23 de JANEIRO
Abordar o tema da Segurança da Informação pode não ser tão simples quando direcionada ao ambiente corporativo. É comum ouvir-se histórias de golpes de whatsapp, falsa central telefônica de bancos, ou até mesmo de redes sociais hackeadas. Aspectos que fazem parte da vida privada dos usuários, mas por algum motivo, quando transportado para o ambiente laboral a realidade dos ataques cibernéticos, para muitos, parece distante, ou soa como algo improvável.
O profissional de TI, responsável pelo tema, por vezes assume o papel de chato na corporação, afinal tem o grande desafio de mitigar os riscos. Por muitas vezes caminhar na direção contrária da praticidade, faz com que a segurança seja impopular, principalmente quando esta impacta o dia a dia do usuário, que não possui a mesma percepção de risco da vida particular para a vida profissional.
Por este motivo, o uso de autenticação multifatorial pode ser para muitos, um exagero. Adicionar uma etapa extra para um acesso a quem já tem a dificuldade de inserir uma senha, seja essa convencional ou não, com certeza não é uma medida popular. Seria de fato muito prático se ao chegar até a sua estação de trabalho, tudo estivesse pronto e operante, sem a necessidade de fazer o login e lembrar de senha para então seguir o trabalho do dia anterior.
Mas será que além de prático, seria seguro? A autenticação de dois fatores não necessita ser penosa, mas é preciso entender um pouco mais sobre a sua importância para a segurança da informação das organizações.
Qual o objetivo da autenticação multifatorial?
A autenticação multifatorial busca resolver problemas relacionados à vulnerabilidade das senhas. Senhas fracas são fáceis de se lembrar, não demandam grandes esforços de memorização e não representam um desafio ao serem digitadas. Apesar da facilidade e da baixa complexidade para o usuário, as senhas fracas, como “123456”, “senha”, ou datas de aniversários, na perspectiva da Segurança da Informação são extremamente prejudiciais ao ambiente por serem simples de adivinhar ou descobrir através de brute force, deixando o ambiente vulnerável.
Como é possível diminuir o uso de senhas fracas nas empresas?
Existem algumas maneiras de se contornar o uso de senhas fracas, uma delas é através do estabelecimento de políticas. Passar a exigir uma quantidade mínima de caracteres, símbolos, letras maiúsculas e minúsculas, números, além de restringir o uso de dados pessoais nas senhas são fatores que contribuirão para a segurança da senha.
Senhas robustas, não repetidas e sua troca periódica podem auxiliar no fortalecimento da segurança cibernética. No entanto, o usuário pode utilizar-se da criatividade para contornar tais medidas, senhas como Nome_da_empresa_numeral_do_1_!, podem atender as regras da política e ainda assim representar um risco, principalmente quando na troca periódica acontecem as seguintes alterações: Integrasul1!, Integrasul2!, Integrasul3!...
Apesar de estar na conformidade com as regras da política, este tipo de senha pode ser considerado fácil, pois é de simples memorização e utiliza-se de palavras diretamente relacionadas à organização além de numericamente seguir uma lógica baseada nas mudanças obrigatórias.
Evitar o uso de palavras do dicionário, sequências numéricas simples ou termos relacionados diretamente ao ambiente e cultura corporativa também auxiliarão na construção de uma senha mais robusta e segura.
O que fazer quando as senhas ficam muito complexas para o usuário?
Acima trouxemos informações sobre boas práticas relacionadas a senhas a partir da perspectiva da Cibersegurança. Mas ao solucionarmos este problema, involuntariamente criamos outro. O aumento da segurança da senha, faz com que essa seja de difícil memorização, consequentemente, agrega-se uma dificuldade para o dia a dia do usuário, em um momento que teoricamente deveria ser simples, que é a autenticação em suas plataformas de trabalho.
Uma opção para aumentar a conveniência ao acesso de usuários em suas respectivas plataformas ao mesmo tempo em que se mantém elevados os critérios de segurança de suas senhas, é através de cofres de senha. Além de preencher automaticamente a senha ou ao menos habilitar a opção de colá-la, o usuário tem a obrigação de atentar-se apenas a uma senha mestra complexa, podendo gerar automaticamente as demais no próprio cofre sem a necessidade de decorá-las.
Assim, tanto a equipe de segurança da informação como o usuário têm seus desafios reduzidos. Mesmo assim, quando nos referimos a credenciais, os desafios vão além da complexidade e usabilidade da senha. Apesar de essencial, uma senha robusta perde o seu valor se está é comprometida.
Apenas o uso de senhas seguras garante a proteção da empresa?
O uso de senhas seguras ou o simples uso de cofres de senha não é a solução final para a segurança das suas credenciais, pois ainda é preciso lidar com possíveis vazamentos de dados vinculados à própria plataforma a qual logamos, compartilhamento ou até mesmo venda de credenciais, por isso que a autenticação de dois fatores é tão importante.
