Na primeira quinta-feira do mês de Maio comemora-se o World Password Day ou o Dia Mundial da Senha, uma data reservada para promover melhores hábitos no uso das senhas, este recurso de segurança que ainda é utilizado em praticamente todas as nossas atividades.
Em 2010 eu havia escrito para alguns portais um artigo chamado SeNh@s2010!, tratando sobre a falta de orientação dos usuários e do papel de conscientização dos profissionais de TI sobre o mais básico controle de segurança, o requisito mínimo para contribuir na proteção dos ativos e das informações, sejam elas pessoais ou corporativas. Nem adianta falarmos de firewall, antivírus, VPN, backup ou criptografia se a ação mais simplória, de criar uma palavra-chave com o mínimo de requisitos de segurança não for seguida pelos usuários. Por isso temos que incentivar e alertar as pessoas constantemente que um pequeno descuido na escolha de suas senhas de autenticação, poderá por todos os outros controles de segurança em risco. Isso é válido para o celular, computador pessoal, estação de trabalho, servidor da empresa, contas de e-mail, redes sociais, bancos, lojas virtuais, etc…
Segue meu artigo na íntegra: SeNh@s2010!
Por que a ação mais simples de ser tomada para contribuir efetivamente com a segurança da informação é ignorada por grande parte dos usuários (e administradores de rede)?
Alguns dias atrás o assunto era o vazamento das senhas de 30.000 contas dos usuários do Hotmail, Gmail e Yahoo. Esta notícia deixou em alerta os especialistas em segurança que puderam constatar através de uma pesquisa realizada pelo consultor Bogdan Calin que grande parte das contas invadidas, possuía senhas fracas, fáceis de serem descobertas por meio de softwares de força bruta.
O que mais chama a atenção, não é apenas o fato destas empresas conceituadas admitirem a falha, pois são empresas visadas para este tipo de ação, e certamente há inúmeras outras tentativas onde os hackers não obtiveram êxito. O que assusta é a quantidade de usuários que não possuem a menor preocupação em criar e manter uma senha segura para acesso aos seus perfis pessoais, e-mails e demais serviços. De acordo com a pesquisa, das 10.000 contas analisadas, aproximadamente 9.800 eram válidas. Entre as principais características destas senhas estão repetição do nome do usuário na senha, seqüências numéricas óbvias entre seis a oito dígitos e a ausência de combinações de letras maiúsculas e minúsculas, números e caracteres especiais.
Agora, você imagina que isso ocorre apenas com as pessoas no seu uso pessoal e doméstico dos serviços da Internet? Engano!!!
Constantemente identificamos esse mesmo comportamento no ambiente corporativo, e isso não se restringe apenas a alguns funcionários de departamentos específicos, mas em todos os níveis, desde o operador de máquina no chão da fábrica, até aos altos executivos que possuem informações valiosas para os negócios da empresa, criando uma bolha de insegurança, muitas vezes com impactos não mensurados, caso haja uma violação de segurança.
A falta de uma política de segurança que determine formalmente as regras para criação e manuseio das senhas e de controles que obriguem os usuários a seguirem exatamente estes requisitos são as principais razões para a ocorrência deste tipo de violação que encontramos constantemente e abrem as portas para as mais diversas ameaças, que vão desde um acesso indevido a algum recurso da rede, até a manipulação de informações sensíveis aos negócios da empresa.
Elaborar políticas com os procedimentos para criação e uso das senhas em conjunto com controles que garantam a aplicação destas regras são passos fundamentais que devem ser estabelecidos pelo gestor da segurança da informação e a equipe de TI, mas sem o treinamento devido, a divulgação adequada e o apoio dos usuários, nenhum procedimento ou tecnologia será suficiente para impedir o avanço destas ameaças para dentro das organizações.
Portanto neste ano de 2010 com grandes expectativas de crescimento econômico para diversos setores de nosso país, que cada um colabore com sua empresa, nem que seja num ato simples como este: diG1T@nd0_uMa_$eNh@ segura.
Fontes consultadas: Fórum de Segurança / World Password Day 2016
Imagens: Flickr-Victor Bayon, CC BY-NC-SA / World Password Day 2016
Texto: Roberto Henrique – Analista de Seg. da Informação – ABCTec
