O fornecedor de soluções de gestão de senhas e autenticação de utilizadores Specops Software anunciou o lançamento do seu relatório anual Weak Password Report que analisou mais de 800 milhões de senhas quebradas e sugere que as senhas continuam a ser um ponto fraco na rede de uma organização.
Ironicamente, o estudo revelou que 83% das palavras-passe comprometidas satisfizeram tanto os requisitos de cumprimento como os de complexidade das normas de conformidade de cibersegurança, tais como NIST, PCI, ICO para GDPR, HITRUST para HIPAA e Cyber Essentials para NCSC.
“Isto mostra que enquanto as organizações estão a fazer esforços consertados para seguir as melhores práticas e padrões industriais, é necessário fazer mais para garantir que as senhas sejam fortes e únicas”, disse Darren James, Gestor de Produto da Specops Software. “Com a sofisticação dos modernos ataques de palavras-passe, são sempre necessárias medidas de segurança adicionais para proteger o acesso a dados sensíveis”.
Além disso, os ataques por força bruta são uma tática comum utilizada por cibercriminosos para obter acesso à rede de uma organização para roubar dados sensíveis. Os agentes de ameaça utilizarão palavras-passe comuns, prováveis, e até violadas, para as executar sistematicamente contra o correio eletrónico de um utilizador para obter acesso a uma determinada conta. Por exemplo, os investigadores do Specops também notaram a inclusão de ‘homelesspa’ – um termo de senha encontrado em 2016 MySpace data leak, provando que os termos de senha ‘antigos’, violados, ainda estão a ser aproveitados por hackers muitos anos mais tarde. Esta é uma razão fundamental pela qual as organizações precisam de uma forte aplicação da política de palavras-passe.
A investigação foi amplamente compilada através da análise de 800 milhões de palavras-passe violadas, um subconjunto dos 3 mil milhões de palavras-passe únicas na Specops Breached Password Protection.
Melhores Práticas de Proteção por Senha
Três medidas-chave de aplicação recomendadas por Specops são:
- Para a maioria das empresas, isto começa com a proteção do Active Directory, a solução de autenticação universal para redes de domínio Windows.
- As configurações padrão da política de senha no Active Directory não vão suficientemente longe. O software de segurança com palavra-passe de terceiros pode reforçar as contas do Active Directory.
- Procure uma solução que possa bloquear a utilização de palavras-passe comprometidas e termos normalmente utilizados com dicionários personalizados.