Posts

3 erros de segurança de senha que as empresas estão fazendo

Senhas Estamos sempre falando sobre elas, junto com todas as outras empresas de segurança cibernética que estão por aí.

Mas isso é porque nós temos uma boa razão. De acordo com o relatório da Verizon Data Breach Investigations de 2017 , 81% das violações relacionadas a hackers alavancaram senhas roubadas e / ou fracas. Um estudo do Google no mesmo ano coloca o número de credenciais comprometidas vendidas no mercado negro em cerca de 2 bilhões.

“Na maioria dos casos de violação de dados, os invasores entraram em dois métodos. Um: eles roubaram as credenciais de alguém através de phishing. Dois: eles quebraram senhas de usuários fracas, reutilizadas ou ambas ”.

O primeiro método é um cenário familiar de ameaças para a comunidade de TI e se torna mais reconhecível até mesmo para o usuário corporativo padrão. O método dois, no entanto, é frequentemente descartado como pura fantasia do poder dos hackers.

É compreensível. Todas aquelas cenas de filmes chamativos? Não é bem assim que funciona, mas perto o suficiente.

Veja 3 dicas sobre como pegar impostores na sua rede.

 

1: EU USO PASSWORDS FORTE E POSSO LEMBRÁ-LO NA MINHA CABEÇA

Este é um oximoro. Ou um paradoxo. O que quer que seja chamado – simplesmente não é possível.

“Nenhum sistema ou algoritmo de regra de senha – especialmente um armazenado dentro de uma cabeça humana – pode bater o software que está agitando dezenas de milhares de combinações de senha a cada segundo”, diz Janne Kauhanen da F-Secure. “Esta é uma boa regra prática: se você consegue lembrar suas senhas, elas são fracas”.

“Se você consegue lembrar suas senhas, elas são fracas.”

A única solução viável para esse problema é um gerenciador de senhas confiável, como o F-Secure Key. Agora você pode ter uma senha exclusiva de 64 caracteres gerada aleatoriamente para cada serviço e aplicativo usado.

E você só precisa se lembrar de duas credenciais mestras. Um para o gerenciador de senhas e outro para o login do seu domínio.

E apenas para estar no lado seguro, torne isso muito difícil para os atacantes decifrarem. Frases de senha são um bom lugar para começar: sequências sem sentido de palavras que não têm um significado particular em si mesmas.

“Effecttradedbuysdowntownreally” ou “waitingopencarapplebowling”

 2: Eu não sou importante – ninguém quer minha senha

Primeiro de tudo – verifique sua auto-estima.

Podemos garantir que há pelo menos um grupo no mundo que valoriza você: criminosos cibernéticos.

Você é um membro de uma comunidade, confiável e querido por seus colegas de trabalho. Você envia e-mails, acessa arquivos e tem uma pegada digital. Sua identidade tem valor em si.

“Atacantes estão dispostos a fazer qualquer coisa para chegar ao seu alvo, e na maioria das vezes eles podem se dar ao luxo de jogar o jogo longo.”

E se alguém violar sua conta para chegar a outra pessoa? Você não clicaria em um e-mail de um colega próximo, mesmo que seja apenas um link de site aleatório ou um arquivo estranho?

“Os atacantes estão dispostos a fazer qualquer coisa para chegar ao seu alvo, e na maioria das vezes eles podem se dar ao luxo de jogar o jogo longo”, explica Janne. “Uma violação pode começar com apenas uma conta comprometida pertencente a um funcionário júnior. De lá, ele pode se espalhar como uma doença, infectando mais e mais pessoas de dentro ”.

Essas cadeias de ataque podem se tornar bastante complexas, mas muitas delas se originam em um simples ato de preguiça ou negligência. Não é algo que valha a pena perder milhões de dólares.

3: EU USO AUTENTICAÇÃO DE DOIS FATORES

Isso é um pouco mais complicado. Embora a autenticação de dois fatores seja boa em quase todos os cenários concebíveis, ela infelizmente não a torna imune a violações.

Um verdadeiro protocolo de dois fatores deve sempre envolver dois canais distintos de comunicação. Um sistema bancário on-line, por exemplo, exige que você insira uma senha em um aplicativo adicional completamente separado do principal componente de serviço.

É raro encontrar esses tipos de sistemas, principalmente porque eles tornariam muitos serviços não apenas irritantes para o usuário final, mas também extremamente caros para os provedores.

Em vez disso, a maioria das empresas depende de alternativas mais simples, nas quais você envia uma mensagem de texto para um código que digita na mesma tela de login da sua senha.

“Você deve sempre usar a autenticação de dois fatores, mas tenho visto casos em que ela foi ignorada. Códigos de mensagem de texto digitados na mesma página de login com suas credenciais podem ser capturados falsificando esse site. Uma falsa mensagem de erro permitirá que você saiba que o serviço está temporariamente indisponível, enquanto os invasores continuam com sua sessão real ”, diz Janne Kauhanen da F-Secure.  “A autenticação de dois fatores não é uma bala de prata, de qualquer forma.”

PROTEÇÃO REATIVA ÀS FALHAS DE SENHA

Você cuidou de todas as etapas proativas quando se trata de segurança de senha. Agora você tem que se preparar para a eventualidade de alguém conseguir invadir uma conta na sua empresa de qualquer maneira.

