.
Recurso patrocinado Quando as primeiras senhas do sistema de computador foram definidas em 1961, poucas pessoas precisavam carregar credenciais pessoais para enfrentar a vida cotidiana. Atualmente, as credenciais de login são onipresentes em quase todos os aplicativos, softwares e serviços da web.
Os resultados de uma votação realizada em nome do Centro Nacional de Segurança Cibernética publicado em abril de 2021 constatou que 27% dos entrevistados tinham pelo menos quatro contas protegidas por senha a mais do que 12 meses antes – com 6% relatando que adicionaram mais de 10 novas contas. Essa proliferação é uma das razões pelas quais as senhas se tornaram o principal vetor de ataque para os cibercriminosos. Na verdade, 81% de todas as violações de dados são devidas a senhas fracas ou roubadas.
Ter que lembrar – ou tentar lembrar – uma dúzia ou mais de logins usados regularmente durante cada dia de trabalho é agora uma maldição comumente citada da vida do século 21 para detentores de senhas e administradores de senhas.
Apesar da riqueza de orientações quando se trata de práticas recomendadas, as senhas geralmente são definidas e armazenadas aleatoriamente. Senhas pessoais e outras senhas são compartilhadas descuidadamente entre amigos e familiares usando canais inseguros como e-mail e outras mídias de mensagens. As mesmas senhas são frequentemente reutilizadas em diferentes sistemas e contas.
As senhas também são compartilhadas regularmente entre colegas de trabalho, mas as soluções de gerenciamento de senhas podem reduzir significativamente os riscos envolvidos em colegas que usam a mesma senha para compartilhar acesso ou dados.
Superando o fator humano
Não é nenhuma grande surpresa, portanto, que as vulnerabilidades relacionadas a senhas tenham sido identificadas como uma causa crônica de muitas violações maliciosas de dados. De acordo com o 2022 Verizon ‘Relatório de investigações de violação de dados‘, 80% das violações relacionadas a hackers envolveram credenciais comprometidas e fracas, e 29% de todas as violações, independentemente do tipo de ataque, envolveram o uso de credenciais roubadas, como senhas.
Porque, conforme destacado com muita frequência nas notícias diárias, mesmo as credenciais atualizadas com mais frequência e mais fortes ainda podem ser roubadas em uma violação de dados. 2FA é uma forma de autenticação multifator (MFA) recomendada como prática recomendada pelo Instituto Nacional de Padrões e Tecnologia (NIST) dos EUA para reduzir o risco.
Mas o atual processo de código de dois fatores baseado em tempo, One-Time Password (TOTP) é repleto de complexidade, pelos seguintes motivos:
– O usuário deve acessar outro dispositivo ou aplicativo e copiar e colar rapidamente ou transcrever manualmente o código antes que ele expire.
– Se o usuário precisar compartilhar uma credencial de login com outras pessoas, a inconveniência de configurar códigos de dois fatores é multiplicada, pois cada usuário deve consultar esse usuário para obter o código a fim de concluir o login compartilhado.
– Códigos de verificação enviados via SMS também são conhecidos por serem vulneráveis a um “hacke de porta SIM” que pode enviar o código para um cibercriminoso.
– A maioria dos aplicativos autenticadores que armazenam os códigos para várias contas são, na verdade, bloqueados para um dispositivo específico. Portanto, se o dispositivo for perdido, o usuário terá que começar tudo de novo e redefinir o 2FA em vários sites… uma experiência tediosa.
Para abordar esses pontos problemáticos e promover o uso de 2FA, a Keeper Security desenvolveu uma camada de segurança totalmente integrada que adiciona códigos de dois fatores diretamente nos registros do cofre. Um usuário do Keeper simplesmente adiciona o código de dois fatores ao campo de registro do cofre, que pode ser preenchido automaticamente ao fazer login por meio do Web Vault ou da extensão do navegador.
Torne mais fácil do que não usá-lo
Os especialistas da Keeper Security argumentam que uma abordagem paralela é alavancar inovações em serviços de nuvem de segurança de confiança zero e conhecimento zero para enfrentar desafios comuns relacionados ao controle de senhas. Porque eles não vão desaparecer tão cedo, nem nossa dependência deles.
