O que é armazenamento de senhas?
O gerenciamento de senhas é uma solução de cibersegurança cada vez mais adotada por empresas e pessoas. Os gerenciadores de senhas são aplicações que armazenam e protegem as senhas de contas online. Eles oferecem proteção contra algumas das consequências financeiras mais prejudiciais dos ataques cibernéticos. Um bom gerenciador gera senhas fortes e exclusivas para cada conta da empresa. Como os criminosos têm mais dificuldade para conseguir dados confidenciais, as soluções de armazenamento de senhas funcionam como a primeira linha de defesa das organizações modernas.
Os especialistas em cibersegurança recomendam o uso de um gerenciador de senhas para armazenar com segurança as informações de contas. Empresas, governos e outras grandes organizações são as que mais precisam instalar gerenciadores de senhas em todos os dispositivos conectados, como computadores, laptops, tablets e smartphones. Por criarem e armazenarem valor, essas instituições costumam ser alvos de cibercriminosos. Ao garantir a segurança das contas, elas reduzem as chances de um ataque cibernético devastador.
Por que usar o armazenamento de senhas?
No ambiente de trabalho conectado, as empresas geralmente dependem de dezenas de contas online. Manter o controle sobre as credenciais de login em várias contas é um processo complicado. Por conta dessa dificuldade, é mais provável que as pessoas não deem a devida atenção à cibersegurança, deixando a si mesmas e suas empresas vulneráveis a ataques cibernéticos.
Essa falta de atenção das pessoas ao configurar e registrar credenciais de login sem uma solução de armazenamento de senhas acontece de duas maneiras principais. A primeira é o compartilhamento de credenciais. Isso ocorre quando as pessoas usam o mesmo nome de usuário ou senha em várias contas diferentes. O compartilhamento de credenciais facilita a memorização das credenciais de login, mas deixa a organização vulnerável a ameaças. A outra maneira é a definição de senhas fracas. Elas são simples e, portanto, fáceis de lembrar. No entanto, priorizar a comodidade em detrimento da cibersegurança abre espaço para ciberataques.
Na teoria, é possível criar e registrar uma série de senhas exclusivas e complexas de contas de usuário. No entanto, esse processo é complicado, porque os usuários precisam sempre ter em mãos o registro físico e em papel das credenciais. Em organizações maiores, as chances de que alguém esqueça a senha em casa em um dia qualquer são bem altas.
As soluções de armazenamento de senhas surgiram como uma forma de proteger credenciais sigilosas sem criar um obstáculo inconveniente para as operações da empresa. As organizações que usam vários dispositivos com frequência podem utilizar um cofre que sincroniza várias senhas em diferentes dispositivos.
Gerenciadores de senhas oferecem proteção contra ameaças à cibersegurança
O armazenamento de senhas é uma necessidade no local de trabalho conectado. Empresas que não têm um gerenciador de senhas seguro estão vulneráveis a uma série de ciberataques. Eles incluem o stuffing de credenciais e o password spraying.
Tanto o stuffing de credenciais como o password spraying pertencem a uma categoria de ciberataques conhecida como ataques baseados em identidade. Como o nome sugere, os ataques são realizados usando como base a identidade do alvo, que inclui as credenciais de nome de usuário e senha. De acordo com a equipe de investigação de ameaças CrowdStrike Falcon OverWatch™, 80% dos ataques são baseados em identidade. Isso faz com que o armazenamento de senhas seja um aspecto importante de qualquer estratégia robusta de cibersegurança.
No stuffing de credenciais, o cibercriminoso rouba as credenciais de login de um sistema e tenta usar essas informações para acessar um sistema totalmente diferente. Essa técnica é muito usada porque as pessoas costumam utilizar as mesmas credenciais em várias contas. Por exemplo, uma pessoa pode usar a mesma senha para entrar na conta bancária, utilizar o cartão de crédito e acessar as contas de redes sociais. Embora essa abordagem facilite a memorização das credenciais de login, ela também gera riscos à segurança. É fundamental que cada conta tenha uma senha exclusiva para evitar o stuffing de credenciais.
O stuffing de credenciais se tornou mais conhecido nos últimos anos, porque dezenas de bilhões de nomes de usuários e senhas foram roubados ou vazados. Outro fator que acelerou o uso do stuffing de credenciais é o avanço da tecnologia. É muito fácil programar robôs para que executem esse ataque. Por fim, a adoção do trabalho remoto durante a pandemia da COVID-19 pegou muitas empresas desprevenidas, porque elas não têm um entendimento sólido sobre as práticas recomendas de cibersegurança.
