A Morte das Senhas

por

No halloween, o fantasma do vazamento das senhas vem assombrar novamente. Mas já dá para vislumbrar um futuro sem elas.

Por André Mazeron (@mazeron)

Hoje é difícil passar um mês sem ver alguma mega-violação de dados que exponha milhares ou milhões de senhas. Só nas últimas duas semanas tivemos a Talk Talk (operadora de telefonia do Reino Unido) com dados de 4 milhões de usuários e a 000webhost (serviço de hospedagem de sites) com 15 milhões de usuários. Junte isto ao hábito dos usuários de reaproveitar a mesma senha em vários sites e o estrago é maior ainda. Depender somente de senha na autenticação de usuários é um risco permanente. Cerca de 95% de todos os incidentes de segurança envolvendo aplicações web passam por algum momento pelo roubo de credenciais.

Autenticação de dois fatores ajuda em muito na segurança do controle de acesso mas pode ser incômoda para o usuário e não é imune a ameaças. Senhas de uso único enviadas por SMS para acesso a banco por exemplo podem ser interceptadas por malware rodando no celular da vítima. Isto quando o SMS não se perde na sua operadora!

Soluções de biometria podem eliminar as senhas, mas dependendo da sua implementação, podem gerar problemas ainda maiores. A invasão do órgão de gerenciamento de pessoal do governo dos EUA levou ao vazamento de 5,6 milhões de impressões digitais de funcionários governamentais, vários deles com acesso a dados sigilosos. E embora seja fácil trocar uma senha, como trocar sua impressão digital se ela vazar?

Mas há luz no fim do túnel. A FIDO Alliance, entidade que congrega empresas como Microsoft, Google, Paypal, Visa e outras, desenvolveu padrões de autenticação de 2 fatores e de biometria que resolvem vários dos problemas encontrados nas implementações atuais. Aos poucos aplicações e sites vem adotando o suporte a estes novos mecanismos.

Autenticador compatível com o padrão U2F da FIDO

Autenticador compatível com o padrão U2F da FIDO, que gera uma OTP com o toque de um botão

Em relação às senhas que você já possui hoje, o que fazer? Algumas boas práticas podem reduzir significativamente o risco na sua organização, tais como:

  • Armazenamento seguro, como oferecido pelo Secret Server
  • Evitar logar com credenciais de admin de domínio em estações
  • 2FA para as credenciais de admin
  • Auditoria!
  • Sem reutilização
  • Quanto mais longa, melhor

Há muito mais o que falar a respeito. Dias 24 e 25 de novembro tem o ISC2 Security Congress LatAm 2015 em São Paulo. Se você estiver por lá, apareça na minha palestra entitulada “Passwords are dead. Long live the passwords” onde vamos debater o tema em maior profundidade.

Categoria : Eventos, Senhas
Tags : , , , , , , ,