Uma parte importante da higiene cibernética é entender como os cibercriminosos podem tentar obter acesso aos seus dados críticos. Não é surpresa que os maus atores tenham como alvo senhas fracas. 

De acordo com o  Relatório de Investigações de Violação de Dados de 2022 , credenciais roubadas levaram a quase 50% dos ataques cibernéticos no ano passado. Depois que os invasores têm acesso a senhas roubadas para acessar a conta de um indivíduo, eles geralmente saem com um tesouro de dados pessoais, como dados bancários ou outras informações pessoais críticas. Com esses dados, um invasor pode realizar várias atividades maliciosas, como roubar a identidade do indivíduo, acessar suas contas de mídia social e gastar dinheiro em seus cartões de crédito. Como resultado, é crucial que senhas fortes sejam usadas e alteradas com frequência para evitar que agentes mal-intencionados obtenham acesso.

Como os hackers obtêm senhas?

Existem inúmeras táticas que invasores inteligentes usam para roubar senhas. Um exemplo é a engenharia social, ou phishing, em que os cibercriminosos enganam os usuários para que forneçam suas credenciais por e-mail ou mensagens de texto, clicando em links maliciosos ou visitando sites maliciosos. Outra é a interceptação de tráfego, onde os invasores usam software como sniffers de pacotes para monitorar o tráfego de rede contendo informações de senha e credenciais de captura.

Além disso, o vazamento do ransomware Conti revelou como o grupo de ransomware mais bem-sucedido de 2021 usou ladrões de informações e técnicas de preenchimento de credenciais, onde o agente da ameaça compra credenciais vazadas de bancos de dados em vários mercados da darknet. Infelizmente, muitas pessoas usam a mesma combinação de senha e e-mail para vários sites. Se apenas uma dessas combinações acabar em um banco de dados, é fácil para os agentes de ameaças reutilizarem essas informações confidenciais para obter acesso ao ambiente da vítima.

Os invasores estão constantemente encontrando novas maneiras de comprometer as credenciais do usuário, tornando quase impossível criar uma lista abrangente de como eles podem roubar uma senha. É por isso que devemos aprender a manter a nós mesmos e nossos dados seguros online. Um ótimo lugar para começar é implementar senhas em contas que são mais difíceis de serem roubadas por invasores.

Práticas recomendadas para criar senhas melhores

O que constitui uma senha forte? Aqui estão quatro dicas simples para criar ótimas senhas e se proteger melhor contra um ataque cibernético.

  1. Crie senhas impossíveis de esquecer, mas difíceis de adivinhar: Embora possa parecer uma boa ideia adicionar números ou caracteres especiais a palavras e frases comuns para fortalecer sua senha, os invasores usam várias técnicas para quebrar essa abordagem. Em um ataque de dicionário, por exemplo, os invasores usam uma lista de palavras comuns para obter acesso a aplicativos ou sites na esperança de que as pessoas usem essas palavras em suas senhas. Eles também adicionam números antes ou depois dessas palavras comuns para explicar as pessoas que pensam que simplesmente adicionar números antes ou depois tornará sua senha mais difícil de adivinhar. Para facilitar a criação de senhas fortes, use um dispositivo mnemônico, como a segunda letra de cada palavra em uma frase que você conhece ou da letra de uma música obscura, e misture letras maiúsculas e caracteres especiais.
  2. Evite usar nomes, números ou frases específicos em suas senhas: Mantenha suas informações de identificação pessoal, junto com seu destino de férias favorito, faculdade ou time esportivo, fora de suas senhas. Evite usar o seguinte em qualquer senha:
  • o Aniversários
  • o Números de telefone
  • o Informações da empresa
  • o Nomes, incluindo títulos de filmes e times esportivos
  • o Uma simples ofuscação de uma palavra comum (“P@$$w0rd”)
  • Em vez disso, use uma combinação de letras maiúsculas e minúsculas, números e símbolos e crie uma senha com pelo menos 10 caracteres.

3.  Use senhas diferentes para cada conta:  Ao usar a mesma senha para várias contas, você aumenta a quantidade de informações que um invasor pode acessar sobre você se conseguir roubar suas credenciais. Suponha que uma de suas contas seja comprometida e seu nome de usuário e senha sejam postados na dark web. Nesse caso, os cibercriminosos que sabem com que frequência as senhas são reutilizadas começarão a conectar essas informações a outras contas até desbloquearem aquelas que usam as mesmas credenciais.