O password spraying é uma tática um pouco diferente. Nele, o ator de ameaças tenta acessar várias contas na mesma aplicação com uma única senha. Os atores de ameaças são pessoas ou organizações com a intenção de causar danos na esfera digital. Eles desenvolveram a tática de “spraying” (pulverização) porque isso permite evitar o bloqueio de contas.
Quando o ator de ameaças tenta inserir várias senhas diferentes para acessar uma conta, ela acaba sendo bloqueada. No entanto, ao “pulverizar” muitas contas diferentes, eles conseguem contornar esse obstáculo. Esse tipo de ataque de força bruta (uma abordagem de tentativa e erro para tentar descobrir credenciais de login) é muito bem-sucedida contra empresas que praticam o compartilhamento de senhas.
As soluções de armazenamento de senhas protegem as empresas contra o password spraying e o stuffing de credenciais. Embora seja difícil para cada funcionário manter o controle sobre inúmeras credenciais exclusivas, o gerenciador de senhas consegue fazer esse trabalho para eles. Ao garantir que não haja senhas iguais, a aplicação faz com que o stuffing credenciais seja impossível.
Os gerenciadores de senhas também são úteis na proteção contra o password spraying. Uma boa solução de armazenamento de senhas é capaz de aplicar senhas fortes e complexas que inviabilizam a adivinhação. As equipes de TI também podem se proteger contra esses ataques configurando a detecção de login e implementando políticas fortes de bloqueio.
Tipos diferentes de gerenciadores de senhas
Os gerenciadores de senhas são um tipo de solução de single sign-on porque exigem apenas um conjunto de credenciais para permitir que os funcionários façam login em várias contas. O single sign-on (SSO) é muito utilizado por pessoas, empresas e governos porque é bastante conveniente. No entanto, nem todas as soluções de SSO são seguras. O mesmo vale para os gerenciadores de senhas.
Há vários gerenciadores de senhas diferentes no mercado. Cada um deles oferece o próprio conjunto de funcionalidades. Enquanto alguns não são tão importantes, outros são absolutamente essenciais para a cibersegurança. Ao escolher o conjunto certo de funcionalidades, as empresas podem garantir que todos os funcionários tenham uma senha forte. O melhor gerenciador de senhas é aquele que oferece pelo melhor preço as funcionalidades que a empresa precisa.
Criptografados e não criptografados
A criptografia é um componente essencial em qualquer gerenciador de senhas. É importante investir tempo e dinheiro apenas em soluções de armazenamento de senhas que usam uma forte criptografia. Se o cofre de senhas do gerenciador não estiver criptografado, ele poderá trazer mais prejuízos do que benefícios, já que os atores de ameaça terão facilidade para conseguir todas as senhas da organização de uma só vez.
Integrado e autônomo
Muitos gerenciadores de senhas podem ser integrados completamente com navegadores da Web como plug-ins. A integração com navegadores é recomendada porque possibilita o preenchimento automático de formulários em sites. Assim, você elimina a dor de cabeça causada pela inserção manual de credenciais para fazer login. Ainda assim, como a integração com navegadores também traz riscos à cibersegurança, ela deve ser avaliada caso a caso.
No local e na nuvem
Os gerenciadores de senhas baseados na nuvem são considerados melhores do que os locais, porque facilitam o login em uma conta usando qualquer dispositivo. Uma solução de armazenamento de senhas local só funciona em um dispositivo, o que sua utilidade no ambiente de trabalho moderno.
Assim como a integração com navegadores, as ferramentas baseadas na nuvem têm suas próprias vulnerabilidades únicas. De modo geral, um gerenciador de senhas local bem criptografado é mais seguro do que uma solução de armazenamento de senhas na nuvem bem criptografada. As empresas precisam encontrar um equilíbrio entre conveniência e segurança para escolher o melhor gerenciador de senhas.
Geração de senhas
A geração de senhas é outra funcionalidade importante nas soluções de armazenamento de senhas. As melhores opções incluem um algoritmo para gerar senhas aleatórias. As empresas podem usar essa função para eliminar as senhas fracas e garantir que a proteção das credenciais com senhas fortes e exclusivas.
