Dia Mundial da Senha: saiba como manter as credenciais seguras

4 de maio, Dia Mundial da Senha. Pouca gente conhece a data de hoje por causa disso. É uma celebração criada para reforçar a importância da segurança de usuários e empresas, ainda mais nos tempos atuais, em que o crime organizado e o hacktivismo estão cada vez mais aprimorados.  

 

As consequências para a falta de gestão de senhas podem acarretar muitas dores de cabeça para usuários comuns, que correm o risco de ter acessadas informações privadas, como dados pessoais, fotos, documentos e outros. 

 

No ambiente corporativo, a fragilidade de senhas pode resultar em golpes de phishing, uma técnica de engenharia social usada para enganar usuários e obter informações confidenciais, roubo de dados sensíveis, roubo de identidade ou obtenção de credenciais para acesso às redes de empresas.

 

Jeferson D'Addario, CEO do Grupo Daryus, consultor e especialista no tema, com mais de 20 anos de experiência, ressalta a importância da proteção de senhas no âmbito corporativo. 

 

"As pessoas no dia a dia normal de trabalho, sejam remotas ou presenciais, dentro de suas atribuições, projetos e processos de trabalho, são a primeira linha de defesa de uma organização. É importante que os líderes entendam que a segurança da informação não é um papel ou uma política publicada na intranet, trata-se de mudança de mentalidade, comportamento e entendimento dos riscos e benefícios", diz. 

 

Pensando em conscientizar sobre a importância da segurança da informação, a Daryus Consultoria, empresa focada em continuidade de negócios, gestão de riscos, segurança e privacidade da informação e cibersegurança, lista alguns pontos e dicas para a gestão segura de senhas.   

Conscientização e educação contínua das equipes e líderes, dentro e fora da empresa 

É importante capacitar e orientar os colaboradores em treinamentos, workshops, jogos, peças teatrais, filmes e outros materiais de apoio, para que eles identifiquem se estão colocando senhas fortes e cuidando adequadamente de suas contas de acesso.

 

É necessário que as pessoas entendam para praticar na empresa e em casa, inclusive orientando a família. Na empresa temos políticas de segurança e tecnologias, mas em casa com a família o importante é que compreendam os riscos e benefícios. Muitos executivos e gerentes podem ser alvos de cibercriminosos nas contas pessoais.

 

Se uma senha for muito compartilhada ela perderá o propósito, que é proteger as informações e os dados da empresa. Portanto, as senhas nunca devem ser compartilhadas com outras pessoas, sejam da equipe ou familiares. Senhas são pessoais e intransferíveis. Recomenda-se que cuide das suas contas de acesso e senhas da empresa ou pessoais com muito zelo.

 

Trocar senhas é chato! Sabemos disso, mas é preciso. Nas empresas, provavelmente o administrador configura para trocar a cada 3 meses em média, o que é considerado ainda uma prática clássica.

 

No ambiente corporativo é muito comum administrar diversas contas e senhas. Para auxiliar nesse trabalho, é possível contar com ferramentas para gerenciar esses acessos. O gerenciador de senhas armazena essas informações de forma segura, o usuário só precisa guardar uma senha mestra para acessar o aplicativo. Para uso pessoal, pode-se usar gerenciadores de senhas também, eles são conhecidos como cofres de senhas e alguns têm a opção de assinatura para toda a família.

 

Utilizar fatores adicionais, como tokens físicos ou digitais, é uma boa prática. Podem ser definidos pelas empresas, pois existem várias opções e tecnologias, e pode ser utilizado para uso pessoal.

 

Perfis abertos nas mídias sociais 

Outro ponto são os perfis abertos em redes sociais, "que são um grande fator de risco, pois facilita a construção de ‘wordlists’ por parte de hackers que utilizam informações como nomes de cônjuges e familiares, datas de nascimento (que são postadas durante as comemorações), nomes de pets, etc.

 

Por meio de softwares de fácil acesso (como o Kali Linux), eles poderiam utilizar técnicas de força bruta (conhecimento facilmente acessível em tutoriais no YouTube e agora potencializado pelo Chat GPT e outras inteligências artificiais)", salienta José Medeiros, consultor em segurança da informação e privacidade da Daryus Consultoria. 

Para Jeferson D'Addario, senhas frágeis são sempre uma porta de entrada para cibercriminosos. “Cabe às empresas garantir uma política de senhas e monitoramento de acessos, para minimizar esses ataques e proteger a organização. O uso combinado de números, letras e símbolos são alternativas para garantir uma melhor gestão de senhas”.

 

Um hábito comum dos usuários para facilitar a memorização, é utilizar as mesmas senhas para contas e serviços diversos. “Isso pode ser prejudicial caso ocorra uma invasão, pois o cibercriminoso pode ter acesso às demais contas utilizando a mesma senha. Apesar da agilidade, é muito importante diferenciar esses acessos e investir em senhas fortes para cada tipo de serviço”, pontua D'Addario. 

Atualmente grandes empresas de tecnologia, como a Microsoft, já orientam conceitos mais avançados que parecem um contraponto, pois as características humanas e de comportamento demonstram que as pessoas vão cometer os mesmos erros.

 

"Do ponto de vista da pessoa, se ela tiver que trocar a senha periodicamente e de forma obrigatória, ela rapidamente vai pensar em algo óbvio, sequencial, normatizado, o que facilitaria a vida de quem quisesse adivinhar ou decifrar suas senhas. As pessoas costumam facilitar as coisas e tendem a buscar números, datas, palavras fáceis de lembrar, e os cofres de senhas ainda não são tão usados ou difundidos", explica Pedrita Miranda, consultora e líder da equipe de TI na Daryus Consultoria.

 

Pedrita complementa que "do ponto de vista da organização, se forçamos a ter uma senha forte seguindo as melhores práticas, por que ela precisa ser obrigatoriamente trocada a cada 30 ou 60 dias? Quanto mais regras de complexidade, maior a tendência dos usuários de normatizar a senha e por consequência, deixá-la mais fraca".

 

Outra prática clássica foi posta em xeque, a do cadastro de dica de senha, que era comum e já não é mais recomendada, pois, as pessoas tendem a colocar parte da senha na dica ou uma palavra que é exatamente a senha, o que facilita para os cibercriminosos. "As pessoas tendem a usar dicas do tipo: Qual nome do seu animal de estimação? Informação que é facilmente obtida com uma busca simples nas redes sociais", salienta Pedrita.

 

"Existem novas tecnologias como MFA, lista de senhas proibidas, cofre de senhas, leitores biométricos e outras tecnologias que podem fortalecer o login dos usuários e acesso às redes corporativas", destaca Cristian Souza, consultor em cibersegurança Daryus Consultoria e professor do IDESP.