“Nós realmente tentamos nos concentrar em dois objetivos principais”, explica Zane Bond, chefe de produto da empresa. “Primeiro, naturalmente, há maior segurança para proteger os usuários e proteger as informações da empresa ao máximo. Mas intimamente ligado a isso, garantimos que usar nossa ferramenta Enterprise Password Manager seja mais fácil do que não usá-la.”
O espírito da Keeper Security foi informado por uma resposta do usuário que chama de “paradoxo da adoção de segurança”. Isso descreve o que geralmente acontece quando um novo produto de segurança é implantado em uma força de trabalho.
“Para começar, os usuários acharão um pouco mais difícil de adotar e se acostumar – mas, quando superarem isso, ficarão muito mais seguros”, diz Bond. “Portanto, essa é a compensação – um pouco mais a fazer para muito mais segurança – e a maioria dos usuários concorda com isso.”
No entanto, quando esses novos procedimentos de segurança se inclinam muito para cima na escala de complexidade, as pessoas tendem a cancelar o compromisso, diz Bond: “Embora eles entendam o ponto de ter mais segurança, quando demoram mais para fazer login, talvez por meio de uma conexão VPN lenta que podem interromper sua produtividade, os funcionários param de usá-los ou encontram maneiras de ignorá-los.”
Reutilização de senha em alta
A reutilização de senhas – usando a mesma senha para mais de uma conta – pode resultar em uma multiplicidade de problemas caso essa senha seja comprometida.
A reutilização de senha é comum. Indivíduos ouvidos pelo ‘Relatório de Comportamentos de Segurança de Estado de Senha e Autenticação 2020‘ admitiram que reutilizam senhas em uma média de 16 contas no local de trabalho, enquanto os entrevistados que trabalham com segurança de TI dizem que reutilizam senhas em uma média de 12 contas no local de trabalho. Quarenta e nove por cento dos entrevistados sobre segurança de TI e 51 por cento dos indivíduos admitiram que estão compartilhando senhas com seus colegas.
“Os usuários nem sempre percebem que os hackers podem roubar suas senhas em exfiltração de fontes de terceiros e, em seguida, disponibilizá-las – gratuitamente ou para revenda – na Dark Web”, adverte Bond. O risco de autenticação reutilizada é agravado quando as pessoas usam as mesmas senhas para contas profissionais e não relacionadas ao trabalho.
Claramente, ocorrem situações em que o compartilhamento de senhas é operacionalmente conveniente ou essencial. “Os colegas desejam compartilhar informações entre si como parte do trabalho colaborativo – mas é importante que ambas as partes realmente entendam a dimensão de segurança de como isso é feito”, diz Bond. “Compartilhar senhas por si só não é um risco inato se feito usando um software de gerenciamento de senhas. Mas muitas vezes não é.”
Bond continua: “Em um requisito típico, as informações de senha podem ser enviadas por e-mail ou mensagem de texto, ou por meio de plataformas de mensagens como Slack ou Microsoft Teams. As pessoas podem estar usando qualquer número de mídia e plataformas, incluindo aquelas não aprovadas pelo TI da empresa função de segurança”.
Muitas dessas ferramentas e plataformas de mensagens mantêm logs que rastreiam e copiam automaticamente as mensagens do usuário à medida que passam por elas. “Os usuários muitas vezes não estão cientes de que alguns sistemas retêm esses logs – e as informações que eles mantêm – para sempre. A exclusão de cópias das caixas de entrada e das pastas Enviadas não as erradicará totalmente e, se o acesso a esses logs for comprometido e eles forem desviados, o as senhas vão com eles”, diz Bond. “Portanto, compartilhar credenciais em mensagens escritas torna-se arriscado porque qualquer meio usado pode não ser seguro.”
As pessoas compartilham suas senhas por vários motivos, desde restrições orçamentárias – economia de custos em software licenciado limitado ao usuário – até atalhos operacionais para garantir que os prazos do projeto sejam cumpridos.