4. Use um gerenciador de senhas para gerar senhas únicas, longas, complexas e facilmente alteradas para todas as suas contas online: Embora seguir as diretrizes de criação de senha acima seja um começo sólido para melhorar suas defesas contra ataques cibernéticos, não tente acompanhar todas essas senhas usando um documento ou planilha em seu dispositivo (ou uma nota adesiva sob o teclado). apenas convidando problemas. Em vez disso, considere usar um gerenciador de senhas como uma opção mais segura. Um gerenciador de senhas pode gerar senhas exclusivas para cada uma de suas contas online (ou você pode usar as suas próprias), criptografa essas senhas e as armazena em um cofre local ou baseado em nuvem. Os gerenciadores de senhas facilitam a garantia de que você está usando as senhas mais fortes possíveis, pois você só precisa memorizar uma única senha para acessar o cofre.

Mais do que apenas senhas fortes

Embora os indivíduos possam seguir as práticas recomendadas para criar senhas fortes, as equipes de TI e de segurança devem tomar medidas adicionais para proteger sua organização e seus funcionários de senhas comprometidas. Senhas fortes são apostas de mesa.

Se você é um profissional de segurança, considere implementar:

  • Autenticação multifator (MFA):  a MFA confirma a identidade dos usuários adicionando uma etapa ao processo de autenticação, seja por meio de tokens físicos ou móveis. Adicionar uma segunda etapa para verificar a identidade de um usuário garante que um cibercriminoso não possa acessar a conta desse indivíduo, mesmo que uma senha seja comprometida.
  • Single Sign-On (SSO): O  SSO permite que os usuários usem um único nome de usuário e senha em vários aplicativos em sua organização. O uso de apenas um conjunto de credenciais melhora a segurança, pois os agentes mal-intencionados têm menos oportunidades de comprometer a conta de um indivíduo.
  • Treinamento e educação em segurança cibernética:  à medida que as ameaças cibernéticas evoluem continuamente e os invasores introduzem novas técnicas para roubar dados, todos os funcionários devem saber sobre as ameaças cibernéticas e como podem se proteger melhor. Cursos de treinamento gratuitos, como os da série Network Security Expert da Fortinet , ajudam a educar usuários individuais sobre como se manter seguro.
  • Serviço de proteção contra riscos digitais (DRP):  os serviços de DRP que incluem gerenciamento de superfície de ataque externo (EASM), proteção de marca e inteligência centrada no adversário (ACI) são essenciais para impedir os adversários no início de suas campanhas. Por exemplo, o FortiRecon da Fortinet monitora e alerta continuamente para credenciais vazadas de seus funcionários na dark web, de fóruns clandestinos e adversários apenas para convidados, de fontes de inteligência de código aberto (OSINT) e muito mais.

Estar ciente dos riscos de segurança cibernética e das táticas dos invasores é mais importante do que nunca no local de trabalho e em casa. Usar senhas fortes e alterá-las com frequência é uma parte fundamental da proteção de informações pessoais e ativos digitais.

Os cursos e serviços do Fortinet Training Institute podem ajudar

A Fortinet oferece uma ampla gama de recursos para usuários individuais e organizações para ajudar a resolver problemas de segurança, como senhas fracas que podem abrir as portas para criminosos cibernéticos. Por meio do Fortinet Training Institute, a Fortinet oferece cursos de treinamento gratuitos para ajudar a estabelecer uma compreensão fundamental das melhores práticas de higiene de segurança cibernética. O serviço de conscientização e treinamento de segurança da Fortinet também está disponível para organizações que desejam garantir que todos os seus funcionários, independentemente de sua função, possam identificar métodos de ameaças e evitar vulnerabilidades e violações.

REFERÊNCIAS:

https://www.fortinet.com/training/cybersecurity-professionals?utm_source=blog&utm_medium=blog&utm_campaign=training

https://www.fortinet.com/products/fortirecon?utm_source=blog&utm_medium=blog&utm_campaign=fortirecon

https://www.fortinet.com/resources/cyberglossary/multi-factor-authentication?utm_source=blog&utm_medium=blog&utm_campaign=mfa

https://www.fortinet.com/blog/industry-trends/4-tips-for-creating-stronger-passwords

https://www.techtarget.com/searchsecurity/news/252520686/Verizon-DBIR-Stolen-credentials-led-to-nearly-50-of-attacks

https://www.fortinet.com/blog/industry-trends/password-day-password-security-best-practices?utm_source=blog&utm_medium=blog&utm_campaign=password-best-practices