Não importa o tamanho de sua senha, ela será hackeada.

quinta-feira, 30 de junho de 2016


Nas últimas semanas tivemos mais um grande vazamento de senhas de uma importante rede social, no qual 167 milhões de credenciais foram expostas na internet. Assim como a maior rede de relacionamentos profissionais outros serviços famosos já sofreram com o mesmo problema.

Muitos usuários ao saberem que sua credencial foi comprometida, correram para alterá-la e muitos tiveram que trocar a senha em diversos outros serviços, como por exemplo a do webmail corporativo, pois era a mesma senha utilizada.

Quem nunca cadastrou a mesma senha em vários sites? Ou que adotou um padrão/método de criação, mudando apenas um número ou palavra na combinação escolhida?

Recentemente um grande profissional de tecnologia e CEO da maior rede social do mundo virou notícia após ter sua senha divulgada e que a utilizava em diversos sites, além de não seguir as melhores práticas de criação de passwords.

Adotar o uso de senhas longas e complexas com diferentes tipos de caracteres e não re-utiliza-las para diferentes serviços, será que isso irá mesmo proteger nossas credenciais?

Muitos atacantes comprometem a segurança dos sites, no qual muitas vezes, conseguem acesso a base de senhas e mesmo que estejam salvas criptografadas é possível quebrar esta proteção utilizando técnicas específicas e o poder computacional atual. Alguns também utilizam de malwares ou programas maliciosos para infectar o computador da vítima, além de interceptar as conexões entre o computador do usuário e o site de acesso, que por vezes estão desprotegidas ou mal configuradas, para conseguir furtar as credencias.

Qualquer usuário que já realizou um pagamento ou transferência pelo site de seu banco, já deve ter tido a experiência de usar além da senha o seu token com uma sequência de números que é trocada a cada 30 segundos. Ou até mesmo usar o smartphone com um App instalado que faz exatamente a mesma coisa.

Este segundo fator de autenticação é uma camada adicional para proteger sua credencial mesmo que a sua senha tenha sido comprometida. É como alguém ter conseguido uma cópia da chave de sua casa e ao tentar entrar, não conseguir, pois a porta está fechada também por um trinco.

Com essa mesma analogia de trincos eu faço uma pequena demonstração no vídeo a seguir de um ataque de força bruta (brute-force) a um blog Wordpress, no qual as vezes é possível descobrir o login e a senha do usuário. Ao final utilizo uma ferramenta que protege minha credencial com um segundo fator de autenticação instalado em meu smartphone, utilizando o aplicativo “Latch” da Eleven Paths, que pode ser integrado em diversas linguagens, portais, VPN, Sistemas Operacionais, webmails, Open-SSH, e-commerce, entre outros.

O teste foi realizado em meu próprio site de blog pessoal em Wordpress, apenas para realização desta demonstração:



O Wordpress é um CMS, gerenciador de conteúdo, muito utilizado por usuários e empresas, não só para criação de simples blogs, mas também para a construção de sites complexos e até para a criação de e-commerce, o que requer ainda mais atenção, principalmente para o administrador do site que possui privilégios de alteração de conteúdo, criação de usuários, instalação de plugins, etc.

A autenticação usando um aplicativo instalado no smartphone pode ser usado até mesmo em caixas eletrônicos ATMs para proteger os usuários de técnicas chamadas de “skimmers”, que são falsos teclados sobrepostos fisicamente ao teclado original do ATM para capturar as senhas bancárias, ou até mesmo, para uma compra com cartão de crédito em uma loja de varejo ou postos de gasolina, permitindo que o próprio cliente negue ou aprove as compras com o seu cartão.
Em breve, a tecnologia irá substituir as senhas comuns por uma autenticação mais robusta que agregue as contas pessoais do usuário por algo que o identifique melhor. Como por exemplo, o número de telefone, visto que a grande maioria de usuários possuem um aparelho celular e que a operadora faz diversos procedimentos de checagem de identidade ao conceder um número ao cliente.

Os celulares vêm equipados com um smartcard (SIMcard) que assim como os cartões bancários são protegidos por senha(PIN) e conseguem armazenar certificados digitais que garantem a autenticidade, integridade, confidencialidade e não repúdio em uma transação e podem usar a rede da operadora, mesmo que sem acesso a internet.

Não importa o quanto sua senha seja complexa e difícil de adivinhar, se o serviço ou site que você deseja acessar possui a possibilidade de um segundo fator de autenticação, ative-o para aumentar ainda mais sua proteção.

Também pode interessar:
Guías detalladas de instalación de Latch en Wordpress, Joomla, Drupal, PrestaShop y RoundCube
Eleven Paths Talks: Wordpress in Paranoid Mode


Luiz Henrique Barbosa (Cabuloso)

Product Manager Cybersecurity B2B


Saiba mais em:
latch.elevenpaths.com

Um comentário: