*Por Alex Weinert Vice-Presidente de Segurança de Identidade da Microsoft
É aquela época do ano de novo. O Dia Mundial da Senha é em 4 de maio de 2023.¹ Há uma razão pela qual ainda falamos sobre a data mesmo uma década após ela ter sido inventada por profissionais de cibersegurança. Um estudo recente analisou mais de 15 bilhões de senhas e descobriu que as 10 senhas mais comuns ainda são compostas por combinações fáceis de descobrir como “123456” ou “QWERTY”. 2 Com esse nível de segurança, muitas organizações estão, praticamente, deixando a porta aberta. Dividir sua senha de um serviço de streaming com amigos pode parecer algo inofensivo (embora seus contadores possam discordar disso), mas esse comportamento muitas vezes é aplicado também no ambiente de trabalho, onde senhas fracas ou compartilhadas por vários funcionários geralmente s etornam um dos maiores vetores de riscos para segurança enfrentados pelas empresas.
Em 2022, a Microsoft rastreou 1.287 ataques de senhas a cada segundo (mais de 111 milhões por dia). 3 O phishing é um método de ataque cada vez mais utilizado, com aumento de 61% entre 2021 e 2022. 4 E nossos dados de 2023 mostram que essa tendência continua. As senhas não podem fazer parte de uma estratégia de credenciais pensando no futuro. Por isso, você não precisa de senhas para contas da Microsoft — milhões de pessoas pararam de usar senhas completamente. 5º
Para uma segurança mais forte e simples, a autenticação sem senha da Microsoft pode ajudar sua organização a eliminar vulnerabilidades e, ao mesmo tempo, fornecer acesso simplificado para toda a empresa. Em homenagem ao Dia Mundial da Senha, este blog irá te ajudar a mostrar para sua organização que, como parte de uma estratégia Zero Trust, a autenticação moderna usando credenciais sem senha resistentes a phishing fornece a melhor segurança e um excelente retorno sobre o investimento (ROI).
Opte por credenciais sem senhas para ter simplicidade, segurança e economia
Se você já leu meu blog falando que nenhuma senha é uma boa senha, você já sabe o que eu penso sobre o tema. Citando o que escrevi: “Sua senha não é ruim. É definitivamente ruim, dada a probabilidade de que ela pode ter sido adivinhada, interceptada, pirateada ou reutilizada.” Como o diretor de segurança da informação da Microsoft, Bret Arsenault, gosta de dizer: “Os hackers não invadem, eles fazem login”.
As senhas por si só simplesmente não são proteção suficiente. A autenticação multifator antiga agrega mais um fator na hora do login para adicionar uma camada de proteção, mas o método mais comum de verificação — pelo telefone — também é o mais problemático (veja meu blog sobre como o sistema de telefone tradicional é uma opção ruim para autenticação multifator). Mesmo com métodos fortes, como usar o Microsoft Authenticator para aumentar a segurança, você ainda tem a vulnerabilidade da própria senha. A melhor senha é não usar senhas — e você pode começar a praticar isso hoje mesmo com o Windows Hello, chaves de segurança ou, meu favorito, o Microsoft Authenticator.
Gráfico 1: Os métodos de proteção de identidade não são iguais; certas proteções são muito mais seguras do que outras.
Em 2022, a Microsoft se comprometeu com o próximo passo de tornar as senhas uma coisa do passado, juntando-se à FIDO Alliance e outras grandes plataformas no suporte a chaves de acesso como um método comum de entrada sem senha. As chaves de acesso visam não apenas substituir senhas por algo mais criptograficamente correto, mas que também seja tão fácil e intuitivo de usar quanto uma senha. A tecnologia sem senha, como o Windows Hello, que se baseia nos padrões FIDO (Fast Identity Online), fortalece a segurança fazendo a verificação no dispositivo, em vez de passar as credenciais do usuário por uma conexão online (muitas vezes vulnerável). Ele também fornece uma experiência de usuário simplificada, o que pode ajudar a aumentar a produtividade também.
Esse foi o objetivo quando a Accenture, colaboradora de longa data da Microsoft, decidiu simplificar a experiência do usuário, removendo a exigência de autenticação de senha. Com 738.000 funcionários espalhados por 49 países, a empresa decidiu que era de seu interesse tornar seu gerenciamento de identidade e acesso (IAM) automatizado e fácil. A Accenture escolheu o aplicativo Microsoft Authenticator, o Windows Hello for Business e as chaves de segurança FIDO2 como suas soluções de autenticação sem senha. Conforme descrito em seu estudo de caso, os resultados já estão sendo sentidos: “A adoção do passwordless levou logins mais rápidos, experiência mais confiável, menos autenticações com falha e melhor postura de segurança no geral”.
