O velho sistema de senhas, baseado em combinações alfanuméricas, é hoje um dos maiores entraves à segurança das empresas e precisa ser substituído urgentemente por modelos com múltiplas autenticações.
A avaliação acima é do especialista em segurança da informação e Presidente da Aker Security, Rodrigo Fragola, que atua na direção de entidades setoriais da área de tecnologia.
Segundo ele, ao invés de entregar a senha completa a um indivíduo, na autenticação avançada, o usuário detém unicamente um fragmento (ou uma fase da senha) e necessita acionar a participação colaborativa de outras pessoas ou dispositivos para conseguir o acesso à informação crítica.
"O emprego de senhas dinâmicas, enviadas no instante do uso para um dispositivo tipo "token", (ou para o celular do usuário), já deveria ser obrigatório nas grandes corporações, mas a maior parte das empresas ainda emprega apenas chaves permanentes, baseadas no sequenciamento de dígitos disponíveis no teclado QUERTY", prossegue o especialista.
Ele menciona outras possibilidades viáveis, e ainda negligenciadas, como a combinação da senha com a posição GPS do smartphone do usuário, ou com sua biometria de face, obtida através de uma simples "selfie".
Segundo Fragola, direta ou indiretamente, o modelo de senha alfanumérica de autenticação única está na raiz de grandes vazamentos de dados planetários.
Esta é a situação do famoso caso WikiLeaks (onde o pivô era um funcionário terceirizado, a serviço da Inteligência Secreta dos EUA) e o mais recente caso Mossack & Fonseca (cujo ataque foi assumido por um suposto hacker que teria quebrado a senha de acesso, através de truque cibernético, embora muitos desconfiem também tratar-se de uma violação interna).
"Nas duas situações, aconteceu o uso indevido ou abusivo da senha, seja pela falta de controle sobre o usuário interno autorizado a usá-la (no caso da NSA) ou pela ação de um suposto atacante remoto que a decifrou devido à vulnerabilidade lógica".
Na avaliação de Fragola, além da fraqueza das combinações – hoje facilmente decifradas por ataques hackers multiprocessados chamados 'de força bruta' – o uso da senha tradicional está lastreado em um conceito arcaico do que seja a relação de confiança entre a empresa e o funcionário.
Não há um controle rígido de produção, uso e desativação das autorizações de acesso e sua distribuição entre os colaboradores.
Com isto, o nível de acesso a informações concedido aos funcionários excede, na maior parte dos casos, a necessidade funcional concreta.
Além disso, funcionários que se desligam costumam levar suas senhas, que nem sempre são desativadas. São poucas as organizações que têm conhecimento pleno do montante de "senhas órfãs" em seu ambiente de dados.
Há ainda o caso de senhas temporárias, concedidas a visitantes que precisam reparar pontos do sistema e que depois são deixadas sem a devida desativação e levadas para fora da empresa.
Outras situações comuns são o compartilhamento de senhas e a existência de senhas automáticas (criadas para que as aplicações interajam entre si) e muitas vezes ignoradas até pelos chefes de TI.
De acordo com o relatório global "Behavioral Risk Indicators of Malicious Insider Theft of Intellectual Property", 75% dos roubos de informação nas empresas são realizados por pessoas que detém a autorização para acessá-las.
Rodrigo Fragola recomenda que as empresas comecem imediatamente a adotar diretivas para mapear e inventariar seus acervos de senha/portador com os respectivos níveis de acesso e passem a usar tecnologias capazes de acompanhar o padrão e comportamento de acessos de cada usuário.
"Se um funcionário do almoxarifado tenta acessar uma aplicação da engenharia, o sistema deve imediatamente enviar um alarme à segurança e bloquear este usuário, até que o caso se esclareça", exemplifica.
Na análise do executivo, essa revisão do modelo de senhas é pré-condição para o avanço da discussão dos novos padrões de segurança, que envolve também a adoção da criptografia para as comunicações e arquivos, bem como o uso de sistemas automáticos capazes de monitorar o acesso dos usuários à rede empresarial através de seus dispositivos particulares.
"Não se trata de questionar o modelo de confiança recíproca entre o funcionário e a empresa, mas é urgente a necessidade de se disciplinar o acesso à informação crítica não só em função da eventual malícia do funcionário, mas até por sua posição de vulnerabilidade ao ataque hacker", conclui o executivo.