Complexidade das Senhas: É PRECISO SIMPLIFICAR!

Os usuários têm que seguir um conjunto impossível de regras de senha para "permanecer seguro"

Complexidade de Senhas: É Preciso Simplificar! O Centro Nacional de Segurança Cibernética (NCSC, na sigla em inglês) disse que uma em cada duas pessoas está sendo vítima de ataques cibernéticos no Reino Unido e isso se deve ao fato de eles não atenderem aos padrões básicos de higiene cibernética.

Assim, o NCSC emitiu uma advertência oficial aos britânicos para que parem de usar senhas facilmente adivinhadas, já que os está expondo-os à fraudes na Internet.

Uma pesquisa conduzida pela NCSC alega que uma em cada duas pessoas está acostumada a usar senhas fáceis como ‘123456’ ou ‘Senha’, o que as tornará mais suscetíveis a roubar dinheiro a ataques cibernéticos até 2021.

A pesquisa conduzida pela agência de espionagem ligada ao GCHQ diz que a senha ‘123456’ foi hackeada mais de 23 milhões de vezes em todo o mundo e ‘123456789’ foi hackeada por mais de 8 milhões de vezes. Outra senha que foi hackeada por mais de 5 milhões de vezes é ‘qwerty’ e ‘111111’.

As senhas criadas com nomes foram reportadas como hackeadas mais de 1 milhão de vezes e incluem nomes como Ashley, Micheal, Jessica, Daniel e Charlie. Quando se trata de nomes de times de futebol sendo usados ​​como senhas, o ‘Liverpool’ tem sido vítima de trapaceiros por mais de um milhão de vezes no ano passado.

O Dr. Ian Levy, diretor técnico da NCSC, está conclamando todos os usuários online do Reino Unido e do mundo a fortalecer seus logins para que eles possam tornar seus dispositivos menos vulneráveis ​​a ataques cibernéticos.

Usar uma senha que é uma mistura de alfabetos e números, juntamente com alguns caracteres especiais no meio, fará todo o sentido, pois dá aos consumidores online o controle completo sobre sua postura pessoal de segurança“, diz Levy.

Margot James, a ministra digital do Reino Unido, também alertou a população britânica que os ataques cibernéticos têm o potencial de causar dor emocional e financeira às vítimas.

Password Guidelines: SIMPLIFIQUE

As senhas são uma parte essencial da vida moderna. Todos os dias nós fornecemos senhas como autenticação a sistemas e serviços, tanto no local de trabalho como em casa.

Um recente pesquisa relatou que cada cidadão do Reino Unido tinha, em média, 22 senhas online, mais longe do que a maioria das pessoas consegue lembrar facilmente.

Os usuários têm que seguir um conjunto impossível de regras de senha para “permanecer seguro”.

A orientação – incluindo orientação anterior do UK National Technical Authority for Information Assurance (CESG), sempre encorajou os programadores de sistemas a adotar a abordagem de senhas “fortes”. No entanto, a abundância de sites e serviços que exigem senhas significa que os usuários têm que seguir um conjunto impossível de regras de senha para “permanecer seguro”.

Pior ainda, as regras – mesmo que seguidas – não necessariamente deixam seu sistema mais seguro. Senhas complexas não costumam frustrar os invasores, mas eles tornam a vida diária muito mais difícil para os usuários.

Eles criam custos, causam atrasos e podem forçar os usuários a adotar soluções alternativas ou alternativas não seguras que aumentam o risco.

O Password Guidelines do CESG  contém conselhos para os proprietários do sistema responsáveis ​​por determinar a política de senha e defende uma simplificação dramática da abordagem atual em nível de sistema, em vez de pedir aos usuários que usem senhas desnecessariamente complicadas.

Mais especificamente, o documento de Password Guidelines ajuda a:

  • Examinar e (se necessário) desafiar as políticas existentes de senha corporativa e defender uma abordagem mais realista
  • Compreender as decisões a serem tomadas ao determinar a política de senha
  • Implementar estratégias que diminuam a carga de trabalho que as senhas complexas impõem aos usuários
  • Tornar o seu sistema mais seguro, sugerindo uma série de passos práticos que você pode implementar

Como as senhas são descobertas?

Os atacantes usam uma variedade de técnicas para descobrir senhas. Muitas dessas técnicas estão disponíveis gratuitamente e documentadas na Internet e usam ferramentas poderosas e automatizadas.

Abordagens para descobrir senhas incluem:

  • Engenharia social, por exemplo, phishing; coerção
  • Adivinhação manual de senha, talvez usando informações pessoais como nome, data de nascimento ou nomes de animais de estimação
  • Interceptar uma senha quando ela é transmitida por uma rede
  • “Surfar no ombro”, observando alguém digitando sua senha em sua mesa
  • Instalar um keylogger para interceptar senhas quando elas são inseridas em um dispositivo
  • Pesquisar a infraestrutura de TI de uma empresa para obter informações de senha armazenadas eletronicamente
  • Ataques de força bruta; a adivinhação automática de um grande número de senhas até que a correta seja encontrada
  • Encontrar senhas que foram armazenadas de forma insegura, como manuscritas em papel e ocultas perto de um dispositivo
  • Comprometer bancos de dados contendo um grande número de senhas de usuários, usando essas informações para atacar outros sistemas em que os usuários tenham reutilizado essas senhas
  • “Spray de Senhas”, utilizando senhas conhecidas, ou comumente utilizadas, em grande número de possíveis vítimas para descobrir quais utilizam aquela senha.

