Quando o assunto é a cibersegurança nas empresas, há uma etapa básica e extremamente importante que muitas vezes é negligenciada pelas lideranças (e pelo quadro de funcionários): a gestão de senhas.
Quase tudo sobre esses códigos de login é inconveniente – desde a sua criação até a memorização e o próprio uso no dia a dia. É preciso lembrar, ainda, de outro fator-chave em se tratando das senhas: seu nível de segurança.
De acordo com uma pesquisa da LastPass, 92% dos usuários sabem que a reutilização de senhas é uma ação arriscada, mas 65% continuam apostando na prática. Quer se surpreender com outro dado ainda mais grave? 45% dos participantes desse estudo afirmaram que não alteraram suas senhas depois de passar por um vazamento de dados.
Além disso, as questões de segurança envolvendo senhas estão se tornando cada vez mais problemáticas. Um relatório da ForgeRock identificou que os ataques relativos a senhas aumentaram 450% de 2019 a 2020.
Mas afinal de contas, como os times de segurança das empresas podem fazer com que os colaboradores sigam melhores práticas de senhas e simplificar a experiência do usuário (UX) – sem deixar a melhoria da segurança de lado?
Apesar de toda a fama da chamada autenticação sem senha (passwordless authentication) e sua promessa de melhorar a experiência do usuário e impulsionar a segurança, as senhas permanecem sendo um componente integral da identidade e do gerenciamento de acesso.
Em outras palavras, a manutenção e a higienização das senhas ainda importam – e muito. Quer sua empresa esteja atuando para reduzir o número de passwords ou ainda lidando com centenas de combinações na gestão de senhas, há uma série de dicas valiosas para maximizar a segurança. Confira!
5 dicas-chave de gestão de senhas
1. Considere implementar “frases de senhas”
Por muitos anos, acreditou-se que senhas longas, complexas e difíceis de lembrar – como N#JlwB%”+30~Qjok;4=8)F12$R! – eram as melhores.
No entanto, a verdade é que poucas palavras unidas em uma frase de senha – que faça sentido para o usuário – podem ser ainda mais fortes. Essas frases também são mais fáceis de lembrar, reduzindo as chances dos usuários precisarem anotá-las (e deixá-las em risco!).
2. Exija senhas únicas para cada login
Independentemente do uso de senhas comuns ou frases de senha, uma parcela crítica do processo de higienização é utilizar uma expressão única para cada login. É isso mesmo – uma senha exclusiva para cada login.
De fato, é tentador reutilizar uma senha favorita, mas isso é sinônimo de uma imensa exposição. Se um hacker comprometer a senha em uma loja virtual, por exemplo, então ele terá posse das credenciais para todos os sites e contas nas quais ela foi utilizada.
Fique atento: usar a mesma senha em mais de uma conta é especialmente problemático quando os funcionários do negócio reutilizam suas senhas tanto em contas corporativas, quanto pessoais.
3. Adote gerenciadores de senhas
Por que não usar o poder da tecnologia a favor da segurança nesse caso? Ter uma senha exclusiva para cada conta significa muitas senhas. A não ser que o usuário tenha uma memória perfeita, as chances de precisar de um registro para compilar essas senhas e frases de senha complexas são altas.
No entanto, nem pense em anotá-las em um post-it, na agenda ou em um arquivo do computador. Aqui, o que pode ajudar é um bom gerenciador de senhas!
Vale lembrar que esses gerenciadores são aplicações para armazenar todas as senhas únicas e gerar novas senhas quando necessário. A maior parte dessas ferramentas são capazes de fazer a sincronização em múltiplos dispositivos, permitindo que o usuário tenha acesso às senhas sempre que precisar.
Outro recurso valioso é a verificação de websites. Se você criar em um link malicioso de phishing ao invés do link legítimo do seu banco, por exemplo, o gerenciador de senhas não fará o auto-preenchimento da senha.
4. Revise a frequência dos ciclos de mudança das senhas
Quando o assunto é a gestão de senhas, a frequência indicada para mudança das mesmas é um ponto que gera muitas dúvidas.
Pois bem: por anos, a recomendação era alterar as senhas a cada 90 dias. De fato, em alguns casos, essa ainda é uma boa regra. Se você estiver utilizando um login único associado à autenticação multifator (MFA) na empresa, 90 dias pode ser o prazo ideal!
Entretanto, companhias com autenticação sem senha (passwordless) podem decidir que mudanças de senhas anuais são suficientes. Em casos de uso altamente críticos ou sensíveis, 30 ou mesmo 15 dias para mudar as senhas podem ser um bom intervalo de tempo.
O mais importante, aqui, é aplicar práticas de governança e observar as necessidades do negócio para determinar o melhor ciclo de mudanças de senha para a organização.
5. Utilize autenticação multifator (MFA) em todos os lugares possíveis
A última – e não menos importante! – dica para a gestão de senhas é habilitar e fortalecer o uso de autenticação multifator (MFA). Se uma organização exige MFA e um hacker consegue obter as credenciais de um funcionário, esse cibercriminoso não terá acesso imediato à conta, implementando uma barreira adicional de segurança importante.
Vale lembrar que a MFA moderna é super simples: ela inclui receber um código de acesso no smartphone ou o autopreenchimento de uma OTP (“senha descartável”) no gerenciador de senhas.
A maioria das companhias, tais como bancos, sistemas de saúde e provedores de serviço – incluindo a Microsoft e a Google – oferece a MFA gratuitamente para os colaboradores.
Veja também 👉 Autenticação Multifator (MFA): entenda o recurso de cibersegurança
E a abordagem “sem senha” (passwordless), como fica nessa história?
Com o destaque do chamado método autenticação passwordless (sem senha), que promete revolucionar a proteção e a gestão de senhas, você pode estar se perguntando: “mas já não podemos aposentar as senhas para sempre?”. Pois bem: não ainda.
Na verdade, a expressão “sem senha” não significa o que você imagina. Ao utilizar fatores de autenticação alternativos – por exemplo, reconhecimento facial, uso de digitais e geolocalização -, as empresas que adotam uma abordagem “sem senha” conseguem reduzir o número de senhas que o usuário utiliza em um dia a zero.
Usuários de dispositivos móveis também se beneficiam do método passwordless: basta pressionar um dedo na tela para destravar o dispositivo.
Em todos esses casos, no entanto, ainda existe uma senha, frase de senha ou código disponíveis como reserva de segurança se a biometria ou outro método de autenticação sem senha falhar.
Dessa forma, qualquer cibercriminoso ainda consegue acessar o dispositivo ou aplicativo de banco, sem a exigência de biometria. Portanto, mesmo com a chamada autenticação sem senha ou passwordless, investir em uma boa gestão de senhas é fundamental.
E aí, gostou do conteúdo? Você já aplica alguma das etapas acima para promover uma boa gestão de senhas na sua empresa? Deixe seu comentário para nos contar e aproveite para conferir 9 sinais de que seu negócio corre sérios riscos de cibersegurança!
FONTE: TechTarget/Search Security
Créditos da imagem: stories