Embora pareça impossível, a geração aleatória de senhas produz padrões previsíveis. Isso acontece porque alguns geradores usam algoritmos pseudoaleatórios. Por esse motivo, é arriscado usar determinadas ferramentas online de geração de senhas. Os especialistas em cibersegurança recomendam usar um gerador de código aberto, que é mais seguro porque pode ser auditado por qualquer pessoa. Outra alternativa é utilizar um gerenciador de senhas que possa comprovar que o algoritmo dele gera uma senha realmente aleatória.
Autenticação multifatorial
A autenticação multifatorial (MFA, na sigla em inglês) é a norma em setores como finanças, saúde e ordem pública. De fato, todo mundo que já usou um caixa eletrônico precisou passar pela autenticação multifatorial, já que a combinação do cartão e do código PIN contam como duas formas diferentes de verificação para acessar uma conta bancária. Essa funcionalidade é essencial nas soluções seguras de armazenamento de senhas.
As soluções de armazenamento de senhas podem ser personalizadas para exigir a MFA quando os funcionários tentarem acessar dados confidenciais da empresa. Embora a MFA não garanta a segurança dos ativos vitais, ela ajuda a dificultar os ataques de atores de ameaças.
A autenticação biométrica é um tipo de autenticação multifatorial e está se tornando cada vez mais importante nas organizações que exigem os mais altos padrões de cibersegurança. Além de ser difícil de burlar, a autenticação biométrica inclui proteções como varredura ocular e uso de impressões digitais.
Saiba mais
Depois que conseguem as credenciais, os invasores podem se passar pelo proprietário da conta e imitar alguém que tem acesso legítimo, como funcionários, subcontratados e até mesmo fornecedores externos. Descubra como a MFA fortalece a autenticação do usuário.
Blog: Roubo de credenciais: um dos ataques favoritos dos adversários
Opções de armazenamento
As soluções de armazenamento de senhas também têm diferentes opções de armazenamento. As organizações de grande porte exigem armazenamento ilimitado de senhas para evitar o comprometimento dos dados. É essencial que cada senha salva usada por um funcionário seja armazenada com segurança no cofre de senhas. A geração e o uso de senhas ilimitadas em vários dispositivos ajudam a proteger sua empresa contra o comprometimento dos dados.
Benefícios e riscos do uso de um gerenciador de senhas
Os gerenciadores de senhas oferecem segurança e comodidade. Com a geração de senhas complexas, eles garantem que as senhas de cada conta da empresa tenham segurança reforçada. Ao armazenar todas as senhas em um único local e automatizar o processo de login, os gerenciadores diminuem a quantidade de trabalho que os funcionários precisam realizar. Isso soa como a situação ideal.
No entanto, os gerenciadores de senhas não estão livres de riscos. Alguns especialistas em segurança temem que essas ferramentas criem riscos “morais” ao transmitir a ideia de que os funcionários não precisam se preocupar com a segurança. Na verdade, todo funcionário que tem uma conta corporativa precisa contribuir para a defesa dos ativos vitais da empresa.
Além disso, os especialistas em cibersegurança apontam que as empresas são os principais alvos dos ciberataques. Eles também afirmam que a centralização que torna os gerenciadores de senhas tão convenientes também os transforma em um alvo valioso para os atores de ameaças. Os especialistas argumentam que apenas a abordagem de caneta e papel para o armazenamento seguro de senhas está livre de riscos cibernéticos, embora seja muito trabalhoso.
O fato é que não há um gerenciador de senhas que não tenha riscos. Por isso, os especialistas em cibersegurança recomendam o uso da autenticação multifatorial para controlar a senha mestra de um gerenciador de senhas. A MFA garante que o ator de ameaças não poderá acessar a conta até mesmo se ele conseguir a senha.
Todos os gerenciadores de senhas têm os próprios limites. Se um ator de ameaças descobrir as credenciais de login e conseguir acessar fisicamente um dispositivo, nenhuma solução de armazenamento de senhas será capaz de manter os dados seguros por muito tempo. É por isso que a segurança física é um componente importante de qualquer estratégia de cibersegurança.
O que você precisa saber sobre gerenciadores de senhas baseados em navegador
Todos os principais navegadores da Web têm um gerenciador de senhas integrado. Essas soluções são convenientes, e a maioria delas preenche automaticamente os formulários para os usuários. No entanto, eles não incluem as fortes proteções que são essenciais para qualquer empresa que quer garantir a segurança de informações importantes.
