Nesta época de aumento do trabalho em casa, estamos constantemente usando senhas – seja para configurar uma chamada em conferência, entrar em aplicativos de negócios ou compartilhar informações. Mas isso precisa ser o caso? Podemos trabalhar com segurança sem senhas? Vamos primeiro examinar as senhas e suas vulnerabilidades antes de considerar as opções para um futuro sem elas.
Por Jordan van den Akker, Business Security Consultant at AET Europe.
Uma senha é algo que deve ser lembrado e usado por uma pessoa para permitir o acesso seguro a um computador, site, aplicativo ou outra parte de uma rede.
Para ser seguro, ele deve combinar uma coleção aleatória de letras maiúsculas e minúsculas, números e sinais de pontuação.
E é aí que está o problema. Uma senha segura consome tempo para criar e é difícil de lembrar. Especialmente quando usamos muitas senhas. Como resultado, senhas exclusivas e seguras são muito pouco usadas, o que pode criar um risco generalizado.
“Vários estudos já mostraram que já temos uma senha para 150 contas diferentes, em média. Que geralmente são muito fáceis e reutilizados em diferentes plataformas. Conseguir uma senha uma vez cria um dominó de acesso a vários sites. ” Gartner.
Que problemas as empresas enfrentam ao lidar com senhas?
Gerenciar senhas, conceder acesso com base nelas e garantir que os funcionários estejam cientes dos problemas de segurança é um assunto complexo. E isso cria muitos problemas para os departamentos de TI, incluindo muitas chamadas de suporte desnecessárias.
Se os funcionários esquecem uma senha, eles, compreensivelmente, querem uma nova o mais rápido possível para que possam continuar com seu trabalho. Portanto, eles não costumam ser avisados por colegas de TI sobre os riscos de segurança. Isso significa que os departamentos de TI geralmente gastam uma quantidade excessiva de tempo e dinheiro resolvendo problemas de senha.
“Senhas mais fortes têm maior probabilidade de serem esquecidas pelos usuários e isso gera mais redefinições de senhas.” University College London.
Também existem muitas ameaças externas quando se trata de senhas. Spear phishing, por exemplo, ocorre quando nomes de usuário e senhas são roubados. E um ataque de força bruta é quando uma senha, que geralmente é usada em vários aplicativos, é adivinhada. É um fato preocupante que detalhes de contas pessoais, incluindo senhas, sejam oferecidos à venda na darkweb aos milhões.
A questão não é se você se tornará vítima de um crime de senha, mas quando. Você pode realmente ver se o seu endereço de e-mail particular ou comercial já foi comprometido em Have I Been Pwnd .
É tudo uma grande dor de cabeça para os gerentes de segurança, especialmente durante esse período de altos níveis de trabalho em casa.
O que podemos fazer para tornar o uso de senhas mais seguro?
Nos últimos anos, cada vez mais esforços têm sido feitos para usar a autenticação de dois fatores ou mesmo multifator, que foi introduzida para superar problemas de segurança relacionados às senhas. Ambos os métodos garantem que a identidade de uma pessoa seja verificada não apenas por algo que ela conhece (a senha), mas também por algo que ela possui (como um portador de dados ou token). Isso significa que, se uma senha for comprometida, os invasores terão outro obstáculo para ultrapassar antes de obter acesso.
Mesmo se a autenticação multifator for usada, no entanto, as senhas ainda podem criar um link fraco sem gerenciamento e supervisão adequados. Por isso é importante:
- Gere e armazene e os detalhes de login em um cofre de senha digital.
- Evite que funcionários reutilizem senhas.
- Gerencie cuidadosamente os direitos de acesso dos administradores responsáveis por lidar com as senhas dos funcionários.
Qual é a solução ideal?
A melhor opção é parar de usar senhas – pelo menos para usuários finais. Porque se alguém não for exposto a uma senha, ela não poderá ser roubada. Como os terminais estão entre os sistemas mais difíceis de proteger totalmente, essa é uma boa estratégia.