Nossa recomendação é investir em detecção e resposta de endpoint (EDR) – uma solução de segurança avançada que você pode inserir em sua plataforma de proteção de endpoint (EPP) existente.

Com a análise de dados comportamentais em tempo real do EDR, você obtém visibilidade concreta do seu ambiente de TI. Você pode detectar atividades incomuns por programas padrão, aplicativos desconhecidos, scripts inesperados e execução suspeita de ferramentas do sistema.

Em outras palavras, ensinando uma IA sofisticada com o que se parece o comportamento “bom”, você pode efetivamente sinalizar tudo que não se encaixa nesse molde. Isso é chamado de “modelagem de atipicidade”.

Alguém está usando aplicativos que eles normalmente não usam? Sinalizado.

Há um login suspeito na rede no meio da noite? Sinalizado.

Dados sensíveis estão sendo extraídos de seus servidores? Sinalizado.

A CONCLUSÃO COM SEGURANÇA DE SENHA

Seja bom para você e seus colegas – leve a segurança das senhas a sério. Comece um movimento no seu local de trabalho se for necessário.

Quando os atacantes encontram um caminho para dentro de qualquer maneira – e eles vão – você precisa estar preparado. Portanto, em vez de apenas olhar para o AV da próxima geração, comece a prestar atenção à segurança pós-comprometimento.

Um ditado diz: “Existem dois tipos de empresas. Aqueles que foram violados. E aqueles que simplesmente não sabem disso.”

 

Sua empresa precisa de segurança empresarial? Ainda tem dúvidas sobre assunto? 

Acesse nosso site e converse com um de nossos consultores http://www.factoti.com.br

 

Fonte:: F-secure

Segurança Empresarial

Como evitar que suas senhas sejam a chave de um invasor para sua conta

O objetivo de uma senha é manter pessoas não autorizadas fora de suas contas. Mas quando não são construídos e usados ​​corretamente, as senhas podem fazer exatamente o oposto. Na verdade, você pode pensar em uma senha ruim como uma chave para deixar a pessoa errada entrar. 

81% das violações relacionadas a hackers alavancaram senhas fracas, roubadas ou padrão, de  acordo com o Relatório de investigações de violação de dados da Verizon 2017 . Com números como esse, fica claro que a senha é uma maneira problemática de proteger as contas. Mas, como atualmente é a medida de proteção que está em uso em toda a linha, é importante usar as senhas de maneira inteligente. O que não é difícil de fazer, basta um pouco de esforço.

O que constitui uma senha fraca? Isso seria uma senha fácil de ser adivinhada por um ser humano ou um cracker de senhas automatizado. O hacker de ética Jan Wilkolm listou recentemente vários padrões de senhas comuns que ele geralmente vê as pessoas usando para atender aos requisitos de letras maiúsculas e minúsculas, números e caracteres especiais. Aqui está o que ele mencionou que ele e seus colegas hackers veem o tempo todo: 

Padrões de senha comuns 

  • Primeira letra maiúscula: senha 
  • Dois a quatro números no final: Password123 
  • Para um caractere especial, ponto de exclamação no final: Password123! 
  • Misturando: P @ 55word123! 
  • Mês + Ano: setembro de 2018 
  • Nomes de carros: Porsche911 
  • Dias da semana 
  • Temporadas 
  • Data de nascimento e anos de nascimento 
  • Datas do casamento 
  • Nomes das crianças 
  • Esportes e equipes 

Uau. Alguém mais acha que estava sozinho ao adicionar um ponto de exclamação no final para adicionar complexidade? Você provavelmente também pode reconhecer alguns dos seus hábitos de senha nessa lista.  

Além disso, as senhas mais curtas são mais fracas. Quanto mais curto, mais rápido ele pode ser quebrado com uma ferramenta automatizada. Então, quanto mais, melhor – na verdade, é melhor usar uma senha ou até mesmo uma sentença. 

Não importa quão grande você seja em criar senhas longas e fortes, isso não será bom se for roubado. As senhas roubadas geralmente são derivadas de campanhas de phishing. De acordo com  o Verizon DBIR de 2018 , 4% dos alvos em qualquer campanha de phishing clicarão nela. É bom ouvir que os números são tão baixos, mas mesmo 4% ainda são 4% demais.

Outra maneira de evitar que sua senha seja roubada é usar uma senha exclusiva para cada serviço. De acordo com uma  pesquisa da LogmeIn , 59% dos entrevistados reutilizam senhas em várias contas, embora 91% digam que entendem os riscos de fazê-lo.  

Esses hábitos podem parecer pequenas falhas. Mas se você ou sua empresa forem atingidos, o risco é grande.

Criando senhas melhores

Como eu disse, não é difícil de fazer, mas é preciso um pouco de esforço – esforço que vale a pena quando você não experimenta uma violação em suas contas ou na rede de sua empresa.

Use um gerenciador de senhas.

Por uma senha longa e única para cada uma das suas contas. Então, você só precisará lembrar de duas senhas: a que faz login no seu computador e a senha do seu gerenciador de senhas.  Se sua empresa fornecer um gerenciador de senhas, use-o.

Proteja suas contas mais sensíveis com autenticação de dois fatores.

Com a autenticação de dois fatores, apenas uma senha não é suficiente para entrar.

 

Precisa de segurança para sua empresa? 

Solicite o contato de nossos especialistas e vamos conversar sobre como podemos ajudar sua empresa a se proteger.