Por enquanto, as senhas vieram para ficar; porém, existem algumas coisas importantes a serem consideradas
Estamos à beira de uma nova era tecnológica, com avanços que vão desde carros sem motorista, integração homem-máquina até novações robóticas. Portanto, é até surpreendente ainda dependermos de senhas.
Embora as opções de autenticação sem senha estejam ganhando força, há um motivo pelo qual ainda as usamos, mesmo 60 anos após o seu surgimento: elas são eficazes.
Ao contrário do reconhecimento facial e outras soluções biométricas, as senhas são completamente certas ou completamente erradas. Atualmente, a biometria requer uma margem de erro; por exemplo, foi demonstrado que as pessoas podem abrir os telefones de seus parentes por meio de aplicativos de reconhecimento facial.
Ainda mais importante, se os dados biométricos de alguém forem comprometidos, eles nunca poderão ser substituídos.
Infelizmente, já vimos uma grande violação de dados biométricos. Em agosto de 2019, a empresa de privacidade na web vpnMentor revelou uma infração na plataforma de segurança Biostar2 da empresa de segurança sul-coreana, a Suprema, que expôs dados de reconhecimento facial e registros de impressão digital de um milhão de pessoas.
De acordo com a vpnMentor, a Suprema salvou cópias exatas das impressões digitais dos usuários, comprometendo para sempre as informações biométricas desses indivíduos. Para empresas que armazenam esses dados dos usuários, é aconselhável utilizar a tecnologia de hash ou blockchain para protegê-los. No entanto, ao contrário das senhas, os dados biométricos — sejam íris, rostos ou impressões digitais — não podem ser substituídos.
Outro caso foi o da empresa brasileira Antheus Tecnologia, que presta serviços para órgãos públicos, como as polícias Civil e Militar e o próprio governo federal. Na ocasião, em março de 2020, os dados de 76 mil brasileiros podem ter sido expostos em uma grande falha de segurança nos servidores da companhia, o que acabaria comprometendo mais de 2,3 milhões de registros individuais.
Por enquanto, as senhas vieram para ficar; porém, existem algumas coisas importantes a serem consideradas:
Quer você use autenticação baseada em senha ou não, sua organização deve exigir a autenticação multifator (MFA). Não há desculpa para não empregá-la, especialmente com a atual proliferação de aplicações que permitem esses serviços.
Se sua organização possui MFA em vigor, você definitivamente não deve exigir as redefinições de senha obrigatórias. Na verdade, é possível que esses requisitos tornem sua rede menos segura, já que os funcionários tendem a escrever suas senhas em post-its nas estações de trabalho e recorrer ao uso de outras semelhantes, bem como opções fáceis de serem adivinhadas pelos hackers.
Como advertência, caso os colaboradores mudem de função dentro da organização, pode fazer sentido exigir uma redefinição. Idealmente, essa solicitação deve ser automatizada como parte do processo de transferência.
Dado que os ataques de força bruta de senha ainda são a forma mais comum de invasão, ainda é importante exigir senhas complexas e proibir as mais fracas. O NIST — Instituto Nacional de Padrões e Tecnologia — recomenda a utilização de senhas longas e complexas, que os funcionários não usavam no passado.
É aconselhável a utilização de um gerenciador de senhas de nível empresarial para ficar em dia com as questões de segurança. Além disso, como contas privilegiadas são geralmente compartilhadas por poucas pessoas em uma organização, é importante considerar um programa separado para gerenciar os acessos dessas contas.
Para concluir certas tarefas, a administração do sistema deve ser capaz de elevar os privilégios de qualquer usuário por um determinado período de tempo e, se necessário, o administrador do sistema deve ser capaz de desativar a autenticação direta para todas as contas privilegiadas.
Apesar de as senhas serem eficazes, sempre que possível, é importante poder eliminar ou desativar a autenticação baseada em senha. A opção sem senha, como aquelas de uso único (OTPs) enviadas por e-mail e SMS, está se tornando cada vez mais popular.
Dito isso, o e-mail pode ser um canal mais seguro que o SMS, pois essa última opção é mais suscetível às vulnerabilidades das redes telefônicas.
Até que as opções de autenticação sem senha e soluções biométricas se tornem mais avançadas, é aconselhável confiar em senhas longas e complexas, além da autenticação multifator. Ao contrário das senhas, as soluções biométricas — módulos de impressão digital, leitores de íris e sistemas de reconhecimento de voz — exigem uma margem de erro.
Além disso, como no caso da violação do banco de dados da Suprema, se tal evento ocorrer, informações biométricas confidenciais dos usuários ficarão comprometidas para o resto da vida.
*Rajesh Ganesan é vice-presidente da ManageEngine
