Marcelo Rodrigues
Marcelo Rodrigues 10 de janeiro de 2018 às 22:55

A (in)segurança das passwords

Password - não é mais do que uma combinação de letras, números e/ou caracteres especiais, que oferece, a quem a conhece, a capacidade de aceder a um recurso.

A utilização de passwords longas e de complexidade elevada (combinação de maiúsculas, minúsculas, números e símbolos) torna as mesmas mais robustas evitando os ataques de dicionário que percorrem passwords existentes numa lista conhecida, ou até mesmo os ataques de força bruta, que validam extensivamente todas as combinações possíveis de password.

 

Ainda que na sua empresa os utilizadores estejam cientes do risco associado a passwords fracas, é importante compreender que ter uma password como único mecanismo de autenticação já não é considerado seguro.

 

E não é relevante o quão complexa ou o quão singular é a sua password.

 

A partir do momento em que insere a sua password em determinado serviço/website acaba de perder a garantia de confidencialidade da mesma para este serviço. Ditam as boas práticas que os sites/programas devem guardar as passwords de forma segura recorrendo a criptografia unidirecional. Com recurso a este método, apenas fica registado o resultado final da uma transformação criptográfica, não sendo possível obter a password inicial.

 

Infelizmente, muitos serviços não utilizam as boas práticas e guardam as passwords em texto e existe também um conjunto alargado de serviços que têm implementações criptográficas fracas, possibilitando a obtenção das passwords, com bastante facilidade.

 

Recentemente foram veiculadas nos media portugueses diversas notícias relativas à divulgação de passwords e endereços de e-mail que comprometiam diversas empresas públicas e privadas portuguesas.

 

Apesar de se tratar de um tema recentemente discutido com o público em geral, o facto é que este tipo de listagens não é recente. Estas listas têm vindo a ser incrementadas com informação recolhida dos últimos ataques perpetrados e estão a ser ativamente utilizados para fins ilícitos. As últimas listagens disponibilizadas ao público em geral têm uma compilação de username/passwords que já ultrapassam largamente 1.000 milhões de registos.

 

Devido ao facto de a maioria dos utilizadores reutilizar as passwords de forma transversal, e pelo facto de utilizar o e-mail como identificador único de autenticação, ficam expostos ao ataque conhecido por:

"Credential Stuffing".

 

O "Credential Stuffing" passa pela recolha de passwords obtidas em fugas de informação e reutilização da mesma em múltiplos serviços, para tentar obter acesso indevido. 

 

Do ponto de vista de "end-user", para se salvaguardar deste tipo de ataques, deve recorrer a métodos de autenticação centralizada (e.g. Google, Facebook), caso o serviço em causa o disponibilize. Significa que o serviço em que se está a registar ficará apenas com o seu e-mail e não guardará qualquer password.

 

Caso não tenha outra alternativa, deve assegurar que usa passwords distintas nos diversos serviços. Deve assegurar também que na password não é usada uma nomenclatura comum (e.g. nome do serviço no qual se está a registar), pois facilmente se podem deduzir as passwords dos restantes serviços.

 

Como empresa, é importante minimizar o impacto do "Credential Stuffing ", através de:

 

• Formação aos colaboradores - "security awareness";

 

• Implementação de autenticação multifactor (além da password, é utilizado uma segunda camada de autenticação, como, por exemplo, um "smartcard");

 

• Implementação de autenticação multipasso (e.g. envio da um segundo código para o telemóvel);

 

• Evitar utilização do e-mail como autenticação nos seus serviços;

 

• Assegurar que a política de passwords está em linha com as melhores práticas;

 

• Assegurar que têm mecanismos de defesa de perímetro eficazes para detetar este tipo de ataques e lançarem de forma automática contramedidas de bloqueio.

• Auditar o software em uso para assegurar que este cumpre com as boas práticas de armazenamento de passwords.

 

Risk Assurance Senior Manager da PwC

 

Este artigo está em conformidade com o novo Acordo Ortográfico

pub