Porque devem as PMEs preocupar-se com as passwords?
De acordo com o Relatório de Investigação de Violação de Dados de 2017 da Verizon, até 81% das violações de dados são causadas por passwords fracas ou roubadas. Dado que mais de 5 mil milhões de passwords foram divulgadas online, a proteção básica está a tornar-se ineficaz.
E se pensa que a sua organização não tem nada que interesse aos cibercriminosos, está enganado. As PMEs são o ponto ideal para os cibercriminosos, uma vez que têm mais dados e ativos valiosos do que os consumidores, mas são mais vulneráveis do que as empresas de grande dimensão, que têm orçamentos de segurança maiores.
Ler mais
Este problema é amplificado pelo número crescente de empresas que incorporam dispositivos "inteligentes" nas suas infraestruturas informáticas. Embora a Internet das Coisas (IoT) os ajude a tornar as operações comerciais mais rápidas e simples, estes dispositivos são frequentemente vulneráveis e funcionam com nomes de utilizador e passwords de administração por defeito disponíveis publicamente, representando um risco que pode levar a consequências prejudiciais.
Além disso, o novo Regulamento Geral da UE sobre Proteção de Dados (GDPR)estabelece que as organizações de todas as dimensões devem garantir a segurança dos seus dados através da implementação de "medidas técnicas e organizacionais adequadas". Assim, se ocorrer uma violação, e se apenas existirem passwords simples e estáticas, pode esperar uma multa elevada.
A nível mundial, as leis e regulamentos sobre privacidade estão a ser reforçados. Os requisitos de comunicação de violação de dados recentemente aprovados na Lei de Privacidade Australiana (NDB), e os regulamentos de privacidade de vários estados americanos com requisitos rigorosos de comunicação de violação de dados, estão a elevar as normas para qualquer pessoa que detenha dados sobre residentes dessas jurisdições.
Como é que os atacantes roubam passwords?
1. As técnicas mais simples incluem o shoulder surfing com atacantes que observam potenciais vítimas quando digitam as suas passwords.
2. Os atacantes também manipulam a "fraqueza humana" das suas vítimas através da engenharia social. Um formulário online profissional ou um e-mail (ataque de phishing) aparentemente de um remetente de confiança pode persuadir até utilizadores bem treinados a divulgar as suas passwords.
3. Os cibercriminosos com base na rede da organização podem utilizar malware para procurar documentos que contenham passwords e enviar esta informação para o seu servidor C&C. Os Black Hats podem também extrair ficheiros de passwords encriptadas e decifrá-las off-line.
4. Técnicas de ataque mais exigentes incluem a interceção do tráfego de rede de dispositivos de colaboradores que são utilizados remotamente ou num local público.
5. Uma das formas mais populares de quebrar a proteção por passwords é recorrer à força bruta. Os scripts automatizados tentam milhões de combinações de passwords durante um curto período de tempo até ser encontrada a password correta. É por isso que se tornou necessário que as passwords se tornem mais longas ao longo dos anos. Quanto mais complexa for a password, mais tempo os cibercriminosos precisam para a adivinhar.
Como construir uma boa política de passwords?
Para assegurar que a sua organização tem uma política eficaz de passwords é aconselhável seguir procedimentos específicos:
- Os colaboradores precisam de receber formação sobre como criar uma password forte
- Os departamentos de TI devem implementar regras ao estabelecer e aplicar uma política de passwords na empresa.
- Recomenda-se a todas as organizações que implementem medidas de proteção adicionais para aumentar a segurança das passwords em toda a organização.
O que mais pode a sua organização fazer mais para proteger as passwords?
Para melhor proteger as passwords dos colaboradores da sua organização, recomenda-se o uso de autenticação de dois fatores (2FA). Assim, verifica-se a identidade do titular da conta com uma password única - algo que o utilizador tem - para além do nome de utilizador e password - algo que o utilizador conhece - protegendo assim o acesso aos sistemas da empresa, mesmo nos casos em que as credenciais são fugas ou roubadas.
Como os SMS e os dispositivos móveis estão frequentemente sujeitos a ataques de malware, as soluções modernas de 2FA abstêm-se de utilizar a verificação por SMS e optam, em vez disso, por notificações push, uma vez que são mais seguras, bem como mais fáceis de utilizar. Para aumentar ainda mais a segurança do processo de autenticação, as organizações podem acrescentar biometria implementando a autenticação multi-factor (MFA).
O poderoso sistema de 2FA da ESET protege as passwords
ESET Secure
Authentication
A autenticação com base num único dispositivo móvel fornece ajuda na segurança dos seus dados de uma forma simplificada, para além de satisfazer os requisitos exigidos. Emprega notificações push de fácil utilização tanto para Android como para iOS, tem uma gestão fácil, e uma implementação rápida em 10 minutos. Experimente agora e veja como funciona.
SAIBA MAIS
