O levantamento Password Table, produzido pela empresa norte-americana Hive Systems, destacou em uma tabela de senhas que, quanto maior a quantidade de caracteres e a complexidade da senha, maior será o tempo necessário para que um cibercriminoso possa quebrá-la. Os dados foram baseados em quanto tempo um atacante levaria para quebrar uma senha usando um computador desktop com uma placa gráfica de primeira linha, como a Unidade de Processamento Gráfico (GPU).
De acordo com a empresa, originalmente, as GPUs foram construídas para potencializar o processamento de grandes arquivos como fotos e vídeos. Entretanto, esses recursos também são utilizados pelo cibercrime para outras tarefas, como quebrar senhas e minerar criptomoedas, inclusive nos ambientes em nuvem.
Com esses recursos robustos, senhas complexas de 8 caracteres que antes levavam 8 horas para serem quebradas, hoje, podem levar em média 5 horas. “Qualquer um pode brincar com a nuvem agora, viva! Mas todos também incluem hackers”, pontua Corey Neskey, VP de Riscos Quantitativos da Hive Systems, em um post no blog da empresa. Ele acrescenta que qualquer pessoa pode alugar clusters de computação de alto desempenho na plataforma de grandes players de nuvem e, com esses recursos, é possível aplicar técnicas de machine learning que podem reduzir consideravelmente o tempo para uma ação de quebra de senhas.
Na visão dos CISOS da comunidade Security Leaders, os recentes modelos de utilização de GPUs e machine learning contribuíram para uma queda significativa no tempo para uma possível quebra de senhas. Isso serve de alerta para que as empresas implementem novas políticas de acesso, com atenção voltada para o tamanho a complexidade da senha. Isso porque, de acordo com a tabela da Hive Systems, apenas as senhas com mais de 12 caracteres, contendo números, símbolos, letras maiúsculas e minúsculas, passam a entregar mais segurança nos acessos.
Mas se for grande e complexa, a política de senha poderá causar mais resistência dentro das organizações. Os CISOs destacam que é preciso buscar um equilíbrio, para não engessar o acesso dos colaboradores. Para os profissionais de Segurança, quando as organizações cobram esse tipo de controle, principalmente para interfaces com clientes, é possível encontrar resistência e colocar em risco os ambientes.
O Instituto Nacional de Padrões de Tecnologia dos Estados Unidos (NIST) chama atenção sobre esse equilíbrio para não impactar a experiência do usuário e dos clientes. A organização traz uma abordagem sobre como os líderes podem repensar as políticas de senhas com diretrizes pautadas no fim de prática de alteração aleatória de senha, por exemplo.
Ou seja, análises comportamentais identificaram que a troca periódica gerava comportamentos inadequados, fazendo com que usuários criassem senhas fracas. Para o NIST, é melhor aumentar o comprimento das senhas e reduzir a complexidade, evitando que os usuários criem senhas com padrões previsíveis.
De acordo com os CISOs, é preciso melhorar as políticas de senhas como um todo, usando também recursos como múltiplo fator de autenticação, gerenciador de senhas e conscientização sobre como a fragilidade no processo pode impactar as empresas. Para eles, passwords sozinhas não são suficientes, mas abandonar essa prática é suicídio. O ideal é fomentar discussões internas e se certificar que toda a organização esteja na mesma página quando o assunto é proteção dos acessos, especialmente os privilegiados.