Recomendações Úteis

  1. Altere todas as senhas padrão: As senhas padrão de fábrica deixadas inalteradas é um dos erros de senha mais comuns que as organizações cometem, por isto:
    • Altere todas as senhas padrão antes da implementação.
    • Realize uma verificação regular dos dispositivos do sistema e do software, especificamente para procurar senhas padrão inalteradas.
    • Priorize dispositivos essenciais de infraestrutura.
  2. Ajude os usuários a lidar com a sobrecarga de senha: Os usuários geralmente são instruídos a lembrar senhas e não as compartilhá, não as reutilizar ou anotá-las. Mas o usuário típico tem dezenas de senhas para lembrar – não apenas as suas, por isto é importante minimizar a carga da senha a serem utilizadas, então lembre-se:
    • Os usuários têm um conjunto completo de senhas para gerenciar, não apenas as suas.
    • Use somente senhas onde elas são realmente necessárias.
    • Use soluções técnicas para reduzir a carga sobre os usuários.
    • Permita que os usuários registrem e armazenem suas senhas com segurança.
    • Peça apenas aos usuários que alterem suas senhas quando indicarem ou suspeitarem de comprometimento.
    • Permitir que os usuários redefinam senhas com facilidade, rapidez e baixo custo.
    • Não permita o compartilhamento de senha.
    • O software de gerenciamento de senhas pode ajudar os usuários, mas traz riscos.
  3. Entenda as limitações das senhas geradas pelo usuário: Esquemas de senha gerados pelo usuário são mais comumente usados do que os gerados por máquina, por serem mais simples, mais baratos e mais rápidos de implementar. No entanto, os esquemas de senha gerados pelo usuário carregam riscos que os esquemas gerados por máquina não possuem. Estudos de esquemas de senhas gerados por usuários mostraram que eles encorajam comportamentos inseguros. Isso inclui o uso das senhas mais comuns, a reutilização da mesma senha em vários sistemas e a adoção de estratégias de geração de senhas previsíveis (como a substituição da letra “o” por um zero). Forçar o uso de caracteres especiais também tendem a levar o usuário a usos previsíveis como trocar o “a” por “@”.  por isto:
    • Use defesas técnicas em locais onde políticas de senhas mais simples possam ser usadas.
    • Reforçar as políticas com boa formação do usuário. Afaste os usuários da escolha de senhas previsíveis e proíba as mais comuns por meio de listas negras.
    • Informe aos usuários que as senhas de trabalho protegem ativos importantes; eles nunca devem reutilizar as senhas entre o trabalho e a casa.
    • As senhas pessoais também podem comprometer e afetar o usuário em vários aspectos, por isto crie uma consciência de que critérios de fortalecimento de senhas é para o profissional e para o pessoal, assim o usuário irá criar um comportamento positivo em relação as composição das senhas, e não as criar só porque sua empresa pede.
  4. Entenda as limitações das senhas geradas por máquina:  A principal vantagem dos esquemas gerados por máquina é que eles eliminam aquelas senhas que seriam simples para um invasor adivinhar. Eles também fornecem um nível conhecido de “aleatoriedade”, por isso é possível calcular o tempo necessário para decifrar a senha usando um ataque de força bruta. Em comparação com os esquemas gerados pelo usuário, não há necessidade de usar a lista negra, e o treinamento do usuário deve ser mais simples. Eles também exigem pouco esforço do usuário para criação de senha. No entanto, alguns esquemas de geração de máquinas podem produzir senhas que são muito difíceis de serem lembradas pelas pessoas. Isso aumenta a demanda do helpdesk para redefinições e também a probabilidade de armazenamento inseguro. Na maioria dos casos eles não são recomendados a menos que você possa oferecer um gerenciador com preenchimento automatizado (veja: Onde armazenar minhas senhas? É seguro usar serviços em nuvem?), assim:
    • Escolha um esquema que produz senhas mais fáceis de lembrar.
    • Ofereça uma opção de senhas para que os usuários possam selecionar uma que achem memorável.
    • Como ocorre com as senhas geradas pelo usuário, informe aos usuários que as senhas de trabalho protegem ativos importantes; eles nunca devem reutilizar as senhas entre o trabalho e a casa.
    • Sempre que possível ofereça o uso de um gerenciador de senhas com preenchimento automatizado
  5. Priorize contas de Administrador e Usuários remotos: As contas de administrador têm acesso altamente privilegiado a sistemas e serviços. O comprometimento dessas contas é uma ameaça ao sistema mais amplo e, portanto, especialmente atraente para os invasores. Assegure-se de que medidas robustas estejam em vigor para proteger as contas de administrador. As contas de administrador não devem ser usadas para atividades do usuário de alto risco ou do dia-a-dia, como acessar emails externos ou navegar na Internet. Os administradores também devem ter contas de usuário “padrão” para uso comercial normal (com senhas diferentes). Usuários remotos que exigem acesso de login remoto, que pode incluir o uso de VPNs, e-mail / webmail e outras formas de acesso a sistemas internos, devem ser obrigados a fornecer evidências extras (como um token). Isso pode fazer parte de sua política de autenticação de dois fatores para todas as contas remotas. Em resumo:
    • Ofereça aos administradores, usuários remotos e dispositivos móveis proteção extra.
    • Os administradores devem usar senhas diferentes para suas contas administrativas e não administrativas.
    • Não conceda rotineiramente privilégios de administrador aos usuários padrão.
    • Considere a implementação de dois fatores de autenticação para todas as contas remotas.
    • Certifique-se de que absolutamente nenhuma senha do administrador padrão seja usada
  6. Use bloqueio de conta e monitoramento de proteção: Bloqueio de conta, limitação e monitoramento de proteção são poderosas defesas contra ataques de força bruta em sistemas corporativos e serviços online. Os sistemas de senha podem ser configurados de modo que o usuário tenha apenas um número limitado de tentativas para inserir sua senha antes que sua conta seja bloqueada. Ou o sistema pode adicionar um intervalo de tempo entre as tentativas de login sucessivas, uma técnica conhecida como “limitação”. O bloqueio de conta é mais simples de implementar do que o afunilamento, mas pode ter um impacto negativo na experiência do usuário. O bloqueio de conta também fornece a um invasor uma maneira fácil de iniciar um ataque de negação de serviço, especialmente para sistemas online de grande escala. Se estiver usando bloqueio, recomendamos que você permita cerca de 10 tentativas de login antes que a conta seja congelada. Isso proporciona um bom equilíbrio entre segurança e usabilidade.
    • Bloqueio de conta e “estrangulamento” são métodos eficazes de defesa contra ataques de força bruta.
    • Permitir aos usuários cerca de 10 tentativas de login antes de bloquear contas.
    • A lista negra de senhas funciona bem em combinação com o bloqueio ou a limitação.
    • A monitoração de proteção também é uma defesa poderosa contra ataques de força bruta e oferece uma boa alternativa para bloquear ou limitar a conta.
    • Ao terceirizar, os acordos contratuais devem estipular como as credenciais do usuário são protegidas.
  7. Não armazene senhas como texto simples: As senhas nunca devem ser armazenadas como texto simples, mesmo que as informações no sistema protegido sejam relativamente sem importância. Pode parecer óbvio esta recomendação, mas ainda tem muito sistema usando ou permitindo a exportação de senhas em claro (vide Facebook armazenava senha em claro e colaboradores tinham acesso desde 2012). É comum que usuários reutilizem senhas e empreguem estratégias previsíveis de criação de senhas. Isso significa que um invasor que obtém acesso a um banco de dados contendo senhas de texto simples já conhece as credenciais de um usuário para um sistema. Eles podem usar essas informações para tentar acessar contas mais importantes, onde mais danos podem ser causados, portanto:
    • Nunca armazene senhas como texto simples.
    • Produza representações hash de senhas usando uma raiz exclusivo para cada conta.
    • Armazene senhas em um formato de hash, produzido usando uma função criptográfica capaz de várias iterações (como SHA 256).
    • Certifique-se de proteger arquivos contendo senhas criptografadas ou hashes contra acesso não autorizado do sistema ou do usuário.
    • Ao implementar soluções de senha, use padrões públicos, como PBKDF2, que usam vários hashes iterados.