A alternativa é usar autenticação de dois fatores ou multifator, nenhum dos fatores sendo uma senha. Uma das abordagens mais fortes, de acordo com a legislação eIDAS, é usar um token mais um certificado digital.
No entanto, é importante não usar tokens de senha de uso único, pois ataques recentes a eles mostraram que podem ser facilmente interceptados
Essa abordagem significa que as senhas de usuários pessoais são protegidas por métodos sem senha e as pessoas nunca mais precisam criar ou lembrar suas senhas novamente. Este tipo de proteção está se tornando cada vez mais popular, com certificados digitais sendo mantidos em operadoras, como pendrives, cartões ou outros dispositivos. E é uma abordagem compatível com uma série de legislações e desenvolvimentos internacionais, como eIDAS, GDPR e FIDO.
Quando as pessoas usam autenticação de dois fatores ou multifator em vez de senhas, isso significa que as equipes de TI e segurança podem ter certeza de que:
- O acesso do usuário é seguro e não há senhas reutilizadas ou compartilhadas em circulação.
- Os invasores não podem procurar as senhas dos usuários.
- Os detalhes de autenticação do usuário nunca são armazenados no sistema, como as senhas. Portanto, mesmo alguém com acesso ao sistema não consegue descobrir as credenciais.
Tudo isso torna as soluções sem senha uma vantagem de segurança importante.
A segurança sem senha já está disponível
Essas soluções, que permitem autenticação segura e gerenciamento de certificados digitais em suportes de dados, já estão disponíveis. E eles são amplamente usados para proteger sistemas críticos. Também estão disponíveis os sistemas para registrar, validar, gerenciar e revogar certificados e tokens de autenticação. Portanto, um mundo sem senhas está definitivamente ao nosso alcance.
Jordan van den Akker, Consultor de Segurança Empresarial da AET Europe.
Fonte: AET Europe – A world without passwords – is it closer than we think?
O CASO em que o Login e Senha deixou um poderoso grupo de comunicação na saia justa
Acesso por login e senha pode ter sido uma das causas do vazamento no CNJ
W3C aprova WebAuthn como o padrão da web para logins sem senhas
- Criptografia Quântica: Você está tratando a confiança digital corretamente?
- A AET Europe especialista em Identificação e Autenticação se Une à Your.Online
- AET Europe e o Sistema eID do Governo Sérvio: Um Estudo de Caso sobre Identidade Digital Segura
- AET Europa: Construindo Confiança desde 1998
- AET Europe: Comemora 25 anos de confiança digital
- Entrevista com Luis Correia, da AET Europe, sobre o mercado ICP-Brasil
- Saiba tudo sobre o Certificado de Atributo, a credencial mais versátil do mercado para autenticação eletrônica.
- AET Europe lançou uma nova versão do SafeSign Identity Client – versão 4.0.0.0
- Jan Rochat é um dos palestrantes na conferência IAM2023 em Apeldoorn dia 23 de maio
- Aet Europe anuncia o Release of BlueX 8.1.0
- AET Europe anuncia atualização do seu sistema de gestão de identidades eletrônicas – BlueX 8.0.0
- Blockchain jeopardizes your identity – a well-founded fear?
- Careers: Find your new job within AET Europe!
- Lançamento do SafeSign Identity Client versão 3.8.0.0 para Windows, MacOS e Linux
- AET Europe lança a versão 7.0 do BlueX eID Management
A regulamentação eIDAS 910/2014/EC foi criada pela Comissão Europeia especializada na Agenda Digital da União Europeia, atualizando a eSignature Directive (1999/93/EC).
A eIDAS também conhecida como Electronic Identification, Authentication and Trust Services ou Identificação Eletrônica e Serviços Confiáveis.
O propósito da eIDAs é estabelecer um ambiente seguro para que cidadãos, empresas e órgãos governamentais de países pertencentes à UE possam trocar informações e fechar negociações.