O risco de ter credenciais comprometidas transpassa o desconforto do usuário ao acréscimo de mais uma etapa de autenticação. Além de ter sido o principal vetor de ataque em 2024, violações que envolveram credenciais roubadas ou comprometidas, também foram o vetor de ataque que mais levou tempo entre sua identificação e contenção, em média de 292 dias. Além do extenso tempo, há também um custo elevado neste tipo de ataque, tendo este sido estimado em média de US$ 4,81 milhões por violação.
Como abordar o uso de MFA (Multi-Factor-Authentication) nas empresas?
Se a exigência de senhas seguras já gera um desconforto, como então tratar de MFA?
Há uma barreira cultural que pode trazer dificuldades na implementação de autenticação de dois fatores. Cabe desenvolver trabalhos relacionados à conscientização do usuário, principalmente quando este compartilha do mesmo problema que a organização.
A falta de autenticação de dois fatores pode deixar não só as contas da empresa desprotegidas, mas também as do usuário. É comum ouvirmos sobre alguém que teve suas contas de redes sociais hackeadas e o uso da uma solução de autenticação de dois certa em muitos casos seria o suficiente para impedir este roubo.
A dor de credenciais vulneráveis pode ser compartilhada com o usuário e compreendida por este. Através de campanhas de conscientização, além de estimular o uso de ferramentas como o Bitwarden, cofre de senhas, que permite que pessoas físicas o utilizem gratuitamente, faz com que estas desenvolvam uma cultura de segurança que também poderá ser replicada para a empresa.
Há também de se entender qual autenticação multifatorial atenderá melhor as necessidades da sua organização. Apesar de existirem um bom número de opções, nem todas elas possuem a robustez necessária, podendo também trazer vulnerabilidades quando incorretamente posicionadas.
Quais são os tipos de autenticações multifatoriais que podem ser utilizadas no âmbito organizacional?
Listamos algumas opções para melhor entendimento:
Autenticação via SMS: após vincular o número de seu celular a plataforma desejada, recebe-se um SMS, com um código para validar, além de login e senha.
Apesar de ser de fácil adesão, é preciso analisar alguns aspectos desta autenticação. Ela possui uma alta dependência de um bom sinal da operadora, algo que em ambientes fabris ou rurais pode ser um desafio. Além disso, ela é fortemente suscetível a engenharia social.
Basta que o atacante, munido de dados do alvo, solicite a portabilidade do número de telefone para outra operadora, assim este se torna detentor do seu código de autenticação e indisponibiliza por tempo indeterminado, o seu acesso. Afinal, para buscar solucionar essa questão seria necessário ligar para o 0800 da operadora e esta ação pode levar horas.
Autenticação via e-mail: neste método, é recebido um e-mail com o código que servirá como duplo fator.
Familiar ao usuário por se tratar de uma tecnologia comum ao ambiente laboral, para que este método funcione, é necessário que se cadastre um e-mail. Para as demais plataformas é possível que se utilize o e-mail corporativo, no entanto como dupla autenticação deste, seria necessário associar um e-mail pessoal, o que pode não ser a melhor escolha.
A integridade do e-mail escolhido é essencial e requer alta segurança, sendo necessário fazer uso de outra tecnologia de dupla autenticação. Algumas das vulnerabilidades desta autenticação seriam as páginas falsas e ataques phishing, por se trabalhar com um código estático que possui um maior tempo de validade, possibilitando maior tempo hábil para interceptação.
Autenticação por aplicativos autenticadores: atualmente uma das formas mais seguras de MFA, instala-se o aplicativo em seu dispositivo móvel e após escanear o QR Code da aplicação, esta terá códigos, que expiram e renovando-se dentro de segundos. Estes códigos ficam vinculados à plataforma cadastrada, e somente farão sentido para a sua autenticação. Assim, o tempo de interceptação diminui, aumentando a dificuldade para o acesso não autorizado em sua conta.
Autenticação por push: a autenticação via Push substitui a necessidade de se digitar ou inserir códigos para a validação, assim sem correr o risco de uma possível interceptação. Pode ser feita através de aplicativos autenticadores como o DUO ou em dispositivos em que o usuário já esteja autenticado. Cabe ao usuário ter a cautela de autorizar apenas os seus acessos, além de controlar os dispositivos aos quais já está autenticado. A imprudência pode se tornar uma brecha para uma possível entrada não autorizada.
Considerações sobre MFA que envolvem celulares:
Pela atual conjuntura da sociedade em relação aos dispositivos móveis, a utilização de MFA que envolve o uso de celulares parece ser de rápida e fácil adesão, afinal a grande maioria dos usuários carregará consigo um destes dispositivos. No entanto, se faz necessário considerar se os dispositivos móveis serão corporativos ou particulares.
