As ameaças cibernéticas são uma preocupação cada vez maior para gestores de empresas de todos os portes. A dor de cabeça, de fato, é justificada: mais do que nunca, temos observado uma constante evolução no volume de ocorrências e na sofisticação dos ataques. Mas você sabia que muitos desses problemas acontecem pela simples falta de gestão de senhas dos usuários que utilizam os variados aplicativos e sistemas corporativos?
Entre outras medidas fundamentais de segurança – tais como o backup de dados e o uso de antivírus eficazes -, o gerenciamento de senhas é uma etapa indispensável para evitar a invasão em redes e contas específicas.
Para te ajudar, listamos as 10 melhores práticas de gestão de senhas e outras orientações importantes para negócios. Vamos lá?
Gestão de senhas: por que as empresas precisam priorizar?
Como mencionamos, grande parte das violações de hackers na rede e nos sistemas empresariais ocorre devido a comportamento humano inadequado, incluindo senhas consideradas fracas.
Nesse cenário, mesmo que haja uma política de acessos eficaz – que define quais colaboradores podem acessar determinados arquivos com base na sua criticidade -, a correta gestão de logins faz toda a diferença para a proteção do ambiente corporativo.
Vale lembrar, aqui, que o gerenciamento de senhas tende a ser um grande desafio para os negócios. Trata-se, afinal, de um imenso volume de acessos a diferentes serviços, portais e sistemas no dia a dia de trabalho.
Por esse motivo, é preciso lançar mão de uma estratégia para centralizar e gerir múltiplas contas de maneira organizada e segura. É aí que se faz necessária a criação de uma política de senhas, que reúne as regras a serem seguidas por todos os usuários, incluindo o correto monitoramento dos acessos.
De que forma as senhas podem ser descobertas e exploradas?
A fragilidade das senhas corporativas é uma porta de entrada para a ação dos cibercriminosos, que têm investido em táticas diversas e avançadas para roubar essas credenciais valiosas.
E-mails falsos, golpes de phishing, estratégias de engenharia social, automações de tentativa e erro… muitas são as abordagens que justificam a implementação de uma boa gestão de senhas.
Confira as principais formas de ações dos hackers para identificar e explorar senhas empresariais fracas:
- navegação em sites falsos pelos funcionários, que acabam informando dados de acesso por acreditarem se tratar de endereços legítimos;
- captura de senhas durante uso da internet, muitas vezes com o uso de redes privadas inseguras ou redes públicas;
- uso de computador infectado por vírus, o que permite o roubo das credenciais de acesso;
- acesso do arquivo no qual a senha está armazenada (principalmente se ela está em arquivo simples no computador, em papel ou sem a proteção de criptografia);
- uso de táticas de engenharia social, que persuadem o usuário a fornecer suas credenciais voluntariamente, enganando-o sobre os reais objetivos do acesso;
- uso de ferramentas hacker de força bruta, que são um conjunto de robôs que apostam em tentativas de adivinhação para descobrir senhas (para tanto, são utilizadas as combinações e variações mais comuns);
- observação da movimentação do usuário no uso do teclado e do mouse, visando identificar as combinações de caracteres utilizadas.
Leia também: Como desenvolver uma política de segurança da informação?
10 boas práticas de gestão de senhas para os negócios
-
Antes de tudo, nada de senhas óbvias
Para começar, esqueça aquelas opções mais óbvias e fáceis de serem descobertas. Isso inclui nomes próprios, nomes de familiares, melhores amigos e até de animais de estimação, além de datas de nascimento.
Com redes sociais e tantas informações abertas e disponíveis na web, os cibercriminosos têm muito mais facilidade para identificar dados relacionados aos usuários e decodificar credenciais de acesso (inclusive via tentativa e erro, como conferimos no último tópico).
Da mesma forma, datas de aniversário, placas de carro e caracteres sequenciados do teclado – como “fghjk”, “zxcvb” e “1234” – são extremamente evidentes e comprometem a proteção.
Vale ressaltar que o alerta também se estende às perguntas de segurança para resgatar a senha em casos de esquecimento. Se o usuário escolhe uma pergunta cuja resposta é conhecida ou dedutível por outras pessoas, a senha se torna igualmente fraca.
-
Demande a criação de senhas fortes
Quando o assunto é a gestão de senhas nas empresas, a conscientização acerca da criação de combinações fortes para as credenciais é mandatória.
Para criar senhas fortes, a regra básica é misturar diferentes tipos de caracteres. Quanto mais variada, melhor! Use números, letras, maiúsculas, minúsculas e caracteres especiais como &$%#@.
A extensão da senha também é importante: quanto maior a sequência, mais difícil será sua detecção. O ideal é utilizar no mínimo 8 caracteres, além de evitar repetições.
Vale lembrar que existem sites que permitem testar a força da senha, exibindo classificações como “muito fraca”, “fraca”, “forte” e “muito forte”. Isso ajuda a analisar sua escolha e garantir a eficiência contra os acessos indevidos.
DICA EXTRA: para facilitar a memorização das senhas sem pecar na força das mesmas, um truque interessante é criar uma frase (não óbvia) que faça sentido para você e da qual você possa se lembrar.
A partir daí, utilize a primeira letra de cada palavra da frase, misturando-as a números e caracteres especiais.
-
Contas diferentes, senhas diferentes
Em busca de agilidade e facilidade de memorização, muitos usuários cometem o grande erro de utilizar as mesmas senhas para contas e serviços distintos. Outros ainda apostam em sequências parecidas ou alteram somente a variação final, trocando um número ou letra.
