Impor uma higiene de senhas forte
Objetivos de aprendizagem
Após concluir esta unidade, você estará apto a:
- Definir uma higiene de senhas forte.
- Explicar como os gerenciadores de senhas protegem senhas.
Usar uma higiene de senhas forte
A higiene de senhas é tão crucial para seus sistemas organizacionais internos quanto para as credenciais que você usa para acessar seu e-mail, calendário e outros aplicativos relacionados ao trabalho. Por mais que uma empresa se proteja contra perigos externos, as senhas ainda apresentam ameaças de segurança. Por isso você deve exigir que os usuários tenham credenciais exclusivas para todos os bancos de dados e sistemas que eles acessam.
Nos riscos de senha se incluem o uso de senhas fracas, reutilização de senhas e manipulação inadequada de credenciais por armazenamento ou criptografia com falhas (usando um algoritmo para misturar, codificar e proteger). Um modo de implementar senhas fortes é usar uma ferramenta de gerenciamento de senhas.
A higiene de senhas forte engloba duas partes: usar senhas fortes exclusivas em cada serviço que você acessa e armazenar essas senhas onde fiquem protegidas. Vamos rever algumas das melhores práticas para manter suas senhas seguras.
Usar senhas fortes exclusivas
Use senhas fortes em todos os serviços que acessar. É especialmente importante tomar cuidado para não reutilizar senhas. É tentador reutilizar senhas ou usar senhas que tenham apenas pequenas variações. Afinal de contas, manter senhas longas e complexas em várias contas pode ser entediante. No entanto, a reutilização de senhas é uma prática que deixa sua organização vulnerável a violações.
Se você reutilizar senhas, mesmo com pequenas variações, os hackers que chegam à senha de uma conta podem então ter acesso às outras contas. Uma série de graves violações de segurança ocorreram dessa forma e afetaram organizações em diversos setores, levando a violações de contas de mídia social de funcionários, contas bancárias de clientes e até sistemas de segurança nacional. Um gerenciador de senhas é uma ótima maneira de minimizar esse risco.
Usar um gerenciador de senhas
Embora seja crucial que você defina senhas fortes, também é muito importante que você guarde o sigilo dessas senhas. Senhas fortes e exclusivas são difíceis de lembrar, por isso pode ser tentador manter cópias impressas dessas senhas. Infelizmente, essa prática pode levar a sérios comprometimentos de segurança porque as cópias impressas podem ser expostas, especialmente nos escritórios em open space. Da próxima vez que estiver tentado a escrever sua senha em uma nota adesiva ou em um caderno, é melhor pensar duas vezes!
É possível que você veja o termo “higiene de senhas”, que se refere às melhores práticas para senhas mencionadas a seguir. Uma higiene de senhas forte ajuda a evitar que seus sistemas sejam violados por invasores. A maneira mais fácil de garantir que você está usando senhas fortes para suas contas, e que você não está repetindo essas senhas, é usar um gerenciador de senhas. A maioria dos gerenciadores de senhas tem geradores de senhas aleatorizados incorporados que coletam nomes de usuário e senhas em tempo real. Eles armazenam esses nomes de usuário e senhas em um banco de dados seguro, ou seja, você não precisa se lembrar de uma senha diferente, forte e exclusiva para cada site.
Sua organização pode oferecer um gerenciador de senhas para você. Mas, mesmo que não o faça, você ainda pode escolher um. Os gerenciadores de senhas salvam seus sites com segurança, gerenciam seus logins, geram senhas aleatórias e as armazenam em um banco de dados seguro sem exigir que você memorize senhas complexas e fortes para cada serviço utilizado.
O que pode e não pode ser armazenado em um gerenciador de senhas
Embora os gerenciadores de senhas sejam uma ótima maneira de implementar senhas fortes, você deve tomar cuidado para não usá-las para administradores do sistema ou contas privilegiadas. No caso de contas privilegiadas, use um cofre ou um sistema de gerenciamento de chaves privilegiado que criptografa seus segredos.
Siga essas melhores práticas ao usar um gerenciador de senhas.
- Combine a complexidade da senha principal com pelo menos a senha mais complexa armazenada no gerenciador de senhas.
- Escolha uma senha principal para seu gerenciador de senhas que tenha pelo menos 16 caracteres e inclua os seguintes itens: letras maiúsculas, letras minúsculas, números e símbolos.
- Use uma frase secreta. Uma frase secreta é uma sequência de palavras semelhante a uma frase usada para autenticação que é mais longa que uma senha tradicional, fácil de lembrar e difícil de decifrar. Você pode adicionar espaços, substituir letras por caracteres especiais ou números para aumentar ainda mais a segurança.
- Defina seu gerenciador de senhas para usar a autenticação multifator (MFA) para login.
Adicionar defesas com a autenticação multifator
Muitas organizações passaram a usar a MFA para verificar a identidade dos usuários antes de permitir o acesso aos sistemas. Há três tipos de fatores que podem ser usados para autenticar: 1) algo que você tem, 2) algo que você sabe ou 3) algo que você é. A MFA exige que você autentique usando pelo menos dois desses três fatores.
Por exemplo, quando faz login, você pode usar a MFA para verificar sua identidade com algo que você sabe (como sua senha) e algo que você tem (como um aplicativo no seu telefone ou um token de hardware). A implementação da MFA pode proteger contra ataques de senha, como ataques de phishing, que visam coletar credenciais para obter acesso não autorizado ao computador da vítima. Com a MFA, mesmo que um invasor consiga comprometer sua senha, ele ainda precisa ter acesso a um segundo fator, como seu telefone ou seu token de hardware, para comprometer sua conta.
Lembre-se de sempre usar a MFA para acessar seu gerenciador de senhas que fornece o maior nível de proteção a todos os segredos que estão armazenados lá. Diferentes sistemas de gerenciadores de senhas exigem diferentes métodos de autenticação. Eles podem incluir um autenticador baseado em software como o Google Authenticator, um autenticador baseado em hardware como o YubiKey, ou outros métodos, como a biometria.
Agora que você já sabe como proteger suas senhas pessoais, vamos dar uma olhada em como proteger suas credenciais de administrador.
Recursos
- Site externo: Fórum Econômico Mundial (WEF): Por que a COVID-19 defende a eliminação de senhas
- Site externo: Aliança Cibernética Global: Phishing: Uma pandemia global
- Site externo: National Institute of Standards and Technology (NIST): Publicação especial (SP) 800-63: Revisão 3: Diretrizes de identidade digital