O seu negócio tem uma política de senhas sólida? Ou as chaves de acesso são compartilhadas entre muitas pessoas ou, pior, são fracas e fáceis de descobrir? Acredite, isso não acontece apenas na sua empresa e esses são erros de cibersegurança bem comum. Afinal, é muito mais simples ter um documento com todas as senhas armazenadas e só passar o link para os colaboradores. Mas isso ainda renderá muita dor de cabeça caso não seja revisto.
Até porque nem mesmo grandes empresas, com sistemas de proteção robustos, estão imunes a vazamentos. Twitter, Dropbox e, até, o Palácio do Planalto já sofreram com senhas expostas publicamente. Além do dano inicial, a publicação desses dados também ajuda os cibercriminosos a serem seis vezes mais eficientes, uma vez que conseguem mais informações para novas combinações.
Política de senhas: conheça os 3 erros mais comuns
A maior parte dos ataques de ransonware aconteceu por meio de senhas corporativas legítimas. E como eles tiveram acesso a isso? A partir do comportamento inadequado de um usuário. Ou seja, ter uma boa política de senhas auxilia, inclusive, a fomentar uma cultura mais voltada para a segurança cibernética em todos os colaboradores — tendo eles maior ou menor acesso às informações. Para isso, alguns conceitos básicos precisam ser revistos.
1. Usar combinações simples
No vazamento da planilha de senhas no caso do Palácio do Planalto, foi possível observar que muitas delas eram bastante simples. E que havia similaridades entre algumas delas, como “Ac3ss4r1nst4gr4m” e “Ac3ss4r1f4c3b00k”. Como dá para perceber, o princípio aplicado é igual. Essa é uma prática que deve ser evitada e isso precisa ser instituído na sua política de senhas, pois previne os chamados “ataques de força bruta”, nos quais os usuários mal-intencionados tentam adivinhá-la por meio de tentativa e erro.
As empresas devem exigir senhas fortes e complexas, com mecanismos que obrigam os colaboradores a alterá-las regularmente. Compartilhar acessos entre muitos usuários também é a porta de entrada para ataques. Se for investir em um software de gerenciamento de senhas, prefira aqueles que alertam a equipe sobre possíveis violações de segurança, como senhas fracas ou comprometidas.
2. Ignorar a autenticação de múltiplos fatores
Esse é um cuidado relativamente simples, porém que muitos deixam de lado ao pensar somente na facilidade de acesso ao sistema. Contudo, confiar unicamente em senhas para autenticação deixa uma vulnerabilidade significativa, já que elas podem ser comprometidas por meio de diversos métodos, tais como phishing, ataques de força bruta ou violações de dados.
Também chamado de “Verificação em Duas Etapas”, ou ainda “Autenticação Multifator”, esse método adiciona uma camada extra de defesa, tendo em vista que, para conseguir entrar, é necessário providenciar um token de autenticação seguro. Este pode ser um dispositivo físico ou um baseado em software (como um app no smartphone). Isso reduz, consideravelmente, o risco de acesso não autorizado.
3. Compilar as senhas em um documento
Muitas empresas ainda utilizam sistemas inapropriados (como um .doc) para guardarem suas senhas e acessos. A vantagem é que basta enviar o link e, pronto, todas as informações fundamentais para outro colaborador estão nas mãos dele. Entretanto, esses arquivos podem ser indexados, o que é um risco para a empresa. Outra questão é que, quanto mais pessoas sabem sobre uma senha, mais difícil será investigar um incidente.
Documentos e planilhas são vulneráveis a acessos não autorizados, seja por meio de ataques ou vazamentos de dados, seja, até mesmo, por colaboradores mal-intencionados. Quando senhas são armazenadas em texto simples ou mesmo de forma criptografada nessas plataformas, elas se tornam um alvo fácil e centralizado para potenciais violações de segurança.
É sempre bom lembrar que nenhuma medida de proteção é 100% garantida. Entretanto, ter uma boa política de senhas é fundamental para mitigar os riscos. Para conhecer mais medidas, leia o artigo “A importância da segurança de e-mail na proteção contra ameaças cibernéticas”. Até a próxima!