Proteção de senhas

Proteção de senhas

Possívelmente o modelo de autenticação mais antigo que ainda é utilizado em larga escala, as senhas fazem parte do dia a dia de grande parte das empresas. Em tempos de passwordless, muitas vezes, essas credenciais acabam sendo "esquecidas" e as empresas deixam de aplicar controles para evitar o compromentimento delas. Hoje falaremos um pouco sobre algumas características das senhas, alguns vetores de ataque e como incrementar a proteção das credenciais do seu usuário!


Cenários de uso das senhas

As senhas são, de maneira simples, uma sequência de caracteres em texto plano. Normalmente, estão atribuídas a algum tipo de identificador, como um e-mail ou um username.

Na empresa onde trabalhamos, estamos sujeitos às políticas e guardrails de segurança aplicados pela organização, o que nos leva muitas vezes, a não ter opções a não ser seguir os direcionamentos dos times de segurança.

Pensando como um usuário comum, fora do âmbito corporativo, as senhas ainda estão extremamente presentes no dia a dia. Elas são utilizadas para:

  • "Destravar" o smartphone;

  • Acessar contas de redes sociais;

  • Desbloquear a estação de trabalho.

Esses foram apenas alguns exemplos, se explorarmos mais as atividades diárias do usuário comum, notaremos muito mais a presença desse recurso.


Vetores de ataque

Dada a alta taxa de uso das senhas, os ataques direcionados às credenciais ainda são extremamente presentes e eficientes. Todos os ataques visam obter acesso à conta do usuário, o que difere entre eles é a forma de se fazer isso e também o alvo.

Alvo

Temos 2 grandes alvos nesse quesito, o usuário e a senha. Alguns ataques visam obter as credenciais através do usuário, isso é, ele de alguma forma fornece as credenciais ou fornece dicas que levam os atacantes a descobrir elas. Os ataques direcionados às senhas consistem na exclusiva adivinhação das mesmas, utilizando ferramentas externas e também insumos gerados por outras fases dos ataques.

Ataques

Após compreender os 2 principais alvos dos ataques, chegou a hora de estudarmos brevemente os ataques mais comuns, utilizados hoje em dia e com grande efetividade, quando não se há políticas fortes de segurança de credenciais.

Phishing

Imagem retirada do site Simplilearn

O famoso método do "você foi sorteado!". Uma estratégia de phishing visa enganar o usuário de maneira que o mesmo forneça suas credenciais aos atacantes. Isso pode ser feito de diversas maneiras, sendo o método mais comum, páginas na web que prometem prêmios/recompensas após o usuário fornecer algumas informações.

Também é comum encontrarmos páginas simulando as landing pages de grandes corporações, como bancos, que levam o usuário a fornecer seus dados bancários, comprometendo assim a integridade das suas contas.

Man-in-the-middle

Imagem retirada do site da Panda Security Mediacenter

Uma forma mais sofisticada de se obter informações e que não tem o usuário como alvo.

Aqui, um atacante consegue se "infiltrar" na comunicação entre o usuário e o sistema destino, se passando por um integrante confiável da comunicação e interceptando as informações trocadas entre as partes.

Social Engineering

Imagem retirada do site Terranova Security

Esse ataque utiliza como meio as relações interpessoais entre o atacante e sua vítima.

O atacante se porta como alguém confiável à pessoa que deseja obter as informações, coleta diversos dados considerados "valiosos" e utiliza dessas informações para "acertar" a senha da vítima.

Brute Force

What is a brute attack? What are the types of brute force attacks and how  you can prevent it.

Os ataques do tipo brute force procuram ganhar acesso à conta do usuário por meio de tentativas de login.

O atacante constrói uma automação que testa combinações de senhas até que uma delas seja uma tentativa bem sucedida!

Credential Stuffing

Este não é um ataque que visa "adivinhar" a senha do usuário. Também não é uma estratégia que pode ser utilizada como ponto de partida na obtenção das credenciais.

O credential stuffing é muitas vezes a segunda fase de um ataque do tipo brute force. Esse método consiste na utilização de uma senha válida para tentativas de acesso à outras contas do mesmo usuário. É um ataque que tem como alvo, pessoas que utilizam a mesma senha para várias contas pessoais.


Protegendo as credenciais

Como vimos na seção anterior, os ataques são construídos de diferentes formas e aplicados com diferentes estratégias, mas sempre visando uma coisa: obter acesso às credenciais do usuário!

