Combos com nome do usuário e senha são principais alvos de ataques cibernéticos

Com tantas contas virtuais – como Netflix, Uber, Internet banking, redes sociais e endereços de e-mail -, o usuário moderno de internet é forçado a memorizar, em média, senhas para até 92 contas. Entretanto, quase todas as violações de dados começam com senhas comprometidas.

Seja por meio de esquemas sofisticados de phishing, ataques de força bruta ou engenharia social, a senha é a primeira linha de defesa contra ataques cibernéticos. As informações são resultados das mais de 32 bilhões de conexões globais realizadas pela Cyxtera, empresa especializada na detecção e prevenção de fraudes eletrônicas em dispositivos, canais e serviços na nuvem.

“Quando as senhas são quebradas, os sistemas das organizações ficam vulneráveis a todo tipo de programa e atividade maliciosa”, destaca Ricardo Villadiego, vice-presidente de Segurança da empresa. “Deste modo, a estratégia de usar apenas um combo de nome de usuário e senha na proteção de contas pessoais e bancos de dados empresariais está longe do ideal”, afirma.

Fraqueza comprovada

Para o executivo, embora as senhas já tenham sido consideradas um método de proteção confiável, sua fraqueza já foi comprovada. “Mesmo em seu auge, essa combinação era uma estratégia imperfeita de segurança, não apenas para os bancos de dados das organizações, como também para o usuário final”, aponta.

Para Villadiego, empresas grandes e pequenas já deveriam estar empregando autenticação de dois fatores (2FA) para a segurança de seus usuários finais e também para proteger sistemas internos. Entretanto, mesmo em organizações maiores, esses mecanismos ainda não são amplamente usados. “Um exemplo desse caso aconteceu com a Uber. Em uma violação de dados envolvendo privacidade do usuário, as bases de dados da empresa foram invadidas por hackers usando apenas a senha de um funcionário. Após entrarem no sistema, eles baixaram dados não criptografados de mais de 57 milhões de usuários e motoristas”, relembra o executivo.

“Mesmo com todos os seus defeitos, as senhas são tão universais como computadores pessoais e telefones celulares. Ninguém realmente gosta delas, mas ninguém quer aposentá-las de vez”, destaca Villadiego. Segundo o executivo, o que separa a 2FA convencional da autenticação sem senha, entretanto, é que, em vez de uma plataforma enviar um código de segurança para inserção pelo usuário final e verificar a sua identidade, o processo de confirmação das duas soluções dispensa o fornecimento de uma senha.

Para o especialista, é difícil dizer se as senhas serão eliminadas de vez, mas há uma forte tendência para afastar-se da estratégia de segurança mais antiga da internet. “Podemos imaginar que, no futuro, cada vez menos plataformas virtuais exigirão uma senha de acesso”, aponta. “Uma coisa é certa: com ou sem senha, uma estratégia robusta de segurança deve envolver um mecanismo de autenticação de vários fatores que seja compatível, intuitivo e ágil em todos os canais e dispositivos”, finaliza.