Apesar da evolução tecnológica, a segurança das passwords continua a ocupar um papel central na segurança da informação das empresas.
Por isso, a sensibilização dos colaboradores para a importância de adotarem boas práticas na gestão das suas credenciais continua a ser fundamental para a proteção de dados, sistemas e softwares empresariais.
No entanto, verifica-se frequentemente que a promoção de uma cultura de segurança informática por si só não é suficiente. Não garante que a informação das empresas está segura. Razão pela qual, ir mais longe e adotar uma solução de autenticação multi-fator é cada vez mais o caminho recomendado. Só assim consegue dar resposta aos desafios da segurança da informação em contexto empresarial.
A este propósito, os dados da edição de 2019 do Data Breach Investigations Report da Verizon (DBIR) não deixam grande margem para dúvidas. Apesar de o tipo de ataque e de as ameaças às empresas evoluírem de ano para ano, há um elemento que se mantém:
as passwords fracas e partilhadas continuam a ser um dos principais fatores de sucesso dos ataques informáticos.
Aliás, de acordo com o relatório, 80% dos ataques registados tiveram origem no roubo de credenciais de acesso.
Passwords geridas de forma segura
Assim, para garantir a segurança no acesso à informação da sua empresa, recomendamos que atue em ambas as frentes:
- Por um lado, mantenha os esforços para sensibilizar os colaboradores acerca da importância do seu papel na prevenção de possíveis ataques informáticos.
- Simultaneamente, crie regras no sistema que impeçam os principais problemas associados à incorreta gestão de passwords.
- Crie políticas de passwords seguras na empresa e eduque os utilizadores.
- Por outro, faça uso da tecnologia e avalie a possibilidade de implementação de uma solução de autenticação multi-fator. Muitos empresários ainda pensam que este tipo de solução se destina apenas a grandes empresas. Mas atualmente isso já não é verdade.
Dez boas práticas para passwords seguras na sua empresa
Relativamente à primeira linha de defesa, recomendamos que assuma algumas regras simples. Estas podem parecer até óbvias, mas muitas vezes não são seguidas:
- Todas as passwords criadas devem ser fortes: longas, complexas e incluir letras, números e caracteres especiais,
- As palavras-passe usadas para acesso aos sistemas e software da empresa não devem ser partilhadas. Nem entre sistemas nem serem similares às usadas em contas pessoais,
- As passwords não devem ser escritas ou guardadas fisicamente no escritório,
- As palavras-passe nunca devem ser partilhadas, mesmo entre colegas ou chefias,
- As passwords não devem ser reveladas ou enviadas eletronicamente,
- A opção “lembrar password” em sites e aplicações deve ser evitada,
- As passwords dos utilizadores devem ser alteradas a cada 30 dias, sem possibilidade de utilização das últimas três palavras-passe,
- Sempre que possível, devem ser utilizados geradores de passwords seguras de modo a prevenir o uso de palavras-passe simples e facilmente descobertas,
- Todas as passwords de instalação criadas por default devem ser imediatamente modificadas após instalação,
- As passwords não devem ser guardadas em formato desencriptado. Além disso os IDs de utilizadores e passwords não devem ser indicados em scripts que permitam login automático.
Mas será que a educação e sensibilização são suficientes para evitar ataques?
De acordo com um estudo realizado em 2018 pela Watchguard e que inquiriu 650 proprietários e gestores de TI de empresas americanas, inglesas e australianas com menos de 1000 funcionários, a resposta é negativa, e dessa forma são necessárias medidas adicionais para garantir a segurança da informação.
Segundo os dados recolhidos, embora a maioria das empresas ofereça formação e tenha estabelecidas políticas de passwords, 47% dos gestores de TI ouvidos acredita que os funcionários usam palavras-passe fracas, 31% pensa que usam passwords de rede para aplicações pessoais e vice-versa e 30% acredita que partilham as suas credenciais.
Face a este cenário, a implementação de uma solução de autenticação multi-fator apresenta uma dupla vantagem:
- é conveniente para os colaboradores, que muitas vezes se desleixam porque estão cansados de ter de gerir dezenas de credenciais de acesso,
- e assegura o controlo e segurança da informação às equipas de TI.
Preocupado com a segurança da sua informação?
O que é e como funciona a autenticação multi-fator
A autenticação multi-fator adiciona uma segunda camada de segurança ao processo de log-in. Ou seja, depois de inserir o nome de utilizador e password de acesso a um determinado sistema ou aplicação, o utilizador terá, por exemplo, de inserir um código enviado por mensagem push para o seu telefone.
O objetivo é juntar, pelo menos, um elemento que o utilizador sabe (nome de utilizador e palavra-passe) com um outro que tenha consigo, como o telemóvel. Dessa forma dificulta o acesso de hackers à informação e sistemas da empresa.
Durante muito tempo este tipo de solução foi usado sobretudo por empresas de grande dimensão. Isto dados os custos e a complexidade de gestão. No entanto, atualmente, soluções como o AuthPoint da Watchguard (comercializado pela Compuworks) tornaram esta opção acessível às PME.
AuthPoint: recursos avançados de segurança
O AuthPoint é um serviço baseado na cloud. Permite, entre outras funcionalidades, a autenticação dos utilizadores através de uma aplicação móvel. É fácil de instalar e gerir.
Esta solução não exige hardware dispendioso e integra de forma simples com aplicações externas (Salesforce, Google e Amazon, entre outras).
Depois de instalada a aplicação, o utilizador poderá autenticar-se através de uma notificação push enviada para o seu telemóvel. Recebe uma password de utilização única ou de um QR code para validação da identidade offline. Cumprido este passo e confirmada a sua identidade é dado acesso ao sistema ou aplicação. Nesta pequena demonstração é possível verificar como funciona a autenticação através do AuthPoint.
Logo, ao optar por uma solução MFA tem maiores garantias de que a informação do seu negócio está segura. Não depende apenas da correta gestão das passwords por parte dos colaboradores.
Para saber mais sobre como este produto pode ajudá-lo a proteger a sua empresa entre em contacto connosco. A Compuworks é parceiro Gold da Watchguard e podemos ajudá-lo a encontrar a melhor solução para si.