Para garantir a integridade das suas credenciais de acesso e evitar que você esteja exposto à qualquer um desses vetores, alguns controles podem ser aplicados. Os controles nem sempre vão garantir a segurança total das contas, mas habilitarão a proteção contra diversas ofensivas feitas aos seus ativos.

Vamos comentar sobre algumas dessas estratégias defensivas.

Lembrando que a proposta do texto é mencionar algumas formas de proteger as suas senhas. Não estamos falando de autenticação do tipo passwordless, que permitem a autenticação por outros métodos.

Troca periódica de senha

Muito comum nas empresas e também uma boa estratégia para as suas contas pessoais, a rotação de senhas é um método efetivo para se garantir a segurança das suas contas.

No caso de uma credencial vazada, a troca de senhas garante que aquela senha não poderá ser utilizada para acessar as contas comprometidas.

Nos ambientes empresariais, é costume a exigência da rotação de senhas de maneira periódica (a cada X dias, por exemplo). Os usuários recebem avisos através do e-mail corporativo ou de algum portal interno da empresa, de que sua senha esta "expirando". Esse aviso, simplifica a vida do usuário, que não precisa manter um histórico da sua última mudança de senha.

Ataques relacionados: phishing, social engineering, credential stuffing.

Complexidade

Esse controle é implementado em larga escala pelas diferentes plataformas. Quando iniciamos o processo de criação de conta em um aplicativo, estamos mais do que acostumados a ver uma série de requisitos mínimos que devem ser cumpridos para ter a criação da conta validada.

Ex: é necessário que a sua senha tenha no mínimo 8 caracteres, 1 número, 1 letra maiúscula e 1 caractere especial.

Implementar uma política de complexidade diminui a probabilidade de um ataque do tipo brute force ter efeito. Ao adicionarmos números, letras maiúsculas e minúsculas e também caracteres especiais, aumentamos as combinações possíveis das senhas, dificultando muito a adivinhação delas.

Time Taken For Hackers to Crack Passwords Revealed - IT Security Guru

Na imagem acima, retirada do site "IT Security Guru", temos a representação de quanto tempo um ataque brute force levaria para adivinhar sua senha de acordo com a complexidade dela.

Conseguimos visualizar que quanto maior o tamanho e maior a combinação de caracteres, mais tempo será necessário para acertar a combinação correta.

Ataques relacionados: phishing, brute force, credential stuffing.

Conscientização

Este é uma implementação não-técnica para evitar que você tenha problemas com os ataques.

Temos muitas iniciativas na internet que visam ensinar o básico da segurança da informação para as pessoas. Questões como: não clicar em links suspeitos, não fornecer suas credenciais para ninguém, não compartilhar dados sensíveis e pessoais nas redes sociais, são as principais ações compartilhadas nessas iniciativas.

Dentro das empresas é comum que o time de segurança da informação realize diversas campanhas de conscientização. Além de cursos e plataformas de aprendizado, os colaboradores são sensibilizados periódicamente com mensagens nos canais de comunicação oficiais e também através de e-mails corporativos.

O importante das políticas de conscientização é garantir a efetividade e a comunicação simples, fazendo com que tanto o usuário mais experiente, quanto o mais vulnerável (principal alvo), entendam a mensagem transmitida e saibam como aplicar esses cuidados em seu dia a dia.

Ataques relacionados: todos.

Extra: Microsoft Entra ID

Pensando em utilizar uma ferramenta que contenha formas de proteger seu usuário, temos a solução de AM (Access Management) mais utilizada no mercado e lider no gartner, o Microsoft Entra ID.

Com o Entra é possível aplicar políticas de senha como as mencionadas anteriormente, suspensão de contas (evitando assim os ataques do tipo brute force), e também podemos utilizar através do Entra ID Protection, as capacidades de machine learning da Microsoft, que analisam as diversas interações dos usuários com os sistemas e identificam até os ataques mais sofisticados.

Utilizar uma solução de AM completa e com capacidades de proteção, pode economizar muito tempo e proteger sua empresa de danos reais contra seus ativos!


Entendemos alguns dos principais vetores de ataque existentes e ainda mais importante, algumas estratégias para defender o ambiente desses ataques mencionados.

Espero que tenha gostado do conteúdo e que à partir de agora, você consiga se proteger e também o ambiente da sua organização.

Até logo!