Sin categoría

“A palavra-passe está morta”?

A ideia de que a palavra-passe já não cumpre os requisitos dos sistemas modernos e que a sua substituição por um mecanismo mais seguro é inevitável tem vindo a ser avançada há mais de 15 anos.

 

Já em 2004 Bill Gates (na altura Chief Software Architect da Microsoft) assumia que as palavras-passe, por si só, já não estavam à altura do desafio de proteger qualquer sistema ou informação considerada importante. A primeira interação tornada popular na década de 1990 passava pela distribuição de dispositivos físicos (normalmente com um formato passível de ser utilizado junto com um porta-chaves) que geravam um código aleatório a cada minuto, e que em conjunto com uma palavra-passe asseguravam o acesso aos sistemas.

 

Mas este sistema tem vários inconvenientes: por ser um dispositivo físico, é suscetível a perdas, e não é escalável, uma vez que normalmente está associado a um sistema ou organização específica. Este mecanismo foi, entretanto, substituído pelo envio de SMS com um código único válido para uma autenticação, eliminando a necessidade de distribuir os dispositivos físicos e utilizando aquilo que se tornou um dispositivo ubíquo na nossa sociedade: o telemóvel. Infelizmente, a experiência demonstra que esta forma de distribuição de códigos é suscetível a ataques, quer através do comprometimento dos próprios dispositivos móveis, quer pela duplicação ou substituição dos respetivos cartões SIM. Hoje em dia temos outros mecanismos para substituir o SMS enquanto segundo fator de autenticação, mas nenhum ainda se provou suficientemente ubíquo, escalável e fácil de utilizar, capaz de ganhar tração fora de comunidades não-técnicas.

 

Felizmente, o desenvolvimento tecnológico nesta área tem sido assinalável e movido pelos fabricantes de smartphones, que generalizam a passos largos a utilização de mecanismos biométricos (impressão digital ou reconhecimento facial), tornando- os numa forma socialmente aceite e percebida para aceder a dispositivos e a informação. Mas não se trata da única evolução no campo da autenticação. A capacidade de processamento aliada à análise comportamental permitiu o desenvolvimento de metodologias de acesso que ajustam a complexidade dos esquemas de autenticação a utilizar conforme o grau de certeza que o sistema tem relativamente à identidade do utilizador.

 

De facto, apesar de hoje em dia a tecnologia estar por toda a parte, o ser humano é afeto a rotinas e hábitos, pelo que estes normalmente utilizam o mesmo dispositivo para efetuar as mesmas tarefas. O acesso ao homebanking é feito normalmente a partir do computador ou do smartphone, enquanto que o acesso ao correio eletrónico profissional se efetua a partir do computador empresarial ou de um dispositivo móvel (pessoal ou corporativo). Isto faz com que seja possível aliar a “impressão digital” desses dispositivos, a sua localização geográfica e até a hora a que está a ser feito o acesso e, caso a caso, tornar mais ou menos complexo o método de autenticação solicitado. Apesar de todas estas evoluções nas metodologias de autenticação, nenhum sistema será 100% seguro (sob pena de se tornar 0% funcional).

 

O caminho passa por acompanhar em permanência a evolução das metodologias e ferramentas utilizadas pelos atacantes e estar um passo à sua frente, mantendo a funcionalidade para os seus utilizadores. Infelizmente, a palavra-passe só por si já não consegue assegurar nenhum desses critérios. O que podem as organizações fazer hoje, enquanto as novas tecnologias de autenticação não estão globalmente acessíveis para todos os sistemas e aplicações? A solução passa pela utilização de múltiplos fatores de autenticação em todos os serviços e sistemas que o permitem (em 2019, avaliar substituir todos aqueles que não o permitem), e pela monitorização ativa o comportamento dos atacantes e da publicação de credenciais roubadas que envolvam as suas organizações, forçando os utilizadores afetados a alterar de imediato as suas credenciais.

 

Fonte: IT Insight 

 

“A palavra-passe está morta”?

“A palavra-passe está morta”? A ideia de que a palavra-passe já não cumpre os requisitos dos sistemas modernos e que a sua substituição por um mecanismo mais seguro é inevitável tem vindo a ser avançada há mais de 15 anos.…

Leer más

Lucros da Sonae disparam 33,7% em 2018

Lucros da Sonae disparam 33,7% em 2018 O grupo evidencia uma forte melhoria da rentabilidade, num ano em que todos os negócios cresceram, quer organicamente, quer por via de aquisições. O grupo Sonae fechou o exercício de 2018 com lucros…

Leer más

O estado atual da cibersegurança A cibersegurança está cada vez mais na ordem do dia. É imperativo proteger as organizações e é preciso ter noção de que qualquer dispositivo que esteja ligado à internet é um potencial alvo de ataque.…

Leer más

S21Sec atualiza proposta para a cibersegurança

S21Sec atualiza proposta para a cibersegurança   No âmbito da sua nova identidade corporativa, a empresa resultante da fusão da S21sec e da Nextel concentra agora um renovado portfólio de serviços de ciberproteção 360º A empresa apresenta uma nova identidade…

Leer más