 |
| Imagem ilustrativa - Divulgação Check Point Software |
Por que é hora de dizer adeus às senhas?
A data é celebrada anualmente na primeira
quinta-feira de maio e, neste ano, marcará uma mudança de paradigma na
segurança digital
Os
especialistas da Check Point Software fazem
coro com demais especialistas em segurança cibernética ao alertarem
que a era das senhas está chegando ao fim. A dependência excessiva de senhas
tornou-se um risco significativo para a segurança digital, exigindo uma
transição para métodos de autenticação mais seguros e eficientes. Esta é a atual discussão levantada no Dia Mundial da Senha que, neste ano,
será celebrado em 1º de maio (primeira quinta-feira de maio).
Problema com as senhas atuais
Dados
recentes revelam a fragilidade das senhas como método de proteção. Segundo o
relatório de investigações de Violação de Dados da Verizon (2024), 81% das
violações ainda envolvem senhas fracas ou roubadas. Ataques de força bruta
evoluíram, utilizando GPUs (Unidades de Processamento Gráfico) de alta
velocidade capazes de testar milhões de combinações por segundo, tornando até
mesmo as senhas mais complexas vulneráveis em questão de minutos.
O lado sombrio das senhas: uma economia do cibercrime
O mercado clandestino de credenciais roubadas é vasto e lucrativo. Estima-se que mais de 24,6 bilhões de combinações de nome de usuário e senha estejam circulando em mercados cibercriminosos. Grupos sofisticados, como Kimsuky (Coreia do Norte), MuddyWater (Irã) e APT28/29 (Rússia), utilizam malwares como Lumma e plataformas MaaS (Malware as a Service) para escalar o roubo de informações. Em 2024, 3,9 bilhões de credenciais foram comprometidas por infecções de malware em 4,3 milhões de dispositivos.
Até mesmo a autenticação por múltiplos fatores (MFA), embora crucial, está sendo desafiada por ferramentas como o EvilProxy que pode interceptar tokens MFA. Essa crescente “economia do crime cibernético” não é apenas uma ameaça técnica, é um ecossistema geopolítico e econômico, já que essas ameaças agora podem vir de qualquer lugar, graças às plataformas MaaS e Phishing-as-a-Service (PhaaS). Somando-se ao infostealer-as-a-service e aos kits de phishing de aluguel, esses ataques não se limitam mais a agentes estatais; eles estão disponíveis para qualquer pessoa com uma carteira bitcoin.
"A
partir do acesso inicial, os atacantes podem quebrar a senha por meio de força
bruta ou explorando alguma falha conhecida. Nesse contexto, mesmo que desafiada
por ferramentas disponíveis no mercado, a autenticação MFA ainda pode
contribuir para dificultar a invasão, pois exige uma etapa adicional de
verificação além da senha em si", comenta Fernando de Falchi, gerente de
Engenharia de Segurança da Check Point Software Brasil.
A ascensão da autenticação sem senha
Empresas
líderes estão adotando métodos de autenticação sem senha. Microsoft, Google e
Apple implementaram "passkeys" — chaves criptográficas vinculadas à
biometria ou dispositivos. A Microsoft planeja eliminar senhas para mais de um
bilhão de usuários, enquanto o Gartner prevê que 60% das empresas eliminarão
senhas para a maioria dos casos de uso ainda em 2025.
Resistência comportamental: por que ainda nos apegamos às senhas?
Apesar dos avanços, muitos usuários ainda confiam em senhas por familiaridade. No entanto, essa confiança é ilusória. Senhas são facilmente desvendadas, esquecidas ou compartilhadas. Ataques de phishing, muitos gerados por Inteligência Artificial (IA), continuam a roubar credenciais em larga escala, mesmo com a presença de autenticação de dois fatores (2FA).
A
evolução da IA torna a autenticação baseada em senhas obsoleta:
- Modelos
de aprendizado profundo treinados em bilhões de senhas vazadas podem
prever padrões comuns rapidamente.
- Ataques
de falsificação de identidade usando voz e vídeo ou voz e vídeo usando
deepfakes podem contornar até mesmo a autenticação de múltiplos fatores se
baseada em camadas de identidade fracas.
- GPUs
baseadas em nuvem democratizam o poder de quebrar senhas em escala,
permitindo que grupos de ransomware comprometam sistemas rapidamente.
Por
isso, o que as organizações devem fazer agora é:
- Implementar
sistemas sem senha usando biometria, tokens ou passkeys.
- Utilizar
ferramentas para prevenir reutilização de senhas e contra phishing.
- Aplicar
soluções de Gerenciamento de Acesso Privilegiado (PAM) e arquiteturas de
Confiança Zero.
- Educar
equipes não apenas sobre senhas mais fortes, mas sobre a eliminação
completa delas.
Estamos
em um momento de discussão em que a abordagem não deve ser apenas sobre criar
senhas mais fortes, mas sim sobre imaginar um futuro sem elas. As ferramentas
existem, as ameaças exigem isso. Contudo, ainda falta a disposição para seguir
em frente com isso.
Check Point Software
X
Blog
YouTube
Aviso legal relativo a declarações prospectivas
Este comunicado de imprensa contém declarações prospectivas. As declarações prospectivas estão geralmente relacionadas com eventos futuros ou com o nosso desempenho financeiro ou operacional futuro. As declarações prospectivas neste comunicado de imprensa incluem, mas não estão limitadas a, declarações relacionadas com as nossas expectativas relativamente ao nosso crescimento futuro, à expansão da liderança da Check Point na indústria, ao aumento do valor para os acionistas e à entrega de uma plataforma de cibersegurança líder na indústria aos clientes em todo o mundo. As nossas expectativas e crenças relativamente a estes assuntos podem não se materializar, e os resultados ou eventos reais no futuro estão sujeitos a riscos e incertezas que podem fazer com que os resultados ou eventos reais difiram materialmente dos projetados. Estes riscos incluem a nossa capacidade de continuar a desenvolver capacidades e soluções de plataforma, a aceitação e aquisição por parte dos clientes das nossas soluções existentes e de novas soluções, a continuação do desenvolvimento do mercado da segurança informática/cibernética, a concorrência de outros produtos e serviços, e as condições gerais de mercado, políticas, econômicas e comerciais, incluindo atos de terrorismo ou guerra. As declarações prospectivas contidas neste comunicado de imprensa estão também sujeitas a outros riscos e incertezas, incluindo os descritos mais detalhadamente nos nossos registros na Securities and Exchange Commission (SEC), incluindo o nosso Relatório Anual no Formulário 20-F apresentado à Securities and Exchange Commission em 2 de abril de 2024. As declarações prospectivas neste comunicado de imprensa baseiam-se na informação disponível para a Check Point à data do presente documento, e a Check Point rejeita qualquer obrigação de atualizar quaisquer declarações prospectivas, exceto conforme exigido por lei.
Nenhum comentário:
Postar um comentário