(11) 5521-2021 [email protected]
Senha: uma aliada da Gestão de Identidades

Senha: uma aliada da Gestão de Identidades

Todos já devem ter ouvido a frase: “Tudo deve mudar para que tudo fique como está”. Foi dita pelo príncipe Falconeri, um personagem do romance o Leopardo.

Mas o que isto tem a ver com as senhas? Segundo as novas recomendações do NIST (https://www.nist.gov/), em especial sobre senhas, temos alguns pontos polêmicos:

  • Caracteres especiais não são mais um requisito;
  • A troca periódica, ou pelo menos em curtos períodos, não é mais um requisito;
  • Adicionalmente, o SMS não é mais recomendado, como canal “out of band”, tanto para troca de senhas quanto como multifator de autenticação.

Como as pessoas, em geral, estão vendo a questão de credenciais?  Vamos dar uma olhada em uma pesquisa recente feita na Inglaterra*:

  • A preocupação mais comum é que o dinheiro seja roubado, sendo que 42% acredita na probabilidade disso acontecer;
  • 89% usam a internet para fazer compras online, com 39% semanalmente;
  • Um em cada três depende de amigos e familiares para obter ajuda sobre segurança cibernética;
  • Os mais jovens são um pouco mais conscientes da privacidade e tendem a ter mais cuidado com o que compartilham on-line;
  • 61% dos usuários de internet verificam mídia social diariamente;
  • 70% sempre usam PINs e senhas para smartphones e tablets;
  • Menos da metade usa uma senha forte e separada para sua conta de e-mail principal.

E aqui no Brasil? A principal descoberta foi que para cerca de 60% dos brasileiros e ingleses o mais comum é escolher como senha uma combinação apenas com números. A senha mais escolhida nos dois países: “123456”, seguida não muito de perto pelas não menos criativas: “123456789” e “password”.

Após os códigos só com números, o padrão que mais aparece são nomes próprios “mary” ou “maria”, dependendo o lado do oceanos que você esteja.

Agora veja as senhas vinculadas aos esportes. Na Inglaterra entre as dez mais estão “liverpol”, “chelsea”, “newcastle” e “tottenham”. Já no Brasil, estão: “Flamengo”, “timão”, “galo”, “gremio”, “colorado”. Ainda no Brasil, tirando os nomes, as palavras mais comuns são: sucesso, Brasil, felicidade, musica, estrela, etc.

Agora sim, depois destes dados, o que podemos dizer sobre as novas recomendações do NIST? Que deve- se levar em conta o contexto das mudanças, já que em geral se trata de um ambiente onde já existem controles compensatórios à boa e velha senha, como por exemplo: o duplo fator e não menos importante: a diferenciação entre os usuários.

Mas o que fazer para proteger a população, levando em conta os dois pontos polêmicos, a senha, que na verdade não é nem tão boa, e nem tão velha, e o conceito que somos todos iguais?

É necessário existir diferenças entre os usuários, e entre as diferenças, está a relação com credenciais que permitem acesso às informações valiosas ou críticas.

Algumas pessoas possuem credencias que, caso comprometidas, podem causar prejuízos graves, não apenas a própria pessoa, mas à comunidade. Outras nem tanto. Não é preciso muita imaginação para pensar em exemplos, do extremo de ataque Cyber terrorista, que esperamos sejam raras, até a fraudes mais simples, e mais comuns, como de um e-mail contendo um boleto falso.

E sobre a “flexibilização” dos requisitos?  Como já dissemos, em um ambiente onde já existam controles compensatórios, como um duplo fator, os requisitos se tornam redundantes.

A mensagem principal de tudo o que vimos acima é que as pessoas no mundo real estão bem distantes da discussão entre os especialistas. As pessoas até se preocupam, mas no dia a dia precisam de artefatos que as ajudem a se manterem seguras.

O que fazer então?

Reconheça as diferenças e decida quais controles são aplicáveis a cada caso. Para a maioria, uma senha e um duplo fator como o Google Autenticator, já é satisfatório. Para outras, como por exemplo: gestores de empresas, cujas credencias permitem acessos ou ações críticas, podem demandar controles adicionais.

Parece óbvio, mas é sempre bom lembrar, facilitar a vida de seu usuário, com um portal amigável e que se adapte ao uso e as necessidades de troca ou reset de senha, faz a diferença na segurança da empresa e na agilidade dos setores.

*https://s3.eu-west-1.amazonaws.com/ncsc-content/files/UK%20Cyber%20Survey%20-%20analysis.pdf

 

 

Quanto custa uma senha?

Quanto custa uma senha?

Houve um tempo em que novidades demoravam a chegar ao Brasil. Lançamentos tecnológicos nos Estados Unidos levavam décadas para chegar ao mercado brasileiro.

