4 de maio, Dia Mundial da Senha. Pouca gente conhece a data de hoje por causa disso. É uma celebração criada para reforçar a importância da segurança de usuários e empresas, ainda mais nos tempos atuais, em que o crime organizado e o hacktivismo estão cada vez mais aprimorados. As consequências para a falta de gestão de senhas podem acarretar muitas dores de cabeça para usuários comuns, que correm o risco de ter acessadas informações privadas, como dados pessoais, fotos, documentos e outros. No ambiente corporativo, a fragilidade de senhas pode resultar em golpes de phishing, uma técnica de engenharia social usada para enganar usuários e obter informações confidenciais, roubo de dados sensíveis, roubo de identidade ou obtenção de credenciais para acesso às redes de empresas. Jeferson D'Addario, CEO do Grupo Daryus, consultor e especialista no tema, com mais de 20 anos de experiência, ressalta a importância da proteção de senhas no âmbito corporativo. "As pessoas no dia a dia normal de trabalho, sejam remotas ou presenciais, dentro de suas atribuições, projetos e processos de trabalho, são a primeira linha de defesa de uma organização. É importante que os líderes entendam que a segurança da informação não é um papel ou uma política publicada na intranet, trata-se de mudança de mentalidade, comportamento e entendimento dos riscos e benefícios", diz. Pensando em conscientizar sobre a importância da segurança da informação, a Daryus Consultoria, empresa focada em continuidade de negócios, gestão de riscos, segurança e privacidade da informação e cibersegurança, lista alguns pontos e dicas para a gestão segura de senhas.
Como manter as senhas seguras
Conscientização e educação contínua das equipes e líderes, dentro e fora da empresa É importante capacitar e orientar os colaboradores em treinamentos, workshops, jogos, peças teatrais, filmes e outros materiais de apoio, para que eles identifiquem se estão colocando senhas fortes e cuidando adequadamente de suas contas de acesso. É necessário que as pessoas entendam para praticar na empresa e em casa, inclusive orientando a família. Na empresa temos políticas de segurança e tecnologias, mas em casa com a família o importante é que compreendam os riscos e benefícios. Muitos executivos e gerentes podem ser alvos de cibercriminosos nas contas pessoais.
Nunca compartilhe senhas, nem com as pessoas mais próximasSe uma senha for muito compartilhada ela perderá o propósito, que é proteger as informações e os dados da empresa. Portanto, as senhas nunca devem ser compartilhadas com outras pessoas, sejam da equipe ou familiares. Senhas são pessoais e intransferíveis. Recomenda-se que cuide das suas contas de acesso e senhas da empresa ou pessoais com muito zelo.
Troque as senhas periodicamenteTrocar senhas é chato! Sabemos disso, mas é preciso. Nas empresas, provavelmente o administrador configura para trocar a cada 3 meses em média, o que é considerado ainda uma prática clássica.
Utilize gerenciadores de senhasNo ambiente corporativo é muito comum administrar diversas contas e senhas. Para auxiliar nesse trabalho, é possível contar com ferramentas para gerenciar esses acessos. O gerenciador de senhas armazena essas informações de forma segura, o usuário só precisa guardar uma senha mestra para acessar o aplicativo. Para uso pessoal, pode-se usar gerenciadores de senhas também, eles são conhecidos como cofres de senhas e alguns têm a opção de assinatura para toda a família.
Usar segundo fator de autenticaçãoUtilizar fatores adicionais, como tokens físicos ou digitais, é uma boa prática. Podem ser definidos pelas empresas, pois existem várias opções e tecnologias, e pode ser utilizado para uso pessoal.
Perfis abertos nas mídias sociais Outro ponto são os perfis abertos em redes sociais, "que são um grande fator de risco, pois facilita a construção de ‘wordlists’ por parte de hackers que utilizam informações como nomes de cônjuges e familiares, datas de nascimento (que são postadas durante as comemorações), nomes de pets, etc. Por meio de softwares de fácil acesso (como o Kali Linux), eles poderiam utilizar técnicas de força bruta (conhecimento facilmente acessível em tutoriais no YouTube e agora potencializado pelo Chat GPT e outras inteligências artificiais)", salienta José Medeiros, consultor em segurança da informação e privacidade da Daryus Consultoria.
As 10 senhas mais usadas pelos brasileiros
Segundo pesquisa da empresa norte-americana, NordPass, divulgada no ano passado, muitos brasileiros seguem criando combinações de senhas fracas, que possibilitam o fácil acesso para pessoas mal intencionadas. A empresa revelou as dez combinações mais usadas no país.
- 123456: 13.099 usos
- Brasil: 8.119 usos
- 123456789: 4.237 usos
- 102030: 2.325 usos
- smart2020: 1.756 usos
- master: 1.603 usos
- 1234: 1.580 usos
- 123: 1.383 usos
Para Jeferson D'Addario, senhas frágeis são sempre uma porta de entrada para cibercriminosos. “Cabe às empresas garantir uma política de senhas e monitoramento de acessos, para minimizar esses ataques e proteger a organização. O uso combinado de números, letras e símbolos são alternativas para garantir uma melhor gestão de senhas”. Um hábito comum dos usuários para facilitar a memorização, é utilizar as mesmas senhas para contas e serviços diversos. “Isso pode ser prejudicial caso ocorra uma invasão, pois o cibercriminoso pode ter acesso às demais contas utilizando a mesma senha. Apesar da agilidade, é muito importante diferenciar esses acessos e investir em senhas fortes para cada tipo de serviço”, pontua D'Addario.
Falha humana
Atualmente grandes empresas de tecnologia, como a Microsoft, já orientam conceitos mais avançados que parecem um contraponto, pois as características humanas e de comportamento demonstram que as pessoas vão cometer os mesmos erros. "Do ponto de vista da pessoa, se ela tiver que trocar a senha periodicamente e de forma obrigatória, ela rapidamente vai pensar em algo óbvio, sequencial, normatizado, o que facilitaria a vida de quem quisesse adivinhar ou decifrar suas senhas. As pessoas costumam facilitar as coisas e tendem a buscar números, datas, palavras fáceis de lembrar, e os cofres de senhas ainda não são tão usados ou difundidos", explica Pedrita Miranda, consultora e líder da equipe de TI na Daryus Consultoria. Pedrita complementa que "do ponto de vista da organização, se forçamos a ter uma senha forte seguindo as melhores práticas, por que ela precisa ser obrigatoriamente trocada a cada 30 ou 60 dias? Quanto mais regras de complexidade, maior a tendência dos usuários de normatizar a senha e por consequência, deixá-la mais fraca". Outra prática clássica foi posta em xeque, a do cadastro de dica de senha, que era comum e já não é mais recomendada, pois, as pessoas tendem a colocar parte da senha na dica ou uma palavra que é exatamente a senha, o que facilita para os cibercriminosos. "As pessoas tendem a usar dicas do tipo: Qual nome do seu animal de estimação? Informação que é facilmente obtida com uma busca simples nas redes sociais", salienta Pedrita. "Existem novas tecnologias como MFA, lista de senhas proibidas, cofre de senhas, leitores biométricos e outras tecnologias que podem fortalecer o login dos usuários e acesso às redes corporativas", destaca Cristian Souza, consultor em cibersegurança Daryus Consultoria e professor do IDESP.
*Estagiário sob supervisão do editor Benny Cohen