Header Ads

Home / Facebook / Microsoft / Notícias / O problema com senhas são pessoas

O problema com senhas são pessoas

quarta-feira, abril 28, 2021 , ,

Shutterstock / Frame Studio

As senhas têm problemas. Eles podem ser muito fracos, reutilizados em vários sistemas, deliberadamente compartilhados com outros usuários e projetados socialmente. Mas isso não é culpa da senha. O problema são as pessoas.

Senhas e natureza humana

As senhas podem ser filhos da era do poder das flores, mas não podemos ser hippie-hippies e ter o espírito livre com elas. Desde que Fernando J. Corbató inventou a senha para fornecer alguma privacidade e segurança aos usuários do computador multiusuário Compatible Time-Sharing System no início dos anos 1960, as pessoas têm problemas para escolher senhas fortes e exclusivas.

A natureza humana significa que muitas pessoas preferem conveniência à segurança. É chamado de fricção de segurança. É a resposta que você recebe quando um aprimoramento de segurança exige uma mudança no fluxo de trabalho, uma etapa adicional ou algum pensamento e esforço por parte do usuário.

Ter uma única senha é mais fácil, certo? Você só precisa se lembrar de uma coisa. Você pode usá-lo em qualquer lugar e obter uma digitação muito rápida. Se você for forçado a alterar sua senha periodicamente, basta alterar o número ou a data que você marcou no final. Se um colega quiser usar sua conta, por que não entregar suas credenciais?

Parte da culpa cabe aos proprietários das senhas, obviamente. Mas talvez parte da culpa recaia sobre aqueles de nós que não estão conseguindo chegar a esses usuários. Precisamos descobrir como mudar nossa mensagem para que seu conteúdo seja abraçado e adotado em vez de ser visto como um aborrecimento e ignorado.

E sabemos que está sendo ignorado. Um relatório de 2021 da NordPass analisou um banco de dados de 275 milhões de senhas, e todas as suspeitas usuais ainda estão presentes na lista de senhas usadas com mais frequência.

As senhas mais usadas

Sempre que há uma violação de dados, os dados expostos — mais cedo ou mais tarde — aparecem na dark web. Pode estar à venda ou, como os 533 milhões de registros pessoais de usuários do Facebook, está disponível gratuitamente. Diferentes organizações tiram cópias dos bancos de dados violados e extraem os endereços de e-mail e as senhas. O mais conhecido deles é o site Have I Been Pwned.

Ele fornece um recurso de pesquisa que permite verificar se o seu e-mail foi pego em alguma violação de dados. Em caso afirmativo, você será informado de quais sites ou organizações os dados vieram. Você pode alterar a senha dessas contas e protegê-las novamente. E em todos os outros lugares em que você usou a mesma senha.

Esta é a lista das dez senhas mais populares encontradas em dados que foram violados em 2020. Os números entre parênteses são o número de vezes que a senha foi encontrada no banco de dados.

  • 123456 (2.543.285)
  • 123456789 (961.435)
  • imagem1 (371.612)
  • senha (360.467)
  • 12345678 (322.187)
  • 111111 (230.507)
  • 123123 (189.327)
  • 12345 (188.268)
  • 1234567890 (171.724)
  • senha (167.728)

De acordo com o Verificador de senha experiente, todos eles podem ser decifrados em menos de um segundo, exceto “ picture1 ” o que levaria cerca de um minuto. Mas a maior ameaça é que essas senhas já estão na dark web em bancos de dados prontos para serem usados ​​como munição em ataques de preenchimento de credenciais.

Se a senha no banco de dados veio de uma de suas contas ou não, ela ainda funcionará em sua conta. A entrada principal “ 123456 ” foi visto nos bancos de dados de violação 2,5 milhões de vezes, mas foi exposto em 23,5 milhões de violações.

É tão surpreendente quanto deprimente que as pessoas ainda usem senhas como esta hoje. E a mesma coisa vale para pessoas que criam plataformas que permitirão aos usuários criar senhas como esta. Senhas incorretas devem ser bloqueadas e rejeitadas automaticamente no momento de sua criação. Se os usuários não seguirem as orientações sob seu próprio conhecimento, os designers de sistema precisam tornar impossível a criação de contas com senhas inseguras.

RELACIONADO: Como verificar se os e-mails da equipe apresentam violação de dados

Gerenciadores de senha e políticas

No local de trabalho, você pode fornecer uma política de senha que dite o que é e o que não é uma senha aceitável. Estreite as regras de verificação de senha em todos os sistemas para que as senhas robustas sejam aplicadas. Promova o uso de frases secretas que ligam três ou quatro palavras não relacionadas conectadas por pontuação.

