Apesar de anos de campanhas de conscientização pública, repetidas violações de alto perfil e constante escrutínio regulatório, senhas fracas e previsíveis como “admin” e “123456” ainda são usadas no Reino Unido. Este problema é indicativo de um problema sistémico mais profundo na postura de segurança cibernética do país.
No entanto, isto não é uma falha na sensibilização ou na educação, mas sim uma falha na gestão de credenciais, no reforço da cultura e na aplicação de políticas.
CEO e cofundador da Keeper Security.
No início de dezembro, o Centro Nacional de Segurança Cibernética (NCSC) publicou diretrizes atualizadas sobre gerenciamento de credenciais. Especificamente, o guia defende “uma maior dependência de defesas técnicas e processos organizacionais, já que as senhas são apenas uma parte de sua abordagem mais ampla de controle de acesso e gerenciamento de identidade”.
Isso representa um afastamento dos modelos de segurança centrados no usuário e coloca sobre as organizações a responsabilidade de proteger as credenciais dos usuários e, em última análise, os sistemas nos quais a organização depende para funcionar.
As sugestões delineadas pelo governo do Reino Unido incluem apelos claros para reduzir a dependência de senhas, combater a sobrecarga de senhas dos usuários e gerenciar o acesso compartilhado. O desafio para os líderes de segurança britânicos não é saber se estas orientações são boas, mas como fazê-las funcionar eficazmente nas suas organizações.
Por que a orientação é importante e necessária?
A orientação mais recente do NNCSC é um passo importante porque reformula o gerenciamento de senhas não como um fardo para os usuários, mas como um controle de segurança que deve ser automatizado, centralizado e protegido desde o projeto.
Uma pesquisa recente mostra que quase uma em cada cinco organizações ainda opera sem controles formais de credenciais, baseados em planilhas compartilhadas, senhas codificadas ou sistemas de gerenciamento. Neste contexto, não é surpreendente que as palavras-passe fracas sejam generalizadas tanto em ambientes de consumo como empresariais.
Problema de sobrecarga de senha
A sobrecarga de senhas é um sintoma da nossa sociedade digital. A pesquisa sugere que uma pessoa média tem cerca de 250 contas, com 168 senhas para contas pessoais e 87 senhas para contas empresariais.
Existe o risco, observa o NCSC, de que a exigência de gerar um grande número de senhas possa levar à “sobrecarga de senhas” e forçar os usuários finais a inventar seus próprios mecanismos de enfrentamento, como reutilização de senhas, digitação de senhas e senhas previsíveis.
Outro mecanismo em que alguns usuários podem confiar é o uso de gerenciadores de senhas baseados em navegador.
Embora os gerenciadores de senhas baseados em navegador ofereçam conveniência, eles nunca foram projetados para oferecer suporte a controles de acesso ou requisitos de governança de nível empresarial… Eles também introduzem risco operacional por meio de visibilidade limitada, aplicação inconsistente de políticas e dependência de fornecedor.
Para os indivíduos, os gerenciadores de senhas de terceiros confiáveis continuam sendo uma das formas mais simples de proteção: eles oferecem suporte a credenciais fortes e exclusivas, ao mesmo tempo que reduzem a dependência de memória. No entanto, a nível organizacional, a gestão de palavras-passe deve ser governada e implementada como parte de uma estratégia de identidade mais ampla.
Isto satisfaz a preocupação do governo com a “sobrecarga de senhas” e, em última análise, torna toda a organização mais segura com custos ou interrupções mínimos.
Reduza a confiança nas senhas
É improvável que as senhas desapareçam da noite para o dia, mas seu papel está diminuindo constantemente à medida que os invasores as exploram cada vez mais.
Os problemas de senha permanecem os mesmos, mas a forma como as credenciais são comprometidas e exploradas está mudando rapidamente. O cracking acelerado por IA, o preenchimento de credenciais e o phishing continuam a reduzir a barreira ao envolvimento, enquanto práticas organizacionais inconsistentes continuam a fornecer pontos de entrada fáceis.
A ascensão da autenticação baseada e sem senha reflete a evolução de controles industriais mais fortes e integrados, num momento em que as credenciais continuam sendo o alvo principal dos invasores, eliminando a confiança no comportamento humano.
Acesso compartilhado gerenciado
Para as organizações do Reino Unido, a gestão do acesso partilhado através da Gestão de Acesso Privilegiado (PAM) é fundamental para reduzir o risco em ambientes de TI cada vez mais complexos. Para comitês e equipes executivas, o acesso privilegiado não gerenciado representa uma exposição de segurança e uma falha de governança.
No Reino Unido, este risco é exacerbado pelas expectativas regulamentares em torno da responsabilização, auditabilidade e resiliência operacional. As contas compartilhadas e privilegiadas continuam sendo o principal alvo dos invasores, especialmente quando as credenciais são reutilizadas, grupos mal controlados ou gerenciados manualmente.
O PAM ajuda a resolver isso reforçando o acesso com privilégios mínimos, armazenando e alternando com segurança as credenciais compartilhadas e fornecendo visibilidade e auditoria claras de quem acessou o quê, quando e por quê.
No caso de uma violação, as soluções PAM podem limitar significativamente o movimento lateral, restringindo privilégios desnecessários e isolando contas de alto risco, ajudando as organizações a conter incidentes com mais rapidez.
Além da segurança, o PAM também oferece benefícios operacionais tangíveis, incluindo redução de incidentes relacionados a credenciais, maior proteção de dados confidenciais e redução da carga sobre o suporte técnico de TI, e tornou-se um controle central para organizações do Reino Unido que navegam em um cenário de ameaças e pressão regulatória em evolução.
Identidade como novo perímetro
Para as organizações, a principal prioridade é tratar a identidade como o novo perímetro e implementar o gerenciamento completo do ciclo de vida das credenciais.
Isso significa proteger todas as fases da identidade digital de um usuário, desde a integração e provisionamento de acesso até a autenticação contínua, alterações de privilégios e desprovisionamento quando as funções mudam ou os funcionários saem.
Ao gerenciar credenciais de forma holística, e não em silos, as organizações podem reduzir a superfície de ataque, limitar o movimento lateral e garantir que o acesso esteja consistentemente alinhado às necessidades do negócio.
Num ambiente onde os utilizadores, dispositivos e aplicações operam para além dos limites das redes tradicionais, uma forte governação de identidade torna-se a base de uma segurança eficaz.
Senhas fracas não são essenciais. São o resultado de controlos inadequados, aplicação inconsistente de políticas e comportamentos ultrapassados.
Com uma forte gestão de palavras-passe, uma forte supervisão do acesso privilegiado e uma mentalidade de não confiança, as organizações podem reduzir significativamente a sua exposição e, assim, enfraquecer um dos vetores de ataque mais explorados que as empresas do Reino Unido enfrentam atualmente.
Apresentamos o melhor navegador privado.
Este artigo foi produzido como parte do canal Expert Insights da TechRadarPro, onde apresentamos as melhores e mais brilhantes mentes da indústria de tecnologia atualmente. As opiniões expressas aqui são de responsabilidade do autor e não necessariamente da TechRadarPro ou Future plc. Caso tenha interesse em participar, mais informações aqui:
