fbpx

Melhores práticas para segurança de senhas de TI

É seguro dizer: a TI tem um problema de senha.

O Gartner relata que até 50% das chamadas ao suporte técnico são apenas redefinições de senha. Enquanto isso, senhas inseguras estão levando a mais violações de alto perfil do que nunca. A proteção e o gerenciamento de senhas são algo com o qual estamos muito sintonizados aqui no JumpCloud, onde a segurança por meio de nossa plataforma de diretório em nuvem é o nosso pão com manteiga. E, felizmente, existem hoje algumas ferramentas incríveis que podem tornar o gerenciamento de senhas muito mais fácil e seguro.

O gerenciamento de senhas possui alguns componentes. O primeiro passo é contextualizar a amplitude e profundidade do problema. Em seguida, trata-se de implementar as melhores práticas de proteção por senha para proteger os recursos organizacionais sem interferir na experiência do usuário dos funcionários. Neste artigo, veremos erros comuns de senha, as práticas recomendadas para combatê-los e como simplificar a complexidade do gerenciamento. 

Erros comuns de senha 

Simplificando, os cibercriminosos evoluíram para serem mais inteligentes na forma como adquirem credenciais de usuário, mas nossos ambientes de negócios não evoluíram para se defenderem adequadamente contra eles. De acordo com o Relatório de Senhas Fracas de 2023 da Specops , 41% dos americanos dependem apenas da memória para

rastrear suas senhas. E você não pode deixar que os usuários protejam suas próprias credenciais. A maioria dos funcionários reutiliza senhas de trabalho e de casa e as torna deliberadamente fáceis de lembrar – o que também significa que são fáceis de adivinhar. 

Usando senhas comuns 

Credenciais de senha comuns costumam ser as primeiras tentativas de malfeitores durante ataques de força bruta. Eles encontrarão essas listas de senhas em despejos de senhas violadas e as inserirão sistematicamente até que uma funcione. 

De acordo com a Cybernews , as 10 senhas mais comuns vazadas em 2023 foram:

  1. 123456
  2. 123456789
  3. qwerty
  4. senha
  5. 12345
  6. qwerty123
  7. 1q2w3e
  8. 12345678
  9. 111111
  10. 1234567890

Essas senhas não são apenas fáceis de adivinhar; a maioria deles também é muito curta e tem pouquíssima complexidade, sem caracteres especiais. Muitos deles nem sequer possuem uma mistura de letras e números, e nenhum deles é personalizado para o usuário. 

Usando senhas excessivamente simples 

Você não pode simplesmente optar por uma senha que não seja preguiçosa e óbvia. Você também deve adicionar camadas de complexidade com uma combinação de letras, números e caracteres especiais de cadeia longa. Pode parecer de conhecimento geral que usar mais de oito caracteres em uma senha foi suficiente para deter a maioria dos cibercriminosos, mas isso nem sempre é colocado em prática. Na verdade, 88% dos ataques de força bruta a senhas em 2023 usaram senhas com 12 caracteres ou menos, e quase um quarto desses ataques usaram senhas com apenas 8 caracteres.  

Reutilizando senhas em vários aplicativos 

Sem um gerenciador de senhas para armazenar com segurança as credenciais de login, muitos usuários recorrem à reutilização de senhas, simplesmente para que possam lembrá-las. De acordo com a Pesquisa de Segurança Online do Google , 52% dos usuários reutilizam as mesmas senhas para várias contas e 13% usam a mesma senha para todas as suas contas. 

Usar a mesma senha repetidamente amplia significativamente a superfície de ataque. O comprometimento de apenas um recurso – mesmo algo tão inócuo como uma mídia social ou login em uma conta de varejo – também pode levar ao comprometimento dos recursos da empresa. 

Melhores práticas de gerenciamento de senhas 

Os problemas de gerenciamento de senhas podem ser generalizados, mas isso não significa que sua organização esteja destinada a se tornar a próxima vítima de um ataque cibernético. A seguir, apresentaremos algumas práticas recomendadas a serem implementadas para proteger melhor as senhas dos seus usuários. 

