Segurança nos acessos: a senha ainda é o melhor caminho como recurso de autenticação?

Levantamento aponta que, quanto maior a quantidade de caracteres e a complexidade da senha, maior será o tempo necessário para que um cibercriminoso possa quebrá-la. Na visão dos CISOs, é preciso melhorar as políticas de passwords, pois sozinhas, elas não são suficientes, mas sem elas, os ambientes corporativos correm riscos cibernéticos

Compartilhar:

O levantamento Password Table, produzido pela empresa norte-americana Hive Systems, destacou em uma tabela de senhas que, quanto maior a quantidade de caracteres e a complexidade da senha, maior será o tempo necessário para que um cibercriminoso possa quebrá-la. Os dados foram baseados em quanto tempo um atacante levaria para quebrar uma senha usando um computador desktop com uma placa gráfica de primeira linha, como a Unidade de Processamento Gráfico (GPU).

 

De acordo com a empresa, originalmente, as GPUs foram construídas para potencializar o processamento de grandes arquivos como fotos e vídeos. Entretanto, esses recursos também são utilizados pelo cibercrime para outras tarefas, como quebrar senhas e minerar criptomoedas, inclusive nos ambientes em nuvem.

 

Com esses recursos robustos, senhas complexas de 8 caracteres que antes levavam 8 horas para serem quebradas, hoje, podem levar em média 5 horas. “Qualquer um pode brincar com a nuvem agora, viva! Mas todos também incluem hackers”, pontua Corey Neskey, VP de Riscos Quantitativos da Hive Systems, em um post no blog da empresa. Ele acrescenta que qualquer pessoa pode alugar clusters de computação de alto desempenho na plataforma de grandes players de nuvem e, com esses recursos, é possível aplicar técnicas de machine learning que podem reduzir consideravelmente o tempo para uma ação de quebra de senhas.

 

Na visão dos CISOS da comunidade Security Leaders, os recentes modelos de utilização de GPUs e machine learning contribuíram para uma queda significativa no tempo para uma possível quebra de senhas. Isso serve de alerta para que as empresas implementem novas políticas de acesso, com atenção voltada para o tamanho a complexidade da senha. Isso porque, de acordo com a tabela da Hive Systems, apenas as senhas com mais de 12 caracteres, contendo números, símbolos, letras maiúsculas e minúsculas, passam a entregar mais segurança nos acessos.

 

Levantamento Password Table, produzido pela empresa norte-americana Hive Systems

 

Mas se for grande e complexa, a política de senha poderá causar mais resistência dentro das organizações. Os CISOs destacam que é preciso buscar um equilíbrio, para não engessar o acesso dos colaboradores. Para os profissionais de Segurança, quando as organizações cobram esse tipo de controle, principalmente para interfaces com clientes, é possível encontrar resistência e colocar em risco os ambientes.

 

O Instituto Nacional de Padrões de Tecnologia dos Estados Unidos (NIST) chama atenção sobre esse equilíbrio para não impactar a experiência do usuário e dos clientes. A organização traz uma abordagem sobre como os líderes podem repensar as políticas de senhas com diretrizes pautadas no fim de prática de alteração aleatória de senha, por exemplo.

 

Ou seja, análises comportamentais identificaram que a troca periódica gerava comportamentos inadequados, fazendo com que usuários criassem senhas fracas. Para o NIST, é melhor aumentar o comprimento das senhas e reduzir a complexidade, evitando que os usuários criem senhas com padrões previsíveis.

 

De acordo com os CISOs, é preciso melhorar as políticas de senhas como um todo, usando também recursos como múltiplo fator de autenticação, gerenciador de senhas e conscientização sobre como a fragilidade no processo pode impactar as empresas. Para eles, passwords sozinhas não são suficientes, mas abandonar essa prática é suicídio. O ideal é fomentar discussões internas e se certificar que toda a organização esteja na mesma página quando o assunto é proteção dos acessos, especialmente os privilegiados.

 

Conteúdos Relacionados

Security Report | Destaques

Dataprev investiga suposto comprometimento de dados no INSS

Nesta semana, circularam nas redes informação de que o sistema de Comunicação de Acidente de Trabalho (CAT), ligado ao instituto...
Security Report | Destaques

Aarin Tech-Fin renova estratégia de borda baseada em confiança zero

Proteger o acesso às APIs críticas para a operação empresarial era um dos grandes desafios encarados pela companhia de serviços...
Security Report | Destaques

Grupo Sabin é atingido por incidente cibernético

Companhia de Diagnósticos de Saúde confirmou, por meio de nota, que um ciberataque impactou suas operações na loja online no...
Security Report | Destaques

Boas práticas de SI em São Paulo: guia busca conduzir estratégia de resiliência no estado

A Secretaria de Gestão e Governo Digital (SGGD) do Estado de São Paulo instituiu, no fim de 2024, um plano...