Nós usamos cookies e outras tecnologias semelhantes para melhorar a sua experiência em nossos serviços, personalizar publicidade e recomendar conteúdo de seu interesse. Ao utilizar nossos serviços, você está ciente dessa funcionalidade. Conheça nosso Portal da Privacidade e consulte nossa Política de Privacidade. Clique aqui para ver

Opinião | Um teste do Departamento de Assuntos Internos provou que as senhas são ineficazes

Mark Lee Greenblatt é inspetor geral do Departamento do Interior e presidente do Conselho de Inspetores Gerais de Integridade e Desempenho.

Você já teve “raiva de senha”? Você sabe, gritar com a tela do computador, xingar ou fazer birra porque não consegue se lembrar de uma senha?

Se sua resposta for sim, você não está sozinho. Mesmo os profissionais de segurança de computadores sofrem com isso. Em uma pesquisa de 2015 em uma conferência de segurança de TI, um terço dos entrevistados admitiu se sentir assim.

É compreensível. Ser forçado a criar e lembrar uma sequência aleatória de letras, números e caracteres especiais para dezenas de contas pessoais e profissionais pode ser enlouquecedor. Isso inevitavelmente leva a práticas de senha incorretas: reutilizar a mesma senha repetidamente para contas diferentes, anotar senhas ou pior, usar palavras fáceis de lembrar – como “senha”. E ao implementar essas más práticas, podemos abrir a porta para que os cibercriminosos obtenham acesso aos nossos dados financeiros ou outras informações pessoais.

Uma inspeção recente realizada em meu escritório no Departamento do Interior ilustra os riscos. Nossa equipe testou se os controles de senha do departamento eram eficazes para impedir que um agente mal-intencionado obtivesse acesso não autorizado a seus sistemas. Para conseguir isso, usamos uma técnica comum conhecida mundialmente, gastando menos de US$ 15.000 em um sistema projetado para quebrar senhas usando software gratuito disponível publicamente e uma lista de palavras personalizada.

E adivinha? Nós quebramos com sucesso mais de 18.000 – ou 21% – das senhas do departamento, quase 14.000 apenas nos primeiros 90 minutos de teste. As senhas hackeadas incluíam centenas de contas pertencentes a altos funcionários do departamento e centenas pertencentes a funcionários com altos privilégios, como administradores de sistema. Algumas de nossas descobertas foram surpreendentes, pois estávamos testando sistemas governamentais contendo informações potencialmente valiosas. Por exemplo, “Password-1234” foi a senha mais usada. Na verdade, cinco das 10 principais senhas incluíam alguma variação da palavra “senha” junto com “1234”.

Mesmo assim, 99,99% das contas hackeadas atenderam aos requisitos de complexidade de senha do departamento, que incluíam a sequência de letras, números e caracteres especiais com os quais todo usuário de computador está familiarizado. Em outras palavras, 99,99% das senhas que nossa equipe hackeou foram consideradas fortes o suficiente para impedir um hacker.

Por que você deveria se preocupar com esse problema com senhas no Home Department? Minha suspeita é que os funcionários do Interior não são diferentes da maioria dos americanos em como usam senhas, então, se esse problema existe em meu departamento, pode existir em todo o governo federal e em escritórios comerciais e residências particulares em todo o país.

Mas aqui está a boa notícia: existem soluções.

Fizemos duas recomendações ao departamento, mas elas se aplicam igualmente a qualquer pessoa que use um computador em um trabalho não governamental ou em casa. Primeiro, recomendamos que o departamento adote a autenticação multifator em todos os sistemas de TI. MFA é o padrão ouro para segurança cibernética. Refere-se ao uso de pelo menos dois fatores para acessar sistemas de computador. Os fatores geralmente se enquadram em três categorias: algo que você tem (token digital), algo que você sabe (senha) e algo que você é (impressão digital ou varredura de retina). A MFA requer pelo menos dois desses fatores, como uma impressão digital e uma senha.

Um MFA já é exigido em todos os sistemas federais – e tem sido há décadas. Não é uma nova tecnologia; várias formas dele têm sido usadas na indústria privada por 35 anos. Mas nossa inspeção mostrou que o departamento não impôs o MFA em um número desconhecido de sistemas. Na verdade, descobrimos que quase 90 por cento dos sistemas de TI de alto valor da Interior permitiam que o MFA fosse contornado ou permitia a autenticação apenas com senhas. Portanto, recomendamos que o departamento priorize a implementação de MFA e exija métodos de MFA que não possam ser ignorados em todos os seus sistemas.

Em segundo lugar, onde o MFA não pode ser implementado atualmente, recomendamos que o departamento mude de senhas para frases secretas.

Eis o porquê: à medida que dependemos cada vez mais de senhas em nossas vidas diárias, os malfeitores se tornaram cada vez melhores em derrotá-los. Isso criou um “ciclo de feedback negativo”: como as políticas de senha exigem mais complexidade, lembrar as senhas se torna mais difícil, fazendo com que os usuários recorram a padrões simples e fáceis de lembrar. De acordo com Instituto Nacional de Padrões e Tecnologia — a principal agência do governo dos EUA para medição, pesquisa e desenvolvimento de padrões de segurança cibernética — esses padrões comuns se tornaram alvos fáceis para hackers, levando a requisitos de maior complexidade de senha, em um ciclo interminável.

Para piorar a situação, as senhas não são apenas difíceis de lembrar, mas também têm o benefício adicional de serem ineficazes: mesmo senhas complexas são notavelmente fáceis de serem adivinhadas pelos computadores. Um computador pode hackear uma senha como “5pr1ng*ish3re” de forma relativamente rápida. A melhor escolha é uma senha mais fácil de lembrar que combina várias palavras não relacionadas totalizando mais de 16 letras, como “DinosaurLetterTrailChance”. Embora um computador possa decifrar uma senha complexa em dias, se não horas, pode levar o mesmo computador séculos ou mesmo milênios quebrar senha É contra-intuitivo, mas os fatos são claros: as senhas são difíceis para uma pessoa lembrar e fáceis para um computador quebrar, enquanto o oposto é verdadeiro para senhas.

Estou ansioso pelo dia em que alcançaremos com sucesso a adoção generalizada dessas duas práticas recomendadas. Então todos nós podemos estar mais seguros – e evitar P@s$w0rdR@ge.