Crie uma política de senha – e aplique-a.

Projete uma política de senha detalhada que todos os funcionários e identidades de usuários devem seguir para obter acesso aos recursos da empresa. Uma plataforma moderna de diretório em nuvem como o JumpCloud facilita isso criando políticas de exigência de senha com base em suas especificações. Aqui estão alguns exemplos do que deve ser incluído em sua política. 

Requisitos de comprimento/complexidade 

  • Especifique um comprimento necessário: No mundo das senhas, o tamanho conta . Oito caracteres não são mais suficientes e, com base nos recursos de Specops, 12 caracteres também estão rapidamente se tornando muito simplificados. Recomendamos mais de 18 caracteres em uma senha. 
  • Exigir um intervalo de caracteres: Faça com que cada senha exija uma mistura de letras minúsculas, maiúsculas, números e caracteres especiais. 
  • Não permita palavras: é muito mais fácil adivinhar uma senha se ela incluir seu nome, o nome do seu filho, o nome do seu animal de estimação ou uma frase comum. Elimine esse risco não permitindo palavras reconhecíveis em suas senhas. Em vez disso, incentive os funcionários a criar sequências de acrônimos para criar senhas difíceis de decifrar, mas fáceis de lembrar. Por exemplo, se você quiser usar a letra da música “Para aqueles que estão prestes a arrasar, nós saudamos você”, inclua-a em sua senha usando “ftatrwsy”. Se você puder adicionar uma frase com números, isso pode ser “bom demais para ser verdade” (2g2bt).
  • Não permita a reutilização: certifique-se de que seu sistema de configuração de senha possa identificar se uma senha foi usada anteriormente no site e não permita que os funcionários reutilizem essas credenciais antigas. 

Exigir senhas em dispositivos e aplicativos

Independentemente de ser um laptop da empresa, o e-mail de um funcionário em um dispositivo pessoal, um iPad ou até mesmo um celular BYOD, se um dispositivo estiver configurado para se conectar aos recursos da empresa, ele deverá ser protegido com uma senha complexa. 

Algumas organizações ainda estão preocupadas com a amplitude dos requisitos de senha. Eles permitem o BYOD sem criar uma política em torno dele ou obter controle dos dispositivos. Não negligencie a necessidade de senhas em redes, roteadores, dispositivos móveis e em todos os aplicativos em uso. Você não quer que o próximo celular perdido leve à próxima grande violação.

Observação: confira nosso guia com algumas das melhores práticas em BYOD .

Não use a mesma senha para várias contas

O que acontece quando um CEO usa a mesma senha para acessar uma rede comercial confidencial que usa para suas páginas de mídia social? Basta perguntar aos 6,5 milhões de usuários que foram hackeados no LinkedInIsso “nunca vai acontecer com você”… até que aconteça. Seja inteligente e nunca misture credenciais comerciais e pessoais. A rotação automática de senha pode impor isso em toda a empresa.

Implementar rotação regular de senha

Use um gerenciador de senhas para exigir a alteração regular de senhas. A rotação obrigatória de senhas é essencial para ficar um passo à frente de possíveis hackers.

Alguns sistemas exigem rotação, mas permitem que o usuário alterne entre duas senhas. Em última análise, isso subverte o objetivo da rotação de senhas. A plataforma JumpCloud detecta esse problema e permite que os administradores eliminem senhas anteriores como opção. Isso permite que a TI defina uma série de senhas anteriores que um usuário não pode usar durante a rotação.

Exigir autenticação multifator

Está começando a perceber que uma senha por si só não é suficiente para proteger sua rede e seus recursos? Você tem razão. Nos dias de hoje, mesmo as senhas mais complexas não são infalíveis. 

Para obter o máximo de segurança, combine suas políticas de senha detalhadas com autenticação multifator (MFA) . A MFA combina algo que um usuário conhece (normalmente, o nome de usuário e a senha tradicionais) com algo que ele possui (como uma verificação biométrica ou uma notificação push ou chave enviada para um telefone privado). Quando combinado com uma senha forte, o MFA torna muito, muito mais difícil para a pessoa errada acessar os recursos do seu negócio.  