Se você faz parte de uma organização global como a Accenture ou de uma pequena startup, a política de métodos de autenticação no Microsoft Azure Active Directory (Azure AD) — agora parte do Microsoft Entra — permite que sua equipe do IAM gerencie facilmente a autenticação sem senha para todos os usuários a partir de um único painel. Melhor ainda, um estudo recente da Forrester Consulting descobriu que uma organização fictícia composta por diversos clientes entrevistados protegendo seus aplicativos de negócios com o Azure AD se beneficiou de um ROI de 240% emtrês anos (um valor presente líquido de US$8,5 milhões em três anos), enquanto reduziu o número de solicitações de redefinição de senha para sua central de suporte em 75% por ano.
A autenticação multifator não pode fazer tudo
Um relatório de 2021 do Ponemon Institute descobriu que os ataques de phishing estavam custando uma média de US$ 14,8 milhões anuais para grandes empresas sediadas nos Estados Unidos. 8 Isso é muito acima do valor de 2015, de US$ 3,8 milhões. Só a Microsoft bloqueou 70 bilhões de ataques de e-mail e identidade em 2022. Mas, do lado positivo, a autenticação multifator demonstrou reduzir o risco de comprometimento em 99,9% para ataques de identidade. 9 Essa é uma estatística bastante estelar, mas não é à prova de balas, especialmente quando se considera que o SMS é 40% menos eficaz do que métodos de autenticação mais fortes. 10 Os crimonosos estão sempre aprendendo e improvisando, como mostrado no aumento dos ataques de fadiga de autenticação multifator. Neste tipo de ataque cibernético:
1. O agente invasor usa credenciais comprometidas (geralmente obtidas por meio de um ataque de phishing) para iniciar uma tentativa de acesso à conta de um usuário.
2. A tentativa dispara uma notificação por push de autenticação multifator para o dispositivo do usuário, como “Você acabou de tentar entrar? Sim ou não.”
3. Se a pessoa visada não aceitar, o invasor continua nela — inundando o alvo com prompts repetidos.
4. A vítima fica tão sobrecarregada ou distraída que finalmente clica em “sim”. Às vezes, o invasor também usa engenharia social, entrando em contato com o alvo por e-mail, mensagens ou telefone fingindo ser um membro da equipe de TI.
Um ataque de fadiga de autenticação multifator amplamente divulgado aconteceu em setembro de 2022, quando um hacker de 18 anos usou as credenciais comprometidas de um contratante para obter acesso às redes internas de uma grande empresa de caronas. Uma vez lá dentro, ele pôde acessar tokens para a infraestrutura de nuvem da empresa e o serviço crítico do IAM. Nossa pesquisa estava à frente desse tipo de ataque em 2021, quando construímos defesas de autenticação multifator no aplicativo Authenticator, incluindo correspondência de números e contexto adicional. Para saber mais, não deixe de ler minha postagem no blog: Defenda seus usuários de ataques de fadiga de autenticação multifator.
Toda a proteção de identidade repousa no Zero Trust
Zero Trust é apenas mais uma maneira de descrever a segurança proativa. Ou seja, são as medidas que você deve tomar antes que coisas ruins aconteçam, e se baseia em um princípio simples: “Nunca confie; sempre verifique.” No atual local de trabalho descentralizado, BYOD (bring your own device, em inglês, traga seu próprio dispositivo), híbrido e remoto, o Zero Trust fornece uma base sólida para a segurança baseada em três pilares:
- Verificar explicitamente: autentique todos os usuários com base em todos os pontos de dados disponíveis — identidade, localização, integridade do dispositivo, serviço ou carga de trabalho, classificação de dados e anomalias.
- Usar acesso com privilégios mínimos: Isso significa limitar o acesso de acordo com a função e a tarefa específicas do usuário. Você também deve aplicar políticas baseadas em risco e proteção adaptável para ajudar a proteger seus dados sem prejudicar a produtividade.
- Suponha violação: Isso permite que sua equipe de segurança minimize os riscos de exposição e impeça o movimento lateral se ocorrer uma violação. Manter a criptografia de ponta a ponta e usar análises também fortalecerá a detecção de ameaças e melhorará suas defesas.
E quando se trata de “verificar explicitamente” como parte do Zero Trust, nenhum investimento no campo das credenciais é melhor do que uma jornada sem senha; Ele literalmente move as traves do gol nos atacantes.
Segurança durante todo o ano
Na Microsoft Security, acreditamos que segurança é sobre pessoas. Capacitar os usuários com acesso forte e simplificado de qualquer lugar, a qualquer hora, em qualquer dispositivo é parte dessa missão. Saiba mais sobre a autenticação sem senha da Microsoft e como ela pode ajudar sua organização a eliminar vulnerabilidades e, ao mesmo tempo, fornecer acesso rápido e seguro em toda a empresa.
Para saber mais sobre as soluções de segurança da Microsoft, visite nosso site. Marque o blog de segurança para acompanhar nossa cobertura especializada em assuntos de segurança. Além disso, siga-nos no LinkedIn (Segurança da Microsoft) e Twitter (@MSFTSecurity) para as últimas notícias e atualizações sobre segurança cibernética.
