• Senhas: Questões do Mundo Real, Orientações e Alternativas

    Per Thorsheim, consultor de segurança de informação independente natural da Noruega, é o fundador e principal organizador do PasswordsCon, a primeira e única conferência internacional sobre senhas. Em uma entrevista que ele concedeu à equipe do Help Net Security, Thorsheim fala sobre as complexidades envolvidas em manter senhas fortes, oferece conselhos práticos para as organizações e explora alternativas sobre essa questão.


    Cracking, Senhas, Golpes e Injeções SQL

    Nesse contexto, ele fala sobre as práticas de cracking, que nos mantem em alerta sobre a importância de senhas, mas os cybercriminosos continuam usando os mesmos truques para aproveitar a fraqueza dos sistemas e softwares, roubando informações até mesmo da maior das empresas. Mas, por quê isso ainda acontece? Antes de tudo, é importante dizer que as violações de banco de dados de usuário/quebra de senhas grandes que temos visto ao longo dos últimos anos, na verdade, aconteceram por causa do uso de senhas ruins. O comprometimento inicial, aconteceu por causa das injeções SQL ou devido a uma ampla gama de outras vulnerabilidades de software.




    Comprometimento de Bancos de Dados e Ataques Direcionados

    Após o ataque inicial, bancos de dados de usuário foram copiados pelos atacantes, e em muito poucos casos, esses dados acabaram expostos para exibição pública em vários serviços on-line. Embora tenhamos observado ataques direcionados que acontecem no rescaldo dessas grandes violações com base nas credenciais que vazaram, a opinião pessoal do pesquisador, é que esses ataques têm sido uma verdadeira raridade e com limites de tamanho, dado o número total de credenciais vazadas que já puderam ser vistas.


    Vulnerabilidades, Detecções, Correções e Postura Organizacional Perante ao Problema

    Então, por que esses ataques ainda acontecem? A explicação mais plausível para isso é a seguinte: há poucos relatórios de análise de risco que justificam o custo de substituição de senhas, com soluções presumivelmente mais seguras. Às vezes, nos esquecemos de que sempre haverá falhas. Ameaças, fraquezas, falhas, erros e vulnerabilidades ou seja lá como você irá nomeá-los, sempre estarão lá. Uma correção é feita, e para cada uma destas correções, aparecem mais duas, três ou mais vulnerabilidades. Em uma situação assim, o que as organizações deveriam fazer?

    Análise de risco. Há uma necessidade muito grande de aceitar uma certa expectativa de perda anual, e colocar isso em nossos cálculos para manter os negócios em um patamar positivo e sustentável para o futuro. Do contrário, muitas vezes teremos que enfrentar a realidade de que, os esforços de redução de risco, simplesmente, não são feitos através dos cálculos de custo-benefício para qualquer organização.


    Suporte aos Processos de Autenticação Biométrica

    Torsheim disse na entrevista, que a alguns anos participou de um painel de discussão sobre a introdução de autenticação biométrica para ATMs, e talvez até os terminais de pagamento. A partir de uma visão monetária isolada, as perdas atuais para os bancos de um país europeu devido à fraude envolvendo ATMs foi aumentando a cada ano. Mas, considerando apenas o custo de substituí-los por novos terminais que incluiriam opções de autenticação biométrica relacionadas às atuais e estimadas perdas, seriam a opção mais econômica em um futuro próximo. E isso não inclui a totalidade dos custos de mudança de toda a infra-estrutura de back-end para oferecer suporte à autenticação biométrica.

    Por outro lado, as autoridades financeiras e instituições financeiras nos países europeus não devem apenas olhar para as perdas monetárias isoladas devido à fraude envolvendo ATMs. Eles também incluíram a possibilidade de riscos e custos dos clientes, com a perda da confiança em caixas eletrônicos. Com isso em mente, o risco de perder clientes e a confiança em qualquer serviço que a instituição possa oferecer, de acordo com as estimativas atuais, a autenticação biométrica poderia muito bem começar a aparecer em caixas eletrônicos nos próximos 5-10 anos.

    Além disso, as empresas precisam fazer a sua análise de risco de forma adequada, e em algum ponto, uma perda de confiança do público em produtos e serviços prestados deve tornar-se parte da "equação". De maneira bastante lógica, isso não é algo que pode ser feito de uma hora para outra.


    Busca de Soluções Rápidas para Garantir a Segurança de Informações

    Dito isto, o executivo encoraja, plenamente, as empresas a procurar soluções rápidas que vão aumentar a segurança e a usabilidade sobre as senhas. Talvez uma das primeiras recomendações deve ser para realmente quebrar todas as senhas de funcionários e clientes, para entender melhor os riscos atuais de ataques de senha on-line e off-line. Thorsheim viu a forma, como muitas organizações são omissas à sua exposição de login on-line e como suas senhas estão sujeitas a práticas de cracking, ou seja, podem ser facilmente quebradas.


    Senhas Fortes, Autenticação Two-factors, Tecnologia e Fraquezas Humanas

    Para Thorsheim, foi perguntado se ele concorda que que uma senha forte em combinação com o processo de autenticação de dois fatores e um gerenciador de senhas, formam uma combinação vencedora. Ele disse que sim, mas infelizmente, essa é uma solução que na maioria dos casos exige pelo menos algum conhecimento técnico, bem como o aumento de custos para o prestador do serviço e para o usuário. Além do mais, é preciso não esquecer que isso também aumenta a complexidade e o risco de erros de projeto, falhas e vulnerabilidades que podem ser exploradas.

    O pesquisador realmente não acredita que a tecnologia seja o substituto perfeito para as fraquezas humanas na maioria dos casos; ele continua a recomendar que a maior parte de suas senhas seja escrita em um pedaço de papel e que você mantenha em casa, em um lugar ao qual só você tenha acesso. Definitivamente, assim será difícil de obter acesso remoto, em comparação com qualquer gerenciador de senhas eletrônico que esteja disponível lá fora.

    Através do meu próprio trabalho e com a PasswordsCon, especialmente, temos visto muitos grandes esforços para simplificar, melhorar e talvez se livrar de todas aquelas senhas que muitas vezes. só nos atrapalham. Ainda assim, a maioria de nós tem mais senhas do que nunca, e esse número continua crescendo a cada ano, concluiu Thorsheim.


    Saiba Mais:

    [1] Net Security http://www.net-security.org/article.php?id=2000&p=2

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L