Eduque sua equipe sobre engenharia social e ataques de “phishing”

É muito mais provável que sua equipe cumpra as políticas da empresa se entender por que elas são necessárias. Depois de compartilhar a política, você deve reforçar as regras fornecendo contexto sobre por que ela é tão importante. 

Dê ao seu tema treinamento sobre as formas mais comuns de ataque cibernético, como engenharia social e phishing . Esses métodos de hacking são habilmente disfarçados e exigem que a vítima seja um participante disposto a desfazer sua segurança. 

A regra básica é esta: sempre que você seguir um link que solicite credenciais de login (ou qualquer outra informação pessoal), você deve estar extremamente vigilante. Se não tiver certeza se a solicitação de informações é legítima, você pode digitar o URL conhecido do site em seu navegador para ter certeza de que não está no site de um impostor cuidadosamente disfarçado. 

Reduzindo a complexidade da política de senha 

Você está se sentindo sobrecarregado neste momento, imaginando como deveria gerenciar tantos requisitos e alterações de senha para tantos usuários? Não tema. Nossas modernas soluções de segurança em nuvem oferecem muitas oportunidades para automatizar esses processos, liberando seus administradores de TI para tarefas mais complexas. 

Use um gerenciador de senhas

Senhas fracas, compartilhadas ou comprometidas desempenham um papel na maioria das violações de dados. Quando os usuários finais podem criar e armazenar facilmente senhas complexas, eles desempenham um papel ativo na proteção de sua organização contra atores mal-intencionados. Os gerenciadores de senhas permitem que os usuários criem senhas verdadeiramente complexas e indecifráveis, ao mesmo tempo que reduzem o tempo de inatividade por não se lembrarem delas. É a solução perfeita. 

Implementar SSO e MFA 

As soluções modernas em nuvem permitem que você implemente facilmente modelos de logon único e autenticação multifator para verificar os usuários antes de permitir que eles acessem os recursos da empresa. 

O logon único permite que os usuários façam login uma vez para acessar todos os seus recursos de TI; eles não precisam digitar seu nome de usuário e senha repetidamente ou usar vários pares distintos de nome de usuário e senha para obter acesso a tudo o que precisam para ter sucesso no trabalho. Hoje, o SSO é frequentemente implementado como parte de uma solução maior de gerenciamento de acesso de identidade (IAM), como um serviço de diretório, em vez de um complemento separado, o que dá aos administradores de TI mais controle e visibilidade sobre o que os usuários têm acesso. As soluções SSO que se enquadram nesse molde fornecem aos usuários acesso a praticamente todos os seus recursos de TI (redes, dispositivos, aplicativos, servidores de arquivos e muito mais) por meio de um único login.

A autenticação multifator também pode ser ativada com o clique de um botão ao usar soluções como JumpCloud. Você pode criar políticas de acesso condicional que façam com que os usuários usem um segundo fator para verificar suas identidades o tempo todo ou apenas ao fazer login em um dispositivo não confiável, por exemplo. De acordo com a Microsoft, a ativação do MFA impedirá 99,9% dos ataques cibernéticos. 

Atualize para uma plataforma Cloud Directory como JumpCloud 

Embora gerenciadores de senhas, SSO e MFA possam certamente ser adquiridos aos poucos, de longe a solução mais fácil e abrangente é centralizar seu gerenciamento de TI em torno de uma plataforma de diretório em nuvem como o JumpCloud . JumpCloud fornece um painel único e contínuo para gerenciar todas as senhas e identidades de usuários e implementar rapidamente em lote as mais recentes políticas de segurança. JumpCloud oferece gerenciamento de senhas , SSO para todos os aplicativos , recursos de MFA – e muito mais. 

Se você está pronto para experimentar a melhor plataforma de diretório aberto da categoria para todas as suas necessidades de IDaaS, JumpCloud é a sua solução. Comece seu teste gratuito hoje.

cta 2