Quarenta e dois por cento dos trabalhadores que responderam a uma pesquisa feita por macaco de pesquisa compartilhe senhas (e contas) para ‘colaborar mais facilmente com seus colegas de equipe’. No entanto, 38% dos entrevistados indicaram que compartilham senhas porque é a política do empregador para o qual trabalham, mas os motivos subjacentes a essas políticas não são claros (pode, novamente, ser sobre controle de custos de software).
Mitigando o acesso dos contratados
Parceiros e contratados de tecnologia terceirizados constituem outro motivo para o compartilhamento de senhas. Empresas de todos os tamanhos trabalham cada vez mais com vários parceiros de negócios externos. Essas entidades geralmente precisam acessar remotamente os sistemas e processos internos de um cliente, para fazer upload de documentação ou acessar aplicativos operacionais, por exemplo.
Essa necessidade expõe as organizações a uma ampla gama de riscos de segurança de TI, pois o pool de distribuição de senhas é ampliado.
“O risco de terceiros é um desafio que está crescendo”, acredita Bond na Keeper Security. “Mesmo que você não se preocupe com a honestidade e integridade deles, permitir que os contratados acessem sua TI interna pode ser como abrir seus sistemas e dados para hackers.”
Uma empresa típica pode ter uma série de provisões de segurança – detecção de endpoint, software antivírus/malware, firewalls – e tudo isso pode estar fazendo um trabalho eficaz, acrescenta. Mas quando até mesmo um terceiro confiável entra no ambiente de uma empresa cliente, os dispositivos que eles trazem, os padrões de uso que possuem, podem não estar alinhados com as políticas de segurança estabelecidas, deixando-os expostos à infiltração por qualquer pessoa que tenha acesso aos sistemas dos contratados.
“Imagine um cenário em que um fornecedor de TI precise obter acesso a um de seus servidores de aplicativos de banco de dados para resolver uma falha de configuração”, continua Zane. “A maneira como muitas empresas respondem a essa situação é: ‘Daremos ao contratado acesso temporário ao nosso servidor por meio da VPN e, quando o trabalho for concluído, desligaremos’.”
As VPNs, no entanto, são “acesso excessivo”, diz Bond: “Isso significa que os contratados terceirizados podem escanear qualquer servidor, ouvir todo o tráfego, todas as transmissões internas de mensagens. Potencialmente, você está introduzindo uma tonelada de risco.”
O Keeper Connection Manager (KCM) da Keeper Security é um gateway de desktop remoto sem agente/sem cliente que pode ser usado com ambientes locais ou na nuvem. Ele fornece às equipes de TI e DevOps acesso direto ao Remote Desktop Protocol, Secure Shell Protocol, bancos de dados e endpoints do Kubernetes, por meio de uma sessão segura por meio de um navegador da Web padrão.
“O KCM permite que as organizações de usuários adotem acesso remoto de confiança zero à infraestrutura de TI – que, aliás, a maioria das VPNs não oferece suporte”, diz Bond. “Para acessar uma máquina remota, o DevOps e o pessoal de TI clicam no servidor ou desktop que desejam acessar a partir da interface. O KCM é integrado à nossa solução de gerenciamento de senhas e segredos, portanto, todas as senhas e chaves são protegidas em um cofre criptografado.”
Para facilitar ainda mais o acesso compartilhado protegido, o Keeper Security tem o One-Time Share, um recurso que permite aos usuários do Keeper compartilhar registros com segurança com qualquer pessoa por tempo limitado, usando a criptografia de conhecimento zero e o modelo de segurança de confiança zero da empresa.
“Os links de compartilhamento único são restritos apenas ao dispositivo do destinatário e expiram automaticamente no momento escolhido pelo usuário do Keeper”, explica Bond. “Os registros de compartilhamento único só podem ser usados em um dispositivo. Mesmo que o usuário se esqueça de ‘descompartilhar’ Strong The One, ele expirará automaticamente e o acesso do destinatário será revogado.”
Patrocinado pela Keeper Security.
.
