
Dúvidas sobre o PCI-DSS? A importância de senha forte e configuração adequada como parâmetro de Segurança – Requerimento 2
Em junho de 2016, Mark Zuckerberg, um dos fundadores do Facebook, teve suas contas do Twitter e Pinterest hackeadas. O curioso é que mesmo ele sendo um executivo bem-instruído, usava uma senha fraca.
Verdade seja dita, Zuckerberg não é exceção. Pelo contrário, ele pertence a um enorme grupo de usuários que, mesmo conhecendo o mundo da tecnologia e sendo ciente dos riscos, negligenciou o uso de senhas fortes ou configurações não padronizadas. Essa má prática é tão comum e crítica que até mesmo o PCI possui um requerimento específico sobre o tema.
A configuração adequada de certas informações, como endereços de IP e portas padrões, continuam sendo os pontos mais deixados de lado pelas companhias, junto com os protocolos de monitoramento (SNMP). Ajustes de redes wireless também estão longe do ideal. Por isso o documento reforça a importância de se atentar a esses detalhes.
O uso de senhas fracas e configurações padrões ainda é considerado uma das principais causas de vulnerabilidades nas organizações atualmente, independente do porte e segmento da organização. Uma vez descoberto, o acesso a dispositivos fica exposto a hackers e usuários mal-intencionados. Um agravante nesse cenário é que certos recursos raramente possuem updates de Firmware disponibilizados pelos fabricantes e, quando essas atualizações são lançadas, poucos usuários se preocupam em atualizá-lo.
Causas e consequências
Esse tipo de comportamento geralmente é atribuído a uma combinação de fatores. O primeiro deles é que muitas empresas crescem de forma desorganizada, tendo um time de TI júnior com pouco conhecimento do dia a dia de um ambiente estruturado. Quando esse espaço tecnológico cresce, nem sempre há investimento em número e qualificação dos colaboradores, deixando a Segurança em segundo ou terceiro plano. E quando tudo se torna estável, as mudanças ficam mais complexas e as equipes não possuem mão de obra suficiente para implementar as melhorias necessárias.
Muitas empresas também possuem uma estrutura de gerenciamento de senhas descentralizada, ficando à cargo das áreas de negócio fazer o controle dos acessos aos sistemas internos. Poucos lugares têm uma Política de Gestão de Acessos definida com processos formais para solicitação de acesso, níveis independentes de aprovação, revisão de perfis, etc. E quando esse trabalho é deixado para depois, o resultado não poderia ser diferente: caixa eletrônico canadense hackeado por senha padrão, um mesmo código padrão usado há 25 anos no produto de uma companhia, ataques DDoS que se espalham por incontáveis dispositivos vulneráveis graças ao uso de logins e senhas vindos de fábrica, entre outros.
O que fazer?
Para quem precisa entrar em conformidade com o PCI, a AuditSafe instrui de várias maneiras as empresas a desenvolverem senhas mais fortes e configurar adequadamente seus produtos, seja através da criação de baselines de segurança, hardening de equipamentos, realização de políticas de gestão de acesso, desenvolvimento de matrizes de segregação de função ou projetos de revisão de perfis. Sempre que possível, também é indicada a utilização de um Cofre de Senhas, usado especialmente para a gestão de acessos privilegiados nos ativos.
Para usuários, a recomendação é utilizar um programa gerenciador de senhas que auxilia na criação de códigos mais complexos, fazendo com que a pessoa possa ter senhas longas e difíceis de serem descobertas, sem ter que confiar em sua própria memória.
Outra sugestão é adotar uma passphrase, ou seja, uma frase como chave ao invés de uma única palavra, como por exemplo: “Minha senha de Redes Sociais!”. Além disso, uma mesma senha não deve ser utilizada em mais de um site/sistema/serviço para evitar que o comprometimento de um afete os demais, como feito por Mark Zuckerberg.
Ainda tem dúvidas? Entre em contato conosco.