Segurança da informação: ainda não existe a autenticação perfeita
Há anos os líderes de TI e segurança da informação defendem a tese de que as senhas de acesso perderam o valor quando postas em contraste com a evolução das técnicas dos criminosos virtuais.
De forma geral, os usuários elegem expressões fáceis de adivinhar – como o nome do próprio cachorro, data de nascimento da esposa, entre outras – como códigos para acessar as redes corporativas. Isso sem contar com aqueles que deixam tais senhas expostas em papéis grudados no computador.
A autenticação por meio de múltiplos fatores de identificação, por sua vez, tem sido considerada como uma boa solução para os problemas de segurança das empresas. No entanto, no final das contas, nem os cartões inteligentes (smart cards), tokens e identificadores biométricos dão conta do recado quando o assunto é a blindagem de dados sensíveis, principalmente por conta da postura dos próprios usuários.
Embora o problema de identificação digital pareça impossível de resolver, há especialistas que garantem que a solução para essas verdadeiras dores de cabeça é muito mais simples do que se imagina. A gestora de projetos de segurança da consultoria norte-americana Errata Security, Marisa Fagan, analisou as ameaças mais presentes nas redes corporativas e detectou que 10% delas têm origem no Twitter, com a postagem de links que acionam ferramentas phishing (roubo de senhas). Muitos usuários não resistem à tentação de clicar em um endereço desconhecido e acabam tendo seus códigos identificados pelos criminosos. “É aí que também começa o problema das senhas recicladas”, diz a especialista ao explicar que como muitos usuários usam a mesma combinação de caracteres para acessar diversas redes, o trabalho dos hackers fica muito mais fácil.
Marisa entende que há muitas maneiras de combater os problemas relacionados à autenticação, mas que o ‘calcanhar de Aquiles’ dos gestores está em descobrir a medida exata de como agir a esse respeito. Para ela, pensar em autenticação por meio de múltiplos fatores seria a primeira resposta dos gestores. No entanto, a especialista afirma que esse tipo de cuidado acaba sendo tão inútil quanto as senhas, já que os usuários continuarão agindo sem o cuidado necessário para manter desconhecidos seus demais códigos de acesso.
“Além disso, certamente anotarão o login e senha no próprio token, para o caso de esquecerem”, afirma o fundador da comunidade que reúne profissionais de segurança da informação e discute sobre as melhores práticas do segmento Security Catalyst Community, o qual complementa: “Os fatores de autenticação adicionados serão uma barreira para os criminosos, mas não os impedirão de agir.”
Mais uma vez caímos no dilema de como garantir a segurança de acesso às redes. E, mais uma vez, a resposta está na conscientização dos usuários. Nunca é demais instruí-los sobre os cuidados necessários.
Além disso, é preciso que os gestores de TI e segurança reconheçam que nenhum método de autenticação é 100% seguro e que, então, é preciso estar preparado para remediar os problemas no caso de um ataque – com políticas de gestão de desastres e continuidade de operações.