fim da Era das Senhas!
Em um mundo onde a segurança digital é mais crítica do que nunca, o Dia Mundial da Senha, celebrado anualmente em 2 de maio, tornou-se um lembrete desconfortável da fragilidade das práticas de segurança tradicionais.
As senhas fortes, que no passado era um recurso utilizado como segurança da informação, agora são vistas como um elo fraco, uma vulnerabilidade explorada por cibercriminosos e até por fraudadores – memos que analfabetos em tecnologia – para acessar informações sigilosas e que tem como resultado danos significativos para as organizações invadidas.
A realidade é que as invasões baseadas em identidade estão em ascensão, com um aumento alarmante de ataques que exploram credenciais comprometidas.
Relatórios indicam um crescimento de 583% em ataques de Kerberoasting, uma técnica que permite aos invasores obter credenciais válidas para contas de serviço do Active Directory.
Esses ataques destacam a expansão massiva nas intrusões baseadas em identidade, onde 62% de todas as intrusões interativas envolvem o uso indevido de contas válidas.
O caso do Siapi, o Sistema Integrado de Análise de Projetos e Inspeções, é um exemplo de como até organizações governamentais não estão imunes a essas ameaças. Embora detalhes específicos sobre vulnerabilidades no Siapi não estejam disponíveis até o momento, é evidente que qualquer sistema que dependa fortemente de senhas está em risco. E foi isso que aconteceu. Para as invações os hackers utilizaram engenharia social e acesso por meio de login e senha.
“É inadmissível que, com tantas notícias de invasões destacando as vulnerabilidades de credenciais e identidades, ainda existam organizações que se apoiam em senhas como principal meio de acesso. A dependência de senhas é um sinal de descompromisso com a proteção e privacidade de dados uma vez que representa uma abordagem de segurança obsoleta que não pode mais ser aceita, declara Tupinambá, sócia fundadora do Crypto ID.”
“A solução para este problema de segurança em evolução não é simples, mas é claro que o futuro da segurança cibernética reside em tecnologias mais avançadas, como autenticação multifatorial, biometria e chaves de segurança físicas. Essas alternativas oferecem camadas adicionais de proteção e reduzem significativamente a probabilidade de violações de senha”, complementa Tupinambá.
Portanto, o Dia Mundial da Senha deveria ser mais do que um lembrete para criar senhas fortes; deve ser um catalisador para mudanças fundamentais na forma como protegemos nossas identidades digitais.
Talvez seja hora de excluir o Dia da Senha do calendário e, em vez disso, adotar um Dia da Segurança Cibernética, onde o foco seja a educação e a implementação de soluções de segurança mais robustas e à prova de futuro. Afinal, em um mundo onde a segurança digital é primordial, a complacência não é uma opção.
Segundo Sérgio Muniz Diretor de Gestão de Acesso e Identidades da Thales Cloud Security para América Latina sobre o dia mundial das senhas, “há alguns anos falamos de passwordless no World Password Day) e coincidentemente no famoso “may the 4th be with you”.
“Brincadeiras à parte, finalmente estamos muito próximos da consolidação da autenticação forte que atenda às crescentes demandas de segurança dos negócios modernos e isso significa que chegou a hora da autenticação sem senhas.”
“Acostumem-se a um mundo sem senhas, porque nós já estamos nele. Ele é muito mais seguro desde que bem implementado pela sua empresa ou provedor de serviço e muito mais amigável pra todos nós clientes e usuários.”
“Isso requer alguns cuidados, e os bancos já o fazem há muito tempo, mas é um imperativo para as empresas e provedores de serviços buscando mitigar risco de ataques cibernéticos às organizações e fraudes nos serviços digitais. Cuidados especiais com a gestão da biometria, caso ela seja um fator de autenticação, são obrigatórios, mas existem formas de protegê-las e de implementar uma autenticação sem senhas, com o uso de políticas que tornam este acesso ainda mais robusto.“, finaliza Muniz.
Neste contexto, a economista Susana Taboas, sócia fundadora do Crypto ID, enfatiza a importância do investimento em soluções de controle e acesso de identidades:
“O custo de investir em soluções robustas de gestão de identidades é infinitamente menor do que os gastos necessários para remediar as consequências de uma invasão.
A prevenção, neste caso, não é apenas melhor que a cura; é uma questão de sobrevivência no cenário digital atual.”
A solução para este desafio de segurança reside em tecnologias avançadas como autenticação multifatorial, biometria e chaves de segurança físicas, que oferecem camadas adicionais de proteção e mitigam significativamente o risco de violações.“
Credenciais fortes não basta. O gerenciamento de ID e Acessos são fundamentais
IAM (Identity and Access Management) e CIAM (Customer Identity and Access Management) são conceitos fundamentais na segurança cibernética, ambos focados na gestão de identidades, mas com públicos e objetivos distintos.
IAM (Identity and Access Management)
IAM refere-se à Gestão de Identidade e Acesso. É um conjunto de práticas e ferramentas que administram a identidade digital dos colaboradores de uma empresa.
Objetivo: Garantir que os colaboradores tenham acesso apenas ao que é essencial para suas atividades profissionais.
Funcionalidades: As soluções de IAM podem usar análise comportamental para detectar contas invadidas e gerenciar o acesso a recursos corporativos internos.
CIAM (Customer Identity and Access Management)
O CIAM é focado nos clientes, ou seja, no público externo das empresas.
Objetivo: Prover uma experiência de autenticação agradável para os clientes, equilibrando segurança, confiabilidade e uma experiência sem atritos.
Importância: Enquanto o IAM protege o ecossistema corporativo interno, o CIAM coloca a empresa na vanguarda da transformação digital ao proteger a identidade digital do cliente e simplificar processos como cadastros e memorização de senhas.
Ambos são cruciais para a segurança digital moderna: o IAM assegura a proteção interna, enquanto o CIAM melhora a experiência do cliente e fortalece a segurança externa. Juntos, eles formam a base para uma estratégia de segurança cibernética robusta e orientada ao futuro.
O caso do Siapi ilustra vividamente que nenhum sistema, nem mesmo os governamentais, está imune a essas ameaças. A invasão sofrida, perpetrada através de engenharia social e exploração de logins e senhas, sublinha a urgência de abandonar a dependência de senhas como principal meio de acesso.
Concluindo, o Dia Mundial da Senha deve servir como um ponto de inflexão, não apenas para reforçar a importância de senhas fortes, mas para nos impulsionar em direção a métodos de autenticação mais seguros e modernos. A adoção de tecnologias avançadas como autenticação multifatorial, biometria e chaves de segurança físicas é essencial para mitigar os riscos associados às senhas tradicionais.
É hora de avançarmos para uma era de segurança cibernética mais robusta e resiliente, onde a proteção de identidades digitais seja prioridade máxima. Afinal, o investimento em soluções de controle e acesso de identidades é não apenas uma medida preventiva, mas uma estratégia econômica inteligente, como bem pontua a economista Susana Taboas.
O Futuro de Segurança Digital, além das senhas?
Conta Citrix roubada sem MFA Change é usada para hackear o United Healthcare Group
MFA: Você sabia que as senhas estão deixando sua empresa vulnerável?
Acompanhe o Crypto ID para conhecer as melhores soluções sobre IAM – Gerenciamento de Identidade e Acesso e CIAM – Gerenciamento de Acesso à Identidade do Cliente. Acesse nossa coluna aqui!
Soluções Inovadoras Contribuem Para Segurança Em Diversos Setores