Skip to content
senhas

Não Deixe que Senhas Fracas Afetem Sua Empresa

O Weak Password Report de 2023 destacou mais uma vez como a violação de uma senha ou credencial de usuário é um dos elos mais fracos da segurança empresarial. Quando combinadas com patches inconsistentes, configurações incorretas e falta de verificação de vulnerabilidades, as práticas de senhas ruins são um caminho fácil para hackers mal-intencionados.

No relatório, os pesquisadores analisaram mais de 800 milhões de senhas violadas em todo o mundo para encontrar as principais tendências, denominadores comuns e lições aprendidas.

Essas tendências incluem:

  • 88% das senhas usadas em ataques bem-sucedidos consistiam em 12 caracteres ou menos.
  • As senhas mais comumente violadas consistiam em 8 caracteres.
  • As senhas contendo apenas letras minúsculas foram a combinação de caracteres mais comum encontrada, constituindo 18,82% das senhas usadas em ataques.
  • Os termos básicos mais comuns usados nas senhas foram: ‘password’, ‘admin’, ‘welcome’ e ‘p@ssw0rd’.
  • 83% das senhas comprometidas não satisfaziam os requisitos de comprimento e complexidade dos padrões de conformidade ou segurança cibernética, como NIST, PCI, ICO para GDPR, HITRUST para HIPAA e Cyber Essentials para NCSC.

Os ataques de força bruta continuam sendo eficazes

Um ataque de força bruta é quando um invasor testa diferentes combinações de caracteres até encontrar as informações de login corretas. Esses ataques começaram com adivinhações por parte do hacker. Embora ainda sejam feitos dessa forma, usando datas de nascimento e nomes de filhos como pistas, a abordagem moderna é gerar por computador um grande número de possíveis senhas até encontrar a correta. Outra tática comum é pegar as senhas disponíveis na dark web e testá-las em outros sites usados por essa pessoa para ver se ela consegue obter acesso a outras contas. Isso tem um grau razoável de sucesso devido ao fato de as pessoas reutilizarem as mesmas senhas ou combinações de palavras/números.

Infelizmente, mesmo em organizações de TI grandes e sofisticadas, a falta de higiene das senhas é comum. A violação da Nvidia em 2022, por exemplo, revelou milhares de senhas de funcionários. Entre elas, havia senhas como “Nvidia”, “qwerty” e “nvidia3d”. A realidade é que a maioria das pessoas vê as senhas como uma barreira para realizar seu trabalho ou obter as informações ou os sistemas de que precisa. Eles não escolherão senhas tecnicamente complexas porque isso torna suas vidas mais difíceis.

Leia também:  Patch Tuesday de Novembro

Exemplos de Senha Fraca que Muitos Acham que São Fortes

  • MyDog’sName123
  • Birthdate!9876
  • Password123!
  • Qwerty123456
  • ILoveYouForever
  • MyNameIsJohn
  • LetMeIn2023
  • Sunshine!123
  • 1Qazxsw2!
  • Abcdefgh12345

Esses exemplos de senhas fracas podem incorporar uma combinação de letras, números e caracteres especiais, bem como informações pessoais. No entanto, eles ainda são fracos, pois podem ser facilmente adivinhados ou direcionados por meio de técnicas comuns de quebra de senhas. É fundamental criar senhas exclusivas e complexas que não estejam relacionadas a informações pessoais ou padrões facilmente identificáveis.

Práticas Recomendadas para Senhas

É por isso que as organizações precisam adotar práticas recomendadas de segurança que possam reforçar a segurança de senhas fortes, tais como:

  • Emitir uma política clara sobre a higiene das senhas, incluindo o número mínimo de caracteres e o uso de letras maiúsculas, minúsculas, números e símbolos.
  • Determinar um período aceitável para alterações de senhas e aplicá-lo. A maioria das organizações escolhe 90 dias, mas os padrões de segurança são mais rigorosos. A maioria das organizações escolhe 90 dias, mas os padrões variam sobre esse assunto, portanto, verifique os requisitos de conformidade mais relevantes para o seu setor.
  • Use o Treinamento de conscientização sobre segurança para instruir os usuários regularmente sobre as práticas recomendadas de senha.

A Varredura de Vulnerabilidades Oferece uma Camada Extra de Proteção

Como acontece na maioria das áreas de segurança cibernética, um sistema ou metodologia nunca é suficiente. É necessária uma abordagem em várias camadas. As políticas, tecnologias e práticas recomendadas de proteção por senha devem ser apoiadas pela varredura de vulnerabilidades para garantir que todos os dispositivos e sistemas da rede sejam examinados regularmente em busca de possíveis vulnerabilidades nos terminais que poderiam ser facilmente exploradas com credenciais comprometidas. O Syxsense pode ajudar a detectar os principais sinais de um possível ataque, alertando as equipes de TI e de operações de segurança sobre eventos ou riscos, como:

  • Várias tentativas de login com falha
  • Portas abertas ou mal configuradas
  • Assinaturas de antivírus desatualizadas
  • Firewalls desativados
  • Sistemas não corrigidos
  • Violações de conformidade
Leia também:  Aprimorando as suas habilidades de segurança cibernética

As varreduras de vulnerabilidade da Syxsense detectam todos os pontos fracos em seus terminais que podem colocar sua empresa e seus dados em risco de serem roubados ou alterados. Reduzimos o risco colocando a TI de volta no controle de cada dispositivo usado na sua organização. Ao destacar os possíveis problemas, sua organização pode reduzir a superfície de ataque e minimizar as chances de uma violação.

O scanner de vulnerabilidades incorporado ao Syxsense Secure e ao Syxsense Enterprise é fácil de usar e tem uma interface amigável. Seus recursos de automação permitem que a equipe de TI se concentre em tarefas prioritárias enquanto realiza varreduras e protege sistemas e dados.

Comente o que achou do artigo