Atualmente, com o trabalho híbrido ou mesmo remoto já se consolidando como uma realidade no mundo pós-pandemia, a utilização das tradicionais senhas para acessar dispositivos corporativos – e até pessoais – representa um elo fraco para a ação de ataques.
Isso porque, por mais que acreditemos que utilizemos senhas fortes, o que na maioria das vezes não acontece, já que grande parcela ainda usa palavras simples como seu próprio nome ou de familiares, ou até sequencias numéricas, para proteção de seus dispositivos e contas, elas são passíveis de serem adivinhadas. No mundo atual, os criminosos virtuais não invadem sistemas, mas sim logam neles.
Para termos uma ideia da gravidade desse problema, os dados do último Relatório de Defesa Digital da Microsoft, divulgado em novembro desse ano, apontam que os ataques de "spray de senha" cresceram quase 200% em 2021. Isso acontece porque os criminosos digitais utilizam as credenciais mais comuns dos usuários para invadir contas de empresas ou pessoais utilizando como isca pessoas que utilizam senhas idênticas e/ou fáceis de serem rastreadas.
Quando quero dimensionar a velocidade com que ciberataques acontecem, costumo fazer a analogia com o bater de asas de um beija-flor, que é cerca de 80 vezes por segundo, uma rapidez que o permite "parar no ar". Para se ter uma ideia da agilidade do pássaro, o coração humano bate de 60 a 80 vezes por minuto!
Porém, extremamente mais rápido do que o exemplo que citei, são os ataques originários de senhas que, segundo os dados do mesmo estudo, são 921 por segundo. Ou seja, enquanto escrevo esse parágrafo, imagine o número de ataques que estão correndo exatamente agora. Um risco desnecessário.
Outro ataque comum é o phishing, no qual os cibercriminosos utilizam um e-mail – que normalmente imita as características de um contato válido de uma grande companhia – para roubar as credenciais de acesso do usuário – que costuma utilizar a mesma senha para diversos serviços. Essa é uma das principais portas de entrada para os sistemas de companhias, para roubar dinheiro, informações sensíveis ou fazer compras com os cartões de crédito das vítimas.
E não adianta acharmos que senhas complexas, com letras, números e caracteres especiais são fortes o suficiente. Além de também serem vulneráveis – os criminosos conseguem acessar, mesmo assim – o uso de senhas demanda muito tempo do departamento de TI de uma grande corporação. Afinal, quem nunca esqueceu a senha corporativa ao retornar de um merecido período de descanso?
Agora, imagine em uma empresa multinacional, com milhares de colaboradores? Isso pode gerar cerca de mil chamados por dia de troca de senhas, especialmente após feriados prolongados ou férias. – O que gera uma demanda de tempo das equipes para resolver a situação.
Por isso, quando falamos em um "mundo sem senhas", é fundamental implementar novas formas de autenticação, que podem contribuir para a otimização do trabalho destes profissionais e deixar com que lidem com tarefas mais estratégicas. Atualmente, utilizando qualquer fornecedor, já é possível fazer login em computadores, celulares ou tablets por meio de reconhecimento facial, biometria ou por meio de tokens – permitindo, inclusive, maior acessibilidade.
Ainda assim, caso você ainda utilize senha, é possível melhorar a segurança com o uso de um ou mais fatores de autenticação, como PIN, enviado por push em seu dispositivo. O MFA (Multi-fator de Autenticação) também ajuda a evitar ataques, pois permite que se programe verificações ao longo do dia que dão mais segurança.
Por exemplo, se uma pessoa tem o hábito de trabalhar até determinado horário, o autenticador começa a pedir uma nova verificação se o computador permanece conectado após esse período ou, por exemplo, também quando você trabalha de uma rede diferente do habitual.
Do lado das empresas, é notável o esforço de grandes companhias, como bancos, por exemplo, em conscientizar a população, por meio de campanhas, sobre a importância de criar hábitos mais seguros em relação ao acesso, especialmente pois estarem incluindo um ou mais fatores, passando a exigir a autenticação pelo que a pessoa é (biometria ou reconhecimento facial) ou pelo que ela tem (seu cartão credito ao acessar um caixa eletronico, ou itoken no seu celular ou tablet quando acessando o banco virtual), incrementando o acesso feito somente pelo que a pessoa sabe (senhas e PINs).
As grandes varejistas também já entenderam que a segurança é fundamental para que o consumidor mantenha a confiança nessa marca. Quando há um vazamento envolvendo uma marca, certamente ele perderá a confiança e pode optar por não fazer suas comprar em determinado estabelecimento.
Para endereçar esses temas e apoiar companhias e usuários em suas jornadas para um ambiente on-line mais seguro, empresas de tecnologia oferecem ferramentas para isso. Esse é o caso do Authenticator, da Microsoft, permitindo utilizar o Azure AD, que em sua versão gratuita já fornece o Single Sign-On, em que o usuário utiliza a senha para o primeiro acesso e depois vai abrindo os demais aplicativos, sem que haja a necessidade de digitar novamente a credencial.
Ele também gera códigos de autenticação para as aplicações que você cadastra, com o tempo, você começa a achar estranho quando uma senha é solicitada. Eu, pessoalmente, não uso senhas há quatro anos, me logando com biometria e usando todos esses recursos no meu dia a dia sem nenhum passo adicional além do segundo fator (MFA).
Mas, para realmente termos segurança utilizando dispositivos do trabalho, seja para uma tarefa burocrática ou para lazer, o ideal é eliminar as senhas de uma vez por todas. E hoje isso é plenamente possível, independente do provedor de e-mails que você tenha. Prova disso é o consórcio a FIDO Alliance (Fast IDentity Online Alliance que significa, em inglês, "rápida identificação online"), firmado em 2012 e que tem o apoio de Microsoft e outras empresas de tecnologia, cujo objetivo é fornecer um protocolo único de autenticação para todas as credenciais na internet, garantindo segurança e simplicidade para o usuário.
Com as ferramentas de autenticação do seu provedor, vai ser muito mais fácil e seguro utilizar as redes sociais, fazer compras on-line ou mesmo acessar o seu banco pelo celular com uma única autenticação. Isso porque é possível criar uma chave de acesso, que pode ficar armazenada em um dispositivo físico de segurança ou guardado diretamente no sistema operacional de celulares e tablets.
Praticamente à prova de phishing e disponível para todos os seus dispositivos, essa chave de acesso permite que você entre autenticando com reconhecimento facial, impressão digital ou PIN do dispositivo. Além de uma experiência de usuário consistente e uma segurança aprimorada, este protocolo vai funcionar como uma espécie de chave-mestra e autenticará, automaticamente, todas as suas credenciais na internet.
Neste contexto atual de trabalho moderno e de empresas cada vez mais conectadas, o mundo sem senhas vai melhorar a experiência de todos, facilitando o seu acesso aos mais variados serviços e, mais, do que isso, essa tendência vai favorecer as empresas aumentando o nível de produtividade, acessibilidade e segurança e, consequentemente, da reputação, evitando diversos incidentes com vazamento de dados, perda de clientes e até mesmo de dinheiro.
Mas essa transformação também depende da gente. Comece sua jornada hoje mesmo, se protegendo ao habilitar o segundo fator (MFA) nas suas redes sociais, ativar o acesso por biometria no seu banco, ou até mesmo o seu acesso ao outlook.com completamente sem senhas. Acreditem, o futuro sem senhas já é uma realidade para muitos e pode beneficiar todas as pessoas.
André Toledo é líder de Segurança na Microsoft Brasil
Fonte: Olhar Digital