Os especialistas em segurança cibernética da Check Point Software alertaram que era das senhas está chegando ao fim. Segundo eles, a dependência excessiva de senhas tornou-se um risco significativo para a segurança digital, exigindo uma transição para métodos de autenticação mais seguros e eficientes. Essa é uma discussão atual, levantada pelo estudo dos profissionais de Cibersegurança, que retrata os problemas com as senhas atuais.
Problema com as senhas atuais
Dados recentes da empresa revelaram a fragilidade das senhas como método de proteção. Segundo o relatório de investigações de Violação de Dados da Verizon (2024), 81% das violações ainda envolvem senhas fracas ou roubadas. Ataques de força bruta evoluíram, utilizando GPUs (Unidades de Processamento Gráfico) de alta velocidade capazes de testar milhões de combinações por segundo, tornando até mesmo as senhas mais complexas vulneráveis em questão de minutos.
Economia do cibercrime
Os especialistas também reforçaram sobre o mercado clandestino, no qual diversas credenciais são roubadas, é vasto e lucrativo. Estima-se que mais de 24,6 bilhões de combinações de nome de usuário e senha estejam circulando em mercados cibercriminosos. Grupos sofisticados, como Kimsuky (Coreia do Norte), MuddyWater (Irã) e APT28/29 (Rússia), utilizam malwares como Lumma e plataformas MaaS (Malware as a Service) para escalar o roubo de informações. Em 2024, 3,9 bilhões de credenciais foram comprometidas por infecções de malware em 4,3 milhões de dispositivos, aponta o relatório.
Segundo a organização, mesmo a autenticação por múltiplos fatores (MFA), embora crucial, está sendo desafiada por ferramentas como o EvilProxy, com a possibilidade de interceptar tokens MFA. Essa crescente “economia do crime cibernético” não é apenas uma ameaça técnica, é um ecossistema geopolítico e econômico, já que essas ameaças agora podem vir de qualquer lugar, graças às plataformas MaaS e Phishing-as-a-Service (PhaaS).
Somando-se ao infostealer-as-a-service e aos kits de phishing de aluguel, esses ataques não se limitam mais a agentes estatais; eles estão disponíveis para qualquer pessoa com uma carteira bitcoin, alertam os especialistas.
“A partir do acesso inicial, os atacantes podem quebrar a senha por meio de força bruta ou explorando alguma falha conhecida. Nesse contexto, mesmo que desafiada por ferramentas disponíveis no mercado, a autenticação MFA ainda pode contribuir para dificultar a invasão, pois exige uma etapa adicional de verificação além da senha em si”, comenta Fernando de Falchi, gerente de Engenharia de Segurança da Check Point Software Brasil.
Autenticação sem senha
Segundo a Check Point, as empresas líderes estão adotando métodos de autenticação sem senha. Microsoft, Google e Apple implementaram “passkeys” — chaves criptográficas vinculadas à biometria ou dispositivos. A Microsoft planeja eliminar senhas para mais de um bilhão de usuários.
Resistência comportamental
Apesar dos avanços, muitos usuários ainda confiam em senhas por familiaridade. No entanto, a pesquisa relata essa confiança como uma ilusão. Senhas são facilmente desvendadas, esquecidas ou compartilhadas. Ataques de phishing, muitos gerados por IA, continuam a roubar credenciais em larga escala, mesmo com a presença de autenticação de dois fatores (2FA).
A evolução da IA torna a autenticação baseada em senhas obsoleta, explica a organização. Pois modelos de aprendizado profundo treinados em bilhões de senhas vazadas podem prever padrões comuns rapidamente. E ataques de falsificação de identidade usando voz e vídeo ou voz e vídeo usando deepfakes podem contornar até mesmo a autenticação de múltiplos fatores se baseada em camadas de identidade fracas, as GPUs baseadas em nuvem democratizam o poder de quebrar senhas em escala, permitindo que grupos de ransomware comprometam sistemas rapidamente.
Medidas recomendadas
Por isso, o que as organizações devem fazer agora, de acordo com a opinião dos especialistas é implementação de sistemas sem senha usando biometria, tokens ou passkeys; utilização de ferramentas para prevenir reutilização de senhas e contra phishing, aplicação de soluções de Gerenciamento de Acesso Privilegiado (PAM) e arquiteturas de Confiança Zero.
Diante disso, a empresa reforça que é essencial educar equipes não apenas sobre senhas mais fortes, mas sobre a eliminação completa delas. Além de considerar a mudança de abordagem, a discussão não deve ser apenas sobre criar senhas mais fortes, mas sim sobre imaginar um futuro sem elas. Contudo, os especialistas acreditam que ainda falta a disposição para seguir em frente com isso.