Por exemplo, a solução de armazenamento de senhas que o Google Chrome e o Microsoft Edge oferecem guarda senhas não criptografadas no disco rígido do dispositivo. Isso significa que qualquer ator de ameaças que acessar o disco rígido terá todas as senhas que a empresa usa. A menos que o disco rígido seja criptografado, essas ferramentas podem criar sérias vulnerabilidades que levam a ciberataques. O gerenciador de senhas do Chrome e a solução de armazenamento do Edge armazenam senhas fortes, mas não oferecem proteção contra ciberataques de forma eficaz.
Há alguns gerenciadores de senhas baseados em navegador que oferecem criptografia, como o do Mozilla Firefox. No entanto, o gerenciador do Firefox não inclui um gerador de senhas, o que pode levar as empresas a criarem senhas fracas. Além disso, como o Firefox não sincroniza dispositivos iOS, ele não oferece sincronização entre diferentes plataformas. Como o trabalho remoto provavelmente será parte essencial do cenário corporativo nos próximos anos, isso pode produzir uma grande lacuna na segurança.
Como configurar um gerenciador de senhas
Os gerenciadores de senhas são muito simples de configurar. A parte mais importante da configuração é a senha mestra. Como ela oferece acesso a todas as informações de conta de uma empresa, é absolutamente crucial que a senha mestra seja complexa. Você pode gerar uma senha complexa com uma ferramenta geradora de senhas aleatórias.
Uma boa ideia é armazenar a senha mestra da maneira antiga: em um pedaço de papel. A autenticação multifatorial é recomendada para fazer login no gerenciador de senhas. Em alguns casos, a autenticação biométrica pode até ser a escolha certa para a senha mestra. Dessa forma, mesmo que um ator de ameaças acesse a senha mestra, ele não poderá visualizar as informações confidenciais valiosas da empresa.
No entanto, é importante notar que atores de ameaças habilidosos já encontraram maneiras de burlar a MFA. Por exemplo, um estudo do CyberArk Labs descobriu que é possível extrair dados confidenciais da memória do Chrome. Como isso só pode ser feito se o ator tiver acesso ao dispositivo que executa o Chrome, uma falha na segurança física é necessária para que o ataque aconteça. Ainda assim, a possibilidade é preocupante: se um dispositivo for perdido ou extraviado, um invasor habilidoso conseguirá ter acesso, mesmo que a MFA esteja implementada.
A próxima etapa é usar o gerador de senhas da solução de armazenamento seguro para trocar cada senha fraca por uma melhor. Todas as contas empresariais devem ser protegidas por credenciais robustas. Muitas dessas soluções oferecem um avaliador de segurança integrado que examina a força das senhas e recomenda alterações quando apropriado.
Por conta da popularidade do stuffing de credenciais, é essencial que diferentes contas não tenham a mesma senha. As soluções de armazenamento devem ser capazes de analisar as senhas dos usuários para identificar e atualizar as repetidas.
Além de armazenar credenciais de login confidenciais, muitos gerenciadores de senhas são usados para guardar dados como números de cartão de crédito. A criptografia garante a segurança desses ativos importantes. As empresas podem utilizar essas funções para otimizar o uso e o compartilhamento de informações.
Como os dispositivos móveis são fundamentais para a força de trabalho conectada, é importante configurar o gerenciador de senhas em todos os dispositivos que acessam informações da empresa. Os celulares e tablets são usados para acessar diversas contas. Por isso, você precisa adotar uma estratégia para evitar que os funcionários registrem credenciais usando métodos não seguros.
O Guia Completo para Construir uma Estratégia de Proteção de Identidade
Comece a adotar uma postura de segurança resiliente: faça download do Guia completo para construir uma estratégia de proteção de identidade para proteger hoje mesmo o panorama de identidade digital da sua organização.
Baixe agora
Venu Shastri, um experiente profissional de marketing de produtos de identidade e cibersegurança, atua como Diretor de Marketing de Produtos na CrowdStrike para o setor de proteção unificada de endpoint e identidade. Com mais de uma década de experiência em identidade, liderando funções de marketing e gerenciamento de produtos na Okta e Oracle, Venu tem uma patente nos EUA sobre autenticação sem senha. Antes de sua experiência em identidade, ele foi cofundador e liderou o gerenciamento de produtos de uma startup de software social empresarial. Morando em Raleigh, Carolina do Norte, Venu tem um MBA pela Universidade de Santa Clara e Certificação Executiva pelo MIT Sloan.