Disclaimer:

As recomendações aqui trazidas são frutos de observações e do documento produzido  pelo GCHQ e pelo CPNI de UK, por isto faz-se necessário observar que não se destina a ser um guia exaustivo para potenciais ameaças cibernéticas, não é adaptado às necessidades individuais e não é um substituto para aconselhamento especializado. Os usuários devem garantir que eles tomem o aconselhamento especializado apropriado, quando necessário. As conclusões e recomendações contidas neste documento não foram fornecidas com a intenção de evitar todos os riscos e seguir as recomendações não eliminará todos esses riscos. A propriedade dos riscos à informação permanece com o proprietário do sistema relevante em todos os momentos e por isto deve sempre ser avaliada e reavaliada segundo as necessidade e critérios individuais de cada negócio.

Fonte: Cybersecurity Insiders  & CESG-CPNI - Password Guidance Simplifying Your Approach

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

4 Trackbacks / Pingbacks

  1. MPDFT pede indenização de 10Milhões operadora de Bitcoins por vazamento de dados
  2. DevSecOps: Desenvolvimento rápido sem sacrificar a segurança
  3. Reconsidere o uso de câmeras WiFi em áreas sensíveis
  4. Estudo aponta que 23,2 Milhões usam 123456 como senha

Deixe sua opinião!