Sabrina - stock.adobe.com
Por que é hora de dizer adeus às senhas?
A data é celebrada anualmente na primeira quinta-feira de maio e, neste ano, marcará uma mudança de paradigma na segurança digital. Confira algumas dicas da Check Point Software no Dia Mundial da Senha.
Os especialistas da Check Point Software fazem coro com demais especialistas em segurança cibernética ao alertarem que a era das senhas está chegando ao fim. A dependência excessiva de senhas tornou-se um risco significativo para a segurança digital, exigindo uma transição para métodos de autenticação mais seguros e eficientes. Esta é a atual discussão levantada no Dia Mundial da Senha que, neste ano, será celebrado em 1º de maio (primeira quinta-feira de maio).
Problema com as senhas atuais
Dados recentes revelam a fragilidade das senhas como método de proteção. Segundo o relatório de investigações de Violação de Dados da Verizon (2024), 81% das violações ainda envolvem senhas fracas ou roubadas. Ataques de força bruta evoluíram, utilizando GPUs (Unidades de Processamento Gráfico) de alta velocidade capazes de testar milhões de combinações por segundo, tornando até mesmo as senhas mais complexas vulneráveis em questão de minutos.
O lado sombrio das senhas: uma economia do cibercrime
O mercado clandestino de credenciais roubadas é vasto e lucrativo. Estima-se que mais de 24,6 bilhões de combinações de nome de usuário e senha estejam circulando em mercados cibercriminosos. Grupos sofisticados, como Kimsuky (Coreia do Norte), MuddyWater (Irã) e APT28/29 (Rússia), utilizam malwares como Lumma e plataformas MaaS (Malware as a Service) para escalar o roubo de informações. Em 2024, 3,9 bilhões de credenciais foram comprometidas por infecções de malware em 4,3 milhões de dispositivos.
Até mesmo a autenticação por múltiplos fatores (MFA), embora crucial, está sendo desafiada por ferramentas como o EvilProxy que pode interceptar tokens MFA. Essa crescente “economia do crime cibernético” não é apenas uma ameaça técnica, é um ecossistema geopolítico e econômico, já que essas ameaças agora podem vir de qualquer lugar, graças às plataformas MaaS e Phishing-as-a-Service (PhaaS). Somando-se ao infostealer-as-a-service e aos kits de phishing de aluguel, esses ataques não se limitam mais a agentes estatais; eles estão disponíveis para qualquer pessoa com uma carteira bitcoin.
"A partir do acesso inicial, os atacantes podem quebrar a senha por meio de força bruta ou explorando alguma falha conhecida. Nesse contexto, mesmo que desafiada por ferramentas disponíveis no mercado, a autenticação MFA ainda pode contribuir para dificultar a invasão, pois exige uma etapa adicional de verificação além da senha em si", comenta Fernando de Falchi, gerente de Engenharia de Segurança da Check Point Software Brasil.
A ascensão da autenticação sem senha
Empresas líderes estão adotando métodos de autenticação sem senha. Microsoft, Google e Apple implementaram "passkeys" — chaves criptográficas vinculadas à biometria ou dispositivos. A Microsoft planeja eliminar senhas para mais de um bilhão de usuários, enquanto o Gartner prevê que 60% das empresas eliminarão senhas para a maioria dos casos de uso ainda em 2025.
Resistência comportamental: por que ainda nos apegamos às senhas?
Apesar dos avanços, muitos usuários ainda confiam em senhas por familiaridade. No entanto, essa confiança é ilusória. Senhas são facilmente desvendadas, esquecidas ou compartilhadas. Ataques de phishing, muitos gerados por inteligência artificial (IA), continuam a roubar credenciais em larga escala, mesmo com a presença de autenticação de dois fatores (2FA).
A evolução da IA torna a autenticação baseada em senhas obsoleta:
- Modelos de aprendizado profundo treinados em bilhões de senhas vazadas podem prever padrões comuns rapidamente.
- Ataques de falsificação de identidade usando voz e vídeo ou voz e vídeo usando deepfakes podem contornar até mesmo a autenticação de múltiplos fatores se baseada em camadas de identidade fracas.
- GPUs baseadas em nuvem democratizam o poder de quebrar senhas em escala, permitindo que grupos de ransomware comprometam sistemas rapidamente.
Por isso, o que as organizações devem fazer agora é:
- Implementar sistemas sem senha usando biometria, tokens ou passkeys.
- Utilizar ferramentas para prevenir reutilização de senhas e contra phishing.
- Aplicar soluções de Gerenciamento de Acesso Privilegiado (PAM) e arquiteturas de Confiança Zero.
- Educar equipes não apenas sobre senhas mais fortes, mas sobre a eliminação completa delas.
Estamos em um momento de discussão em que a abordagem não deve ser apenas sobre criar senhas mais fortes, mas sim sobre imaginar um futuro sem elas. As ferramentas existem, as ameaças exigem isso. Contudo, ainda falta a disposição para seguir em frente com isso.