O uso de celulares corporativos faz parte do cenário ideal, pois pode ficar sob o monitoramento e controle da instituição. Em contrapartida, este cenário pode se provar custoso, principalmente quando pensado para todos os membros da corporação a constante aquisição e reposição de novos dispositivos, que necessitam no mínimo ser compatíveis com os softwares utilizados, podem tornar essa uma opção um tanto quanto morosa.
Já o uso do dispositivo móvel particular também traz desafios consideráveis, desde a resistência à instalação do aplicativo autenticador à privacidade do usuário e o seu uso diante das políticas da empresa. O uso mandatório do celular particular pode gerar desconforto e até problemas judiciais, para isso é ideal que a corporação, alinhe uma estratégia com seu time jurídico e RH para a confecção de um termo de uso do dispositivo que possa respaldá-la.
Outro fator de risco a se considerar é de que não é possível determinar o que o usuário tem instalado em seu dispositivo, malwares e afins podem dividir o espaço em que seu usuário recebe ou gera seus códigos de acesso. O furto do dispositivo também é um risco a ser analisado, pois os códigos de acesso podem cair nas mãos de pessoas mal-intencionadas, tendo a empresa nenhum ou pouco controle sobre a situação.
Autenticação biométrica: a autenticação biométrica possui um nível robusto de segurança, no entanto pode ser custosa a aquisição de hardwares com qualidade necessária para uma autenticação eficiente. Há casos mais elaborados, como o de deepfakes (como se fosse um “filtro” com o seu rosto) e outras simulações, como imagens impressas em tamanho real, que podem ser utilizadas com o intuito de autenticar o invasor através da biometria facial que podem burlar este tipo de autenticação.
Autenticação token físico: uma alternativa não tão conhecida, são os tokens físicos de autenticação. Podemos ter como um exemplo as chaves de segurança FIDO2 (Fast IDentity Online 2), que utilizam de uma autenticação robusta que cria um vínculo exclusivo com a plataforma em que for cadastrada e demandam o uso do token físico no momento da autenticação para efetuar o acesso.
Este permanece em posse do usuário, que cadastra um pin próprio na chave que será inserido no momento da autenticação seguido pelo toque do seu dedo, sem necessariamente ser a biometria, dificultando ainda mais um ataque virtual, e garantindo uma autenticação segura.
Destinado para políticos, pessoas públicas, famosos ou que possuem elevada preocupação com a segurança de seus ativos digitais, exige-se o cadastro de duas chaves de segurança. Estas funcionam como a sua forma exclusiva de autenticação, sendo aconselhado que uma delas seja armazenada em um local seguro enquanto a outra é utilizada em suas autenticações diárias.
No entanto, antes de adotar a decisão por este tipo de autenticação, a organização precisa definir sobre a aquisição de ativos físicos. Apesar de realmente possuírem uma autenticação muito robusta, utilizando-se inclusive do fato de serem físicos e estarem de posse do usuário, este mesmo token pode acabar sendo extraviado, perdido ou até roubado.
Apesar de terem formas de se proteger o uso das chaves de segurança por parte de terceiros, é necessário entender o impacto financeiro de aquisição e reposição. Além disso, apesar de gigantes da tecnologia habilitarem o uso desta tecnologia, nem todas as plataformas são compatíveis com a autenticação FIDO, o que pode ser uma barreira na sua implementação.
Qual é o uso correto do MFA?
É imprescindível que ao cadastrar a sua opção de autenticação multifatorial que o usuário armazene de maneira segura, preferencialmente impresso, os códigos de recuperação. Estes serão a única alternativa que o usuário terá de adentrar na sua plataforma caso por algum motivo este perca o acesso à sua Forma de Autenticação Multifatorial. Por mais básico que pareça, esse passo é muito importante.
É recorrente os casos em que o usuário, ao dar um passo no aumento da sua segurança, adiciona o 2fa em suas redes sociais e em um momento futuro acaba formatando seu celular, ficando do lado de fora de sua própria conta.
Qual é a melhor opção de MFA para a minha empresa?
Todas as opções até aqui têm aspectos positivos e negativos, o importante é entender qual será aquela que melhor se adequará diante da realidade do seu ambiente corporativo. Tecnologia, orçamento e cultura são variáveis que compõem os critérios fundamentais para essa decisão.
É possível iniciar gradualmente, com uma senha forte e uma autenticação de duplo fator via e-mail e, posteriormente, quando todos os aspectos que levantamos ao longo deste texto forem avaliados, migrar para uma solução mais robusta.
É, no entanto, necessário começar. Dar este importante passo para a proteção das credenciais da sua empresa pode ajudar a mitigar ataques que já entendemos serem bastante danosos. A Segurança da Informação passa primeiro por uma transformação cultural, que é complementada pelas ferramentas disponibilizadas pelo mercado. No final, o usuário continua sendo peça central nesta equação.
Para conhecer nossas soluções de Gerenciamento de Senhas para trazer mais segurança para a sua empresa, entre em contato conosco (54) 3027-0708.