Embora possa parecer contra-intuitivo, considere seguir o conselho do National Institute of Standards and Technology (NIST), do National Cyber ​​Security Center (NCSC) do Reino Unido e da Microsoft e remova os requisitos para que as senhas sejam mudou periodicamente.

Alterações regulares de senha não acrescentam nada à segurança e, inadvertidamente, incentiva escolhas erradas de senha. Ele força os usuários a reter uma senha básica e modificá-la cada vez que uma alteração é forçada, geralmente adicionando um número ou uma data a ela.

É muito melhor para as pessoas escolherem senhas robustas e exclusivas e mantê-las indefinidamente. As senhas só devem ser alteradas quando o usuário deixa a organização ou há suspeita de que a senha foi comprometida.

Gerenciadores de senhas eliminam muitos problemas

Encoraje ou imponha totalmente o uso de um gerenciador de senhas aprovado pela empresa. Isso criará senhas exclusivas e robustas para cada conta, para cada usuário. Senhas extremamente fortes são criadas automaticamente para você, inseridas automaticamente para você, e você só precisa se lembrar de uma senha — a do gerenciador de senhas.

Os gerenciadores de senhas são multi-dispositivos e multiplataforma, então você pode se beneficiar deles em todos os seus dispositivos. As senhas são armazenadas usando um tipo de criptografia que requer uma chave do seu dispositivo para descriptografá-las. Mesmo se a empresa gerenciadora de senhas sofrer uma violação, suas senhas não serão expostas.

Os gerenciadores de senhas também oferecem outros benefícios de segurança. Os emails de phishing geralmente contêm links que enviam o usuário incauto a um site semelhante que coleta credenciais. O gerenciador de senhas não inserirá suas credenciais porque não reconhecerá o URL falso.

RELACIONADO: Por que você deve usar um gerenciador de senhas e como começar

Autenticação de dois fatores

A autenticação de dois fatores adiciona outra camada de proteção. Requer duas coisas do usuário. Algo que eles sabem, sua senha, com algo que eles têm, como seu smartphone. Um aplicativo em seu smartphone exibirá um código único que deve ser inserido junto com sua senha.

Isso significa que mesmo se uma senha for exposta em uma violação, os atores da ameaça não terão acesso a essa conta. Observe que a autenticação baseada em SMS não é mais considerada segura. Use sistemas que exijam um fob, dispositivo dedicado ou aplicativo para smartphone.

A autenticação multifator vai um passo adiante. Além de algo que você conhece e possui, requer algo que você seja, como o proprietário de sua impressão digital, íris ou voz.

Infelizmente, a autenticação de dois fatores não está disponível universalmente. Existem muitos sistemas — quase certamente a maioria dos sistemas — que ainda dependem do antigo par de credenciais de ID e senha. Isso está mudando lentamente, mas o modelo de autenticação de ID e senha ainda existirá por muito, muito tempo.

RELACIONADO: O que é a autenticação multifator (MFA) e como ela é diferente da 2FA?

Passos práticos a serem executados

  • Políticas: você precisa capturar seus requisitos de senhas aceitáveis ​​e as regras para protegê-las em um documento de política. Se não estiver escrito, não é uma política. Ele deve abranger a força das senhas e frases secretas e fornecer orientações sobre a proteção de senhas. Nunca os anote, nunca os compartilhe e nunca os use em mais de um sistema.
  • Gerenciadores de senhas: especifique quais são os gerenciadores de senhas aprovados pela sua empresa e incentive ou imponha seu uso. Existem muitos para escolher. NordPass, Bitwarden e 1Password são bons produtos com um plano gratuito ou uma avaliação gratuita para que você possa ver se eles atendem às suas necessidades.
  • Autenticação de dois fatores e multifator: onde dois fatores ou a autenticação multifator está disponível, use-a. E lembre-se de que só porque você adicionou outra camada de autenticação, a qualidade, a proteção e a exclusividade de suas senhas são tão importantes como sempre.
  • Projeto do sistema: se você escrever um software, certifique-se de que as senhas fracas sejam filtradas e rejeitado à medida que as contas são criadas. Você pode incluir listas de rejeição de senhas que nunca podem ser usadas. Você também pode pesquisar apenas recursos online, como Have I Been Pwned, para verificar se uma senha foi encontrada em violações de dados anteriores. Você pode baixar todo o banco de dados de senhas comprometidas em Have I Been Pwned se desejar hospedá-lo localmente.
  • Educação: por enquanto “ 123456 ” aparece em listas das senhas mais comumente usadas que temos que continuar tentando incutir noções básicas sobre senhas.

Nenhum comentário

Assinar: Postar comentários ( Atom )