Esse costume deve ser abolido! Além de cuidar para que os usuários diferenciem as credenciais das suas contas pessoais e profissionais, é importante investir em senhas fortes distintas para cada conta de acesso/tipo de serviço.
Caso contrário, diante de uma possível invasão, um “efeito dominó” pode ser desencadeado, isto é, diversos acessos de um mesmo usuário serão descobertos e afetados.
-
Não compartilhe senhas
Embora pareça um cuidado óbvio, acredite: muitas pessoas ainda compartilham ou “emprestam” suas senhas. Nem é preciso enfatizar os riscos de tal prática, certo?
Nesse sentido, a política de gestão de senhas da empresa deve reforçar que as credenciais de acesso são pessoais, secretas e intransferíveis.
Com a precaução, os próprios usuários se resguardam, tendo em vista que eliminam as chances de que determinadas operações sejam atribuídas a eles de forma fraudulenta por terceiros.
-
Exija a troca periódica de senhas
De tempos em tempos, é importante trocar as senhas. Não há uma regra específica quanto à periodicidade, que não deve ser tão curta como de mês em mês, mas não pode chegar a anos de uso da mesma sequência.
Por outro lado, a troca é primordial em casos de invasão da rede corporativa ou mesmo se houver desconfiança acerca de uma possível detecção das credenciais por outrem.
Nesse contexto, o monitoramento de senhas corporativas é de grande ajuda – existem diversas tecnologias que podem apoiar os gestores nesse ponto, em especial quando o número de usuários e acessos é bastante alto.
-
Aposte em gerenciadores de senha
Por falar no apoio da tecnologia, contar com o apoio de gerenciadores de senha é extremamente aconselhado no meio corporativo.
Com a diversidade crescente de contas e senhas no ambiente de trabalho (o que é potencializado quanto maior for o número de colaboradores), a memorização, o armazenamento e a gestão dessas credenciais se tornam cada vez mais trabalhosos.
Nesse caso, é possível contar com a ajuda de gerenciadores de senha, que armazenam essas informações criptografadas de maneira segura e facilitam o monitoramento de acessos.
A grande preocupação deve ser resguardar a proteção da senha mestra, que fornece acesso ao aplicativo e a todas as demais senhas nele armazenadas.
Vale lembrar, ainda, que existem diferentes tecnologias de gerenciadores de senha – a exemplo o Azure AD Premium, que realiza a integração dos logins de softwares para reduzir a quantidade de identidades que um usuário pode ter. Dessa forma, é possível logar em aplicações como Windows, Office 365, e-mail, CRM e outras a partir do mesmo usuário.
-
Implemente um sistema de bloqueio de contas
Para evitar prejuízos e acessos indevidos em caso de possíveis problemas, uma medida preventiva importante é implementar o bloqueio de contas.
O recurso pode entrar em cena, por exemplo, se um cliente ou pessoa não autorizada tentar acessar o sistema da empresa com o login de um funcionário. O mesmo vale para as situações em que um dispositivo corporativo for roubado.
Na prática, diante de uma tentativa de acesso indevida, a entrada é imediatamente bloqueada para evitar a invasão de terceiros. Para aumentar a proteção, o bloqueio também deve ser ativado após um certo número de tentativas frustradas.
Com o uso desse tipo de ferramenta, a TI é notificada em caso de tentativas falhas e ocorrências de bloqueios, tornando-se apta a tomar as atitudes necessárias.
-
Cuidados extras de login
A equipe deve ser instruída a não marcar as opções de lembrete de senha ou de “continuar conectado”. Isso é especialmente importante para o uso de computadores de terceiros, uma vez que as senhas podem ficar armazenadas nesses dispositivos e serem resgatadas por outros usuários.
Outro cuidado é sempre realizar o “logout” do serviço ou sistema no momento de finalizar a sessão. Embora simples, essas medidas podem contribuir muito para aumentar a segurança de contas e aplicações empresariais.
-
Implemente a autenticação de dois fatores
Mesmo as melhores senhas têm limites. A autenticação multifator adiciona outra camada de proteção além do seu nome de usuário e senha.
A autenticação de dois fatores tornou-se um padrão para gerenciar o acesso aos recursos organizacionais. Além das credenciais tradicionais, como nome de usuário e senha, os usuários precisam confirmar sua identidade com um código único enviado ao dispositivo móvel ou usando um token USB personalizado.
A ideia é que, com a autenticação de dois fatores (ou multifatores), apenas adivinhar ou decifrar a senha não é suficiente para um invasor obter acesso.
-
Conscientize a equipe para uma gestão de senhas eficaz
O sucesso de todas as boas práticas acima depende desta medida crucial: o treinamento e a conscientização dos funcionários acerca da sua importância.
Esse trabalho, vale destacar, pode ser realizado tanto coletiva quanto individualmente, com o apoio de webinars, workshops ou palestras. O treinamento deve contemplar todos os riscos de cibersegurança envolvidos no uso de senhas e na relevância dos cuidados diários para manter a proteção das informações.
De forma didática, compartilhe todos os pontos da política de senhas da empresa com o time, enfatizando o papel da colaboração de todos para a criação de um ambiente corporativo seguro.
Conclusão
As falhas humanas e os deslizes de funcionários ainda são responsáveis por uma parcela impressionante dos riscos de cibersegurança e da ação criminosa nos negócios. Nesse cenário, a gestão de senhas se insere como uma etapa crucial a ser observada de perto pelos gestores – e deve incluir a política de segurança da informação global da organização.
E aí, gostou das nossas dicas? Esperamos que este conteúdo seja útil para implementar melhorias nas ações de proteção de dados da sua empresa. Até a próxima!