Roubo de dados do Linkedin leva empresas a repensar o uso de senhas fracas
14 de junho de 2016Senhas Fracas |
Por Raul Pavão*
Após a confirmação pelo Linkedin, a maior rede social de negócios do mundo, de um bem-sucedido ataque à sua base de dados que comprometeu mais de 6,5 milhões de usuários, a equipe de proteção à identidade da Microsoft decidiu eliminar o emprego de senhas de acesso estáticas simples que podem ser facilmente adivinhadas ou que já apareceram em listas de senhas roubadas.
A decisão é um passo em direção ao emprego de senhas dinâmicas válidas por um período de tempo limitado e que só podem ser usadas uma única vez. Fraudadores têm usado e abusado a fraqueza inerente de senhas estáticas para a obtenção de lucro fácil.
Não deixa de ser interessante essa estratégia, adotada por diversas áreas ligadas à segurança de TI, que evidencia o quanto são inseguras as senhas estáticas tradicionais.
É paradoxal esse comportamento de grande parte da indústria de TI que não consegue abandonar as senhas estáticas, extremamente vulneráveis como comprovam os sucessivos episódios de acessos criminosos a importantes bases de dados.
Esses crimes conferem grandes lucros aos criminosos cibernéticos e grandes perdas financeiras e, principalmente, de imagem, para as organizações.
Empresas e usuários pensam erroneamente que o próximo ataque será sempre realizado contra alguém que não eles. Mas não é isso que as notícias sobre roubos de dados nos mais diferentes segmentos mostram. É claro que eliminar senhas já usadas ou reconhecidamente fracas é um passo em direção a uma maior segurança, porém é como colocar um curativo em um ferimento à bala sem removê-la antes.
As empresas em geral reconhecem que para uma maior segurança é necessário implementar métodos mais seguros de autenticação. O que é preciso é ir mais fundo nesse conceito.
Senhas estáticas, ainda que mais elaboradas, fornecem uma falsa sensação de segurança. Elas simplesmente adiam a adoção do inevitável próximo passo que é o emprego de senhas de acesso geradas por métodos de autenticação por múltiplos fatores.
A comparação que me parece a mais correta é que a indústria de TI pensa da mesma forma que há muitas décadas atrás pensavam os fabricantes de automóveis em relação aos cintos de segurança e aos airbags.
Eles trabalharam duro para produzir veículos mais seguros sem empregar esses dispositivos, mas quando eles finalmente se tornaram equipamentos obrigatórios, todos reconheceram os imensos benefícios gerados tanto para a indústria como para os consumidores.
Por Raul Pavão | Diretor regional de negócios da Vasco Data Security Brasil