Como fortalecer senhas na nova era de ataques?

Como todos os anos, a primeira quinta-feira de maio marca o Dia Mundial da Senha. Como mecanismo de segurança e verificação de identidade, as senhas são utilizadas por milhões de usuários em todo o mundo, porém, apesar das campanhas de conscientização e notícias sobre violações de segurança cibernética ao redor do mundo, persistem más práticas em relação à criação e gerenciamento de senhas.

Em 2019, o Centro Nacional de Segurança Cibernética do Reino Unido revelou que 23 milhões de pessoas em todo o mundo continuam usando senhas inseguras como "123456", mostrando que muitos usuários ainda desconhecem os perigos potenciais. Outros estudos mais recentes, focados na América Latina, indicam que esse cenário não mudou muito.

De acordo com o último relatório da Hive Systems, que compartilhou os tempos aproximados em que as senhas podem ser quebradas por cibercriminosos, eles variam de esforço mínimo e tempos quase instantâneos para as senhas mais inseguras, até 438 trilhões de anos para as chaves mais fortes. Mas em apenas um ano, os possíveis tempos de vulnerabilidade foram reduzidos em até 90%, e espera-se que, com a entrada de novos agentes como serviços em nuvem ou inteligência artificial, eles possam ser reduzidos ainda mais nos próximos anos.

Entre os avanços tecnológicos que estão oferecendo ferramentas aos atacantes está a aceleração no processamento de dados. A Check Point Software Technologies explica que os ataques de força bruta de senhas estão mudando das unidades centrais de processamento (CPUs) para aproveitar os recursos das unidades de processamento gráfico (GPUs), permitindo que verifiquem mais de um milhão de senhas por segundo.

Por que migrar da CPU para uma GPU? Segundo a Intel, uma CPU – comumente conhecida como o cérebro do computador – pode ter vários núcleos de processamento, executar os comandos e processos necessários ao computador e ao sistema operacional e determinar a velocidade com que os programas podem ser executados. Por sua vez, a GPU é um processador composto de muitos núcleos menores e especializados que oferecem desempenho massivo quando uma tarefa de processamento pode ser dividida.

Embora as GPUs tenham sido desenvolvidas para acelerar tarefas específicas de renderização 3D, com o tempo elas se tornaram mais programáveis ​​e flexíveis e se tornaram processadores paralelos de uso geral, lidando com uma gama cada vez maior de aplicativos. “Hoje, as GPUs executam um número crescente de cargas de trabalho, como aprendizado profundo e inteligência artificial (IA). Uma GPU ou outros aceleradores são ideais para treinamento de aprendizado profundo com camadas de rede neural ou em conjuntos massivos de determinados dados, como imagens 2D.

Não é de surpreender que, ao lidar com dados mais confidenciais em velocidades mais altas, as GPUs estejam se tornando o foco dos invasores.

De acordo com a Check Point Software, o advento de novas placas gráficas com memória virtual (VRAM) abriu as portas para que esses dispositivos de hardware processassem dados em alta velocidade, da mesma forma que é usada na mineração de criptomoedas. No entanto, “eles também podem ser usados ​​em ataques cibernéticos de força bruta para obter senhas, com modelos mais recentes capazes de realizar mais de um milhão de verificações em apenas um segundo, muito mais rápido do que anteriormente alcançado com mainframes.” (CPU). Isso significa que se tivermos uma senha com menos de 12 caracteres baseada exclusivamente no uso de letras e números, ela poderá ser comprometida em poucos dias”, alerta a Check Point.

Perante este cenário de risco, e no âmbito do Dia Mundial da Senha, a Check Point Software Technologies aconselha a dar mais atenção às palavras-passe, uma vez que são uma das principais barreiras contra os cibercriminosos. E o que uma senha deve incluir para ser segura e forte?

Aqui estão seis chaves de acordo com o Check Point Software:

Quanto mais longo e variado, melhor: deve ter pelo menos 14 a 16 caracteres e consistir em letras diferentes, letras maiúsculas e minúsculas, símbolos e números. No entanto, observou-se que aumentar a senha para até 18 caracteres combinados pode criar uma chave completamente inquebrável. Essa crença é baseada no número de tentativas que a prática de força bruta exige, onde o número total de combinações é igual ao número de caracteres multiplicado por seu comprimento.

Fácil de lembrar, difícil de adivinhar: Deve ser uma combinação que só o usuário conheça, por isso é recomendável não usar dados pessoais como aniversários ou aniversários, ou nomes de familiares, pois podem ser mais fáceis de descobrir. Uma maneira fácil de criar senhas que qualquer um possa lembrar é usar frases completas, seja com cenários comuns ou absurdos, com exemplos como 'meryhadalittlelamb', ou seu equivalente ainda mais seguro com diferentes caracteres '#M3ryHad@L1ttleL4m8'.

Única e irrepetível: crie uma nova senha sempre que acessar um serviço e evite usar a mesma senha para diferentes plataformas e aplicativos. Isso garante que, caso uma senha seja comprometida, os danos serão mínimos e mais fáceis e rápidos de reparar. De acordo com uma pesquisa do Google, pelo menos 65% dos entrevistados reutilizam suas senhas em várias contas e serviços da web, aumentando as chances de várias plataformas ou aplicativos serem comprometidos.

Sempre privado: uma premissa que pode parecer básica, mas é importante lembrar. Uma senha não deve ser compartilhada com ninguém e é especialmente recomendável não anotá-la perto do computador ou mesmo em um arquivo nele. Para essa tarefa, você pode usar ferramentas como gerenciadores de senhas, que fazem o mesmo trabalho, mas de forma mais segura.

A segurança real está a apenas 'dois passos' de distância: além de ter uma senha forte e segura, o uso da autenticação de dois fatores (2FA) é um grande aprimoramento de segurança. Dessa forma, toda vez que um invasor ou uma pessoa não autorizada quiser acessar a conta de outra pessoa, o titular da conta receberá uma notificação em seu celular para conceder ou negar o acesso.

Troque-la periodicamente: às vezes, mesmo depois de seguir todas essas práticas, ocorrem incidentes fora do nosso controle, como vazamentos no banco de dados da empresa. Portanto, é aconselhável verificar periodicamente se um e-mail foi vítima de uma vulnerabilidade de terceiros, bem como tentar rastrear as contas que podem ter sido comprometidas. Para isso, existem ferramentas disponíveis publicamente, como o site Have I Been Pwned, que tenta coletar informações básicas sobre esses vazamentos para oferecer suporte e ajuda aos usuários. Da mesma forma, mesmo que não tenham sido violados, é sempre recomendado.