Dia Mundial da Senha: dicas de segurança de senha de um especialista em cibersegurança

by Rackspace Technology Staff

A hand holding a cell phone with a screen asking for log in information

Você prefere ter sua senha hackeada em três segundos ou em 3.000 anos? De acordo com um recente estudo da Hive Systems, a diferença depende de vários fatores. O cenário de hackeabilidade para 3.000 anos inclui senha de 12 caracteres com uma mistura de números, símbolos e letras maiúsculas e minúsculas.  

Embora as senhas possam parecer antiquadas numa época com formas mais modernas de autenticação, como a biometria, elas ainda são a principal forma de garantir acesso a aplicativos, redes e dispositivos.  

"Apesar de serem uma forma divertidamente arcaica de autenticar, as senhas estão aqui para ficar, dada sua simplicidade e facilidade de implementação", disse Nicolas Christin, colíder em uma equipe de pesquisa de senhas da Carnegie Mellon. Por exemplo, "quando seu aplicativo de reconhecimento facial falha, você usa o que no lugar? Um PIN, que nada mais é do que um tipo de senha." 

 

Homenageando o #DiaMundialdaSenha 

O Dia Mundial da Senha, celebrado na primeira quinta-feira de maio, serve para recordar a indivíduos e organizações que todos devemos melhorar nosso cuidado com as senhas. As empresas precisam de senhas mais fortes para ajudar a manter redes, aplicativos e arquivos longe das mãos de hackers maliciosos.

Da mesma forma, os indivíduos precisam de senhas mais fortes para garantir que suas informações privadas estejam seguras durante a utilização de serviços bancários, sites de comércio eletrônico e redes sociais na internet.  

Além disso, os ataques a senhas estão em ascensão, de acordo com um estudo da Specops Software. Seu relatório de senhas fracas para 2022 trouxe estes insights: 

  • 54% das organizações não têm nenhuma ferramenta para gerenciar senhas. 
  • 48% das organizações não têm nenhum processo de verificação de usuário para as chamadas ao service desk de TI. 
  • 41% das senhas usadas em ataques têm 12 caracteres ou mais, mas não são fortes o suficiente. 

 

Nossas limitações cognitivas 

Embora criar senhas mais fortes seja o objetivo, não se trata de algo tão simples na prática, considerando o tanto de senhas que cada pessoa precisa lembrar — um número que aumentou exponencialmente desde o advento da internet. Um estudo conduzido pela Microsoft em 2007 verificou que os usuários típicos utilizavam 6,5 senhas para cerca de 25 contas. Saltamos para 2022, onde cada usuário tem uma média de 70 a 80 senhas para lembrar.  

Nossa incapacidade para lembrar de tantas senhas só aumenta o desafio de gerenciá-las. Outro estudo constatou que, em nível cognitivo, não somos suficientemente equipados para lidar nem com 25 senhas diferentes, que dirá mais de 70. O estudo descobriu que um usuário típico da internet pode lidar com, no máximo, quatro ou cinco senhas de forma eficiente. Essa limitação de capacidade cognitiva é a principal razão pela qual a maioria das pessoas reutiliza senhas em sites diferentes, com pouca ou nenhuma modificação. 

"A reutilização de senhas em mais de um local está entre as principais causas das invasões", diz John Moran, arquiteto de Soluções de Segurança da Rackspace Technology®. Por isso, em homenagem ao Dia Mundial da Senha, Moran compartilhou práticas recomendadas para manter nossas senhas mais seguras no trabalho e em casa.  

Busque complexidade. O estudo da Hive Systems descobriu que quanto mais complexa a senha, mais dificuldade os hackers têm de quebrá-la. Apesar disso, a maioria das senhas não é suficientemente complicada.  

"Para combater as táticas dos hackers, como ataques com força bruta, as senhas devem ser complexas", afirmou Moran. "Precisam ser compridas, com pelo menos nove a 12 caracteres ou mais. E precisam ter uma mistura de símbolos, números e letras maiúsculas e minúsculas.  

Adote uma "frase-senha" em vez de uma senha. Moran recomenda criar frases de acesso em vez de senhas para reforçar a complexidade, mas facilitar a memorização. Por exemplo, escolha uma frase como "Adoro cozinhar em casa às sextas-feiras" e transforme-a em uma frase-senha. Neste caso, ACec@6f, por exemplo.  

Não use senhas repetidas. Com frequência, os usuários criam uma senha e a usam em vários lugares, simplesmente porque é mais fácil lembrar de uma do que de muitas. Mas se trata de um péssimo costume. Ao invés disso, use uma senha exclusiva para cada local.  

"Esse hábito permitirá controlar os danos, pois restringirá a ação do hacker caso ele obtenha acesso a um dos locais", explicou Moran. "Ele não conseguirá usar a mesma senha para invadir outros locais. Portanto, os possíveis danos serão muito mais limitados."  

Atualize as senhas regularmente. Algumas empresas exigem que os funcionários atualizem as senhas regularmente, como a cada 90 ou 120 dias.  

No entanto, Moran salienta: "O risco aqui é que as pessoas criem senhas fáceis porque precisam se lembrar de uma nova a cada poucos meses. Então, reforce a importância de criar senhas fortes e complexas."

Implemente autenticação multifatorial. Esse recurso funciona com um sistema auxiliar na proteção das senhas. Quando os usuários têm de passar por uma segunda etapa, como o fornecimento de um código, para acessar uma rede, aplicativo ou arquivo, a invasão se torna muito mais difícil.  

"Quando você adiciona as duas camadas de proteção juntas, fica mais difícil para o adversário rompê-las", observou Moran.  

Fortaleça seu armazenamento de senhas. O modo de armazenar as senhas é fator crucial na segurança delas. O ideal é ter um banco de dados de senhas com sua própria senha superforte — "uma chave para liberar todas as outras". 

Desative contas antigas. É muito comum as empresas esquecerem de remover as contas dos funcionários que não trabalham mais lá. Porém, isso muitas vezes proporciona uma maneira relativamente fácil para os hackers explorarem um sistema.  

"Algumas empresas deixam as contas descomissionadas ativas por anos", observou Moran. "Entretanto, desativar as contas dos funcionários exonerados deve ser uma prática permanente da gestão adequada da senhas". 

Empregue regras de privilégio mínimo. Trata-se de dar aos colaboradores o nível mínimo de acesso necessário para realizar o trabalho. "Essa prática ajuda a limitar os danos se houver uma violação, inclusive uma violação interna", observou Moran.  

 

Solving Together™

Atualmente, as senhas são mais críticas do que nunca, ainda mais pelo fato de haver agora muitas organizações trabalhando em operações remotas ou híbridas. Fortalecer a proteção das senhas ajudará a bloquear redes e aplicativos e a garantir que apenas as pessoas certas possam acessá-los.

Todos precisamos de um lembrete, como o #DiaMundialdaSenha, para nos inspirar a melhorar nossos hábitos de senha e a manter uma barreira mais substancial entre nossas informações críticas e os hackers cada vez mais habilidosos de hoje. 

A Elastic Engineering for Security da Rackspace ajuda empresas no mundo todo a se defenderem melhor contra o universo crescente de ameças. Descubra como podemos ajudar sua organização a sanar suas deficiências de segurança implantando a defesa perfeita contra o complexo cenário de ataques cibernéticos.

Ouça o podcast CloudTalk Live acerca de como combater ameaças à segurança com uma defesa multicamada.

Faça nossa autoavaliação de risco de cibersegurança para que possamos ajudar você a avaliar, implementar, projetar e gerenciar seus desafios de segurança e compliance.

Pronto para conversar com um especialista em soluções de segurança?