O que é o dia Mundial da Senha?
O dia Mundial da Senha é um lembrete para que os usuários atualizem senhas fracas ou antigas para garantir a segurança das informações pessoais e corporativas. À medida que as ameaças cibernéticas continuam a evoluir e os maus atores desenvolvem novas técnicas de ataque, uma boa postura de segurança cibernética exige mais do que apenas uma senha forte para evitar comprometimentos.
Como muitos funcionários continuam trabalhando remotamente de qualquer lugar ou mesmo em um modelo híbrido, é fundamental que eles tenham senhas fortes para todas as plataformas, pois não têm mais o mesmo nível de suporte de TI e segurança no local para ajudar.
Dia Mundial da Senha: Como os cibercriminosos costumam comprometer as senhas?
Uma das partes mais importantes para evitar o comprometimento é entender como os cibercriminosos podem tentar obter acesso aos seus dados críticos. As técnicas de ataque continuam a evoluir e se tornar mais sofisticadas, oferecendo aos cibercriminosos um vasto conjunto de ferramentas para explorar os usuários. Aqui estão algumas técnicas a serem observadas:
- Ataques de engenharia social: ataques como phishing por meio de e-mails e textos, em que os usuários são induzidos a fornecer suas credenciais, clicar em links ou anexos maliciosos ou acessar sites maliciosos.
- Ataques de dicionário: os invasores usam uma lista de palavras comuns, chamada “dicionário”, para tentar obter acesso a senhas antecipando que as pessoas usaram palavras comuns ou senhas curtas. Sua técnica também inclui adicionar números antes ou depois das palavras comuns para explicar as pessoas que pensam que simplesmente adicionar números antes ou depois torna a senha mais complexa de adivinhar.
- Ataque de força bruta: uma abordagem na qual os adversários geram aleatoriamente senhas e conjuntos de caracteres para adivinhar repetidamente as senhas e compará-las com um hash criptográfico disponível da senha.
- Pulverização de senha: uma forma de ataque de força bruta que visa várias contas. Em um ataque de força bruta tradicional, os adversários tentam adivinhar várias vezes a senha em uma única conta, e isso geralmente leva ao bloqueio da conta. Com a pulverização de senha, o adversário tenta apenas algumas das senhas mais comuns em várias contas de usuário, tentando identificar aquela pessoa que está usando uma senha padrão ou fácil de adivinhar e, assim, evitando o cenário de bloqueio de conta.
- Ataque de registro de chave: Ao instalar o software de registro de chave na máquina da vítima, geralmente por meio de alguma forma de ataque de phishing por e-mail, o adversário pode capturar os toques de tecla da vítima para capturar seu nome de usuário e senhas para suas várias contas.
- Interceptação de tráfego: os criminosos usam software como sniffers de pacotes para monitorar e capturar o tráfego de rede que contém informações de senha. Se o tráfego não for criptografado ou estiver usando algoritmos de criptografia fracos, a captura das senhas será ainda mais fácil.
- Man-in-the-middle: Nesse cenário, o adversário se insere no meio do usuário e do site ou aplicativo pretendido, geralmente se passando por esse site ou aplicativo. O adversário então captura o nome de usuário e a senha que o usuário insere no site falso. Muitas vezes, os ataques de phishing por e-mail levam as vítimas desavisadas a esses sites falsos
Como os usuários podem impedir que as senhas sejam comprometidas?
Os usuários podem adotar várias táticas para garantir que os agentes mal-intencionados não comprometam suas informações pessoais por meio das técnicas acima. Isso deve incluir: senhas fortes, autenticação multifator e recursos de logon único. Além disso, uma sólida educação em segurança cibernética é fundamental para proteger você, sua família e seu empregador contra comprometimentos.
Criando uma senha forte
É importante desenvolver senhas impossíveis de esquecer e difíceis de adivinhar, mesmo para uma pessoa que pode conhecer detalhes íntimos de sua vida, como o nome da rua em que você cresceu ou o nome do seu primeiro cachorro.
Embora possa parecer atraente adicionar números e caracteres especiais a palavras comuns como forma de desenvolver uma senha forte, os cibercriminosos podem aproveitar várias técnicas de ataque para decifrá-lo.
Evite usar o seguinte em qualquer senha:
- Aniversários
- Números de telefone
- Informações da Empresa
- Senhas comuns como: (“P@$$w0rd”. “QWERTY”, “123456”, etc)
Em vez disso, o Dia Mundial da Senha nos lembra das melhores práticas para proteger suas informações:
- Aproveite combinações improváveis ou aparentemente aleatórias de letras maiúsculas e minúsculas, números e símbolos e certifique-se de que suas senhas tenham pelo menos 10 caracteres para garantir uma senha forte.
- Não compartilhe senhas com ninguém.
- Não use a mesma senha para várias contas, isso aumenta a quantidade de informações que um cibercriminoso pode acessar se conseguir comprometer sua senha.
- Altere sua senha a cada três meses para diminuir a probabilidade de sua conta ser comprometida.
- Use um gerenciador de senhas para gerar senhas únicas, longas, complexas e facilmente alteradas para todas as contas online e o armazenamento criptografado seguro dessas senhas por meio de um cofre local ou baseado em nuvem. Isso tornará mais fácil para você garantir que está usando as senhas mais fortes possíveis, pois você só precisará memorizar a senha no seu armário de senhas.
Usuários de medidas adicionais de autenticação e proteção para o Dia Mundial da Senha
Uma única linha de defesa não é mais eficaz para manter os ataques cibernéticos avançados à distância. Para realmente garantir uma postura de segurança forte, várias táticas são necessárias. Considere o seguinte:
- Autenticação multifator (MFA): A autenticação multifator confirma a identidade dos usuários adicionando uma etapa adicional ao processo de autenticação, seja por meio de tokens baseados em aplicativos físicos ou móveis. Isso garante que, mesmo que uma senha seja comprometida, os agentes mal-intencionados não possam acessar as informações.
- Logon único (SSO): O logon único permite que os usuários aproveitem um único nome de usuário e senha seguros em vários aplicativos dentro de uma organização.
- Treinamento e educação em segurança cibernética: à medida que as ameaças cibernéticas evoluem e os atores mal-intencionados desenvolvem novas técnicas para atingir indivíduos, os usuários devem permanecer cibernéticos e atualizados sobre o estado do cenário de ameaças. Cursos de treinamento gratuitos, como o Network Security Expert (NSE) 1 e o NSE 2 da Fortinet, podem ajudar a educar indivíduos de qualquer idade sobre como se manter seguro. Com os programas Training Advancement Agenda (TAA) e NSE Training Institute da Fortinet, a Fortinet continua trabalhando para fechar a lacuna de habilidades com treinamento e certificações, oportunidades de carreira e parcerias importantes.
À medida que os indivíduos aumentam a quantidade de tempo que passam on-line para trabalhar, e-learning e se comunicar com familiares e amigos, e os cibercriminosos aumentam os ataques direcionados a esses usuários, é importante realizar uma verificação de postura de segurança em todas as contas, atualização fraca e desatualizada senhas conforme necessário.
REFERÊNCIAS:
https://www.fortinet.com/blog/industry-trends/ensuring-strong-cyber-hygiene-on-world-password-day
https://www.fortinet.com/training/taa?utm_source=blog&utm_campaign=taa