O lado bom disso, é que havia tempo para se preparar e até escolher entre alternativas já testadas e comprovadas.

Os tempos são outros, a transformação digital entre outras mudanças, encurtou, e em alguns casos, eliminou este colchão de tempo, que de certa forma protegia as empresas no Brasil. Ou seja, para aproveitar os benefícios da tecnologia, vai ser preciso investir e se antecipar ao fato consumado.

E falando em fato consumado, hoje temos as legislações como a LGPD, que segue a mesma linha da GDPR europeia. Neste caso temos um histórico para observar, sobre a lei, as perdas advindas de privacidade e o custo de não investir. É de conhecimento que as violações podem ter sérias implicações financeiras para a empresa. A violação de dados da Equifax em 2017, por exemplo, poderá custar à empresa cerca de US$ 450 milhões.

No Brasil, com a LGPD entrando em vigor, as empresas de todos os tamanhos podem enfrentar multas altas se não demostrarem preparo e conhecimento para tratar a segurança e privacidade de seus dados.

As senhas fracas, roubadas ou reutilizadas continuam sendo a causa de 81% das violações, um número alto para situações onde uma pequena melhoria, retorna um enorme benefício. Mas vamos aproveitar este artigo para evoluir um pouco e avaliar quanto custa não melhorar o tratamento das senhas.

Altos custos de suporte

As empresas estão adicionando novos sistemas ao portfólio, novas ferramentas, trabalho remoto, mobilidade e foco na mudança constante e experiência do cliente. E para manter tudo isto funcionando, do jeito que é feito hoje, supondo que você use um modelo tradicional de sistema de chamados e atendimento por uma fila como “helpdesk”, é preciso contratar mais gente e mais infraestrutura.  Ou seja, aumentar o custo, e mesmo assim, com perda de qualidade, pois depende de atendimento manual sujeito a erros. A recente pesquisa da Forrester, com profissionais de segurança e infraestrutura de rede descobriu que em grandes organizações na Europa,uma única redefinição de senha pode custar pouco mais de 50 libras. Se fosse no Brasil, o custo em média seria de R$ 20,00. É caro, para um serviço demorado e sujeito a erros.

Perda de produtividade do usuário final

A conta a pagar pelas senhas não está contida apenas no custo da operação de troca ou esquecimento. Existe o valor escondido, na forma de perda de produtividade e em certos casos perda de oportunidades. Um funcionário que tira cinco ou dez minutos do seu dia para tratar de senhas de acesso com o suporte de TI, multiplicado por todos os funcionários, soma centenas de horas por ano. Quantos negócios ou mesmo clientes não foram perdidos nestas horas?

Segurança

Vamos relembrar? Mais de 80% dos ataques incluem o componente senha. Sem artefatos para garantir que elas sejam distribuídas e trocadas de forma rápida e segura, a empresa está exposta a um risco constante não gerenciado.

A segurança é bem sucedida quando tratada adequadamente no nível do usuário final, oferecendo uma alternativa que melhore a experiência na interação com os sistemas de seguranças. A maioria das pessoas dará preferência para um método mais fácil e simples de trocar as senhas e que seja, também, o mais seguro.

Quer saber mais sobre o assunto? Participe do Webinar e conheça as novidades no Reset de Senha da E-TRUST, líder em gestão de identidades no Brasil:

5 razões para que a área de TI automatize o reset de senha

5 razões para que a área de TI automatize o reset de senha

Conheça as principais razões para que a área de TI automatize o reset de senha

Que área de Help Desk ou Service Desk nunca recebeu um chamado atrás do outro de colaboradores solicitando o reset de senha para logarem em suas estações, que atire a primeira pedra.

A rotina de quem atua com Segurança da Informação e Help Desk não é tarefa fácil. Além de todos os suportes e projetos de inovação que a equipe é envolvida, uma das grandes demandas é o reset de senha, ou seja, quando colaboradores esquecem seus acessos ou bloqueiam seus passwords por várias tentativas erradas, por puro esquecimento, “capslock”, volta de férias entre outros diferentes motivos.

E como resolver tantos chamados de reset ou troca de senha, quando sua empresa é médio ou grande porte e uma equipe passa a ser “pouco” para tantos departamentos? Sem contar que nada é mais “frustrante” tanto para o colaborador, quanto para a área de Help Desk, todo o processo burocrático do reset ou troca de senha, não é mesmo?

Pensando nesses e em outros motivos, nós desenvolvemos um infográfico que reúne os principais motivadores para você melhorar a produtividade do seu time, repensar o modelo manual de Reset de Senha e optar pela automatização do processo.

Melhore a produtividade do Help Desk

Diminua chamados de Help Desk

mais agilidade e produtividade no Help Desk

melhore a experiência do usuário

maior segurança e proteção contra fraude

Conheça mais sobre o Reset de Senha automático da E-TRUST