{"id":21181,"date":"2024-09-28T20:56:29","date_gmt":"2024-09-28T23:56:29","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=21181"},"modified":"2024-09-28T20:56:57","modified_gmt":"2024-09-28T23:56:57","slug":"senhas-que-nunca-expiram-podem-ser-uma-decisao-arriscada","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2024\/09\/exploits\/senhas-que-nunca-expiram-podem-ser-uma-decisao-arriscada\/","title":{"rendered":"Senhas que nunca expiram podem ser uma decis\u00e3o arriscada"},"content":{"rendered":"\n

Por que senhas que ‘Nunca Expiram’ podem ser uma decis\u00e3o arriscada<\/strong><\/p>\n

\u00a0<\/p>\n

\n
\n
\n
\n

Senhas s\u00e3o a primeira linha de defesa na maioria dos sistemas de seguran\u00e7a digital. Embora a renova\u00e7\u00e3o peri\u00f3dica de senhas possa ser frustrante para os usu\u00e1rios, especialmente quando eles precisam criar novas combina\u00e7\u00f5es dif\u00edceis de lembrar, optar por nunca expirar as senhas pode ser uma decis\u00e3o arriscada para a seguran\u00e7a cibern\u00e9tica de uma organiza\u00e7\u00e3o. Neste artigo, vamos explorar o motivo pelo qual as senhas expiram, as implica\u00e7\u00f5es de permitir que senhas nunca expirem e os riscos associados a essa pr\u00e1tica.<\/p>\n

\u00a0<\/p>\n

Por que as senhas expiram?<\/strong><\/p>\n

A pr\u00e1tica de exigir que senhas sejam alteradas a cada 90 dias surgiu para proteger contra ataques de for\u00e7a bruta. Em um ataque de for\u00e7a bruta, os invasores tentam todas as combina\u00e7\u00f5es poss\u00edveis de uma senha at\u00e9 encontrar a correta. Normalmente, as organiza\u00e7\u00f5es armazenam as senhas de seus usu\u00e1rios como hashes, vers\u00f5es criptografadas geradas por algoritmos de hash criptogr\u00e1fico. Quando o usu\u00e1rio insere sua senha, ela \u00e9 convertida em um hash e comparada ao hash armazenado no banco de dados. No entanto, se o invasor tiver acesso ao banco de dados de senhas criptografadas, ele pode tentar usar diversas senhas at\u00e9 encontrar a correta.<\/p>\n

\u00a0<\/p>\n

Embora as pol\u00edticas de expira\u00e7\u00e3o de senhas sejam eficazes em retardar os ataques de for\u00e7a bruta, essa abordagem foi originalmente desenvolvida para uma \u00e9poca em que os ataques n\u00e3o eram t\u00e3o sofisticados quanto hoje. Al\u00e9m disso, o avan\u00e7o na capacidade computacional reduziu o tempo necess\u00e1rio para quebrar senhas mais simples. No entanto, o per\u00edodo de 90 dias ainda \u00e9 amplamente recomendado por padr\u00f5es de conformidade, como PCI DSS.<\/p>\n

\u00a0<\/p>\n

For\u00e7a bruta e expira\u00e7\u00e3o de senhas<\/strong><\/p>\n

Imagine uma organiza\u00e7\u00e3o que for\u00e7a a mudan\u00e7a de senhas a cada 90 dias. Isso significa que um invasor, ao tentar um ataque de for\u00e7a bruta tem um tempo limitado para descobrir a senha antes que ela seja alterada. Com o aumento da complexidade das senhas, como a exig\u00eancia de caracteres especiais, n\u00fameros e letras mai\u00fasculas, a probabilidade de o invasor obter sucesso diminui consideravelmente antes do pr\u00f3ximo per\u00edodo de expira\u00e7\u00e3o.<\/p>\n

\u00a0<\/p>\n

O que leva algumas organiza\u00e7\u00f5es a eliminar a expira\u00e7\u00e3o de senhas?<\/strong><\/p>\n

Recentemente algumas organiza\u00e7\u00f5es decidiram abandonar as pol\u00edticas de expira\u00e7\u00e3o de senhas, especialmente para reduzir a carga sobre as equipes de TI. Isso ocorre porque grande parte das solicita\u00e7\u00f5es de suporte t\u00e9cnico est\u00e1 relacionada a redefini\u00e7\u00e3o de senhas esquecidas. Segundo a Gartner, entre 20% a 50% das chamadas aos servi\u00e7os de help desk est\u00e3o associadas a problemas com senhas. Al\u00e9m disso, cada redefini\u00e7\u00e3o de senha custa, em m\u00e9dia 70 d\u00f3lares, de acordo com a Forrester.<\/p>\n

\u00a0<\/p>\n

Portanto, algumas empresas acreditam que exigir uma senha forte e \u00fanica no momento da cria\u00e7\u00e3o e permitir que ela nunca expire pode reduzir os custos de suporte e simplificar a experi\u00eancia do usu\u00e1rio. Por\u00e9m, essa abordagem apresenta v\u00e1rios riscos.<\/p>\n

\u00a0<\/p>\n

Quais s\u00e3o os riscos de senhas que nunca expiram?<\/strong><\/p>\n

Embora possa parecer que uma senha forte e permanente oferece seguran\u00e7a, essa cren\u00e7a pode ser enganosa. Mesmo senhas robustas podem ser comprometidas por meio de ataques de phishing, viola\u00e7\u00f5es de dados ou outros incidentes cibern\u00e9ticos. Um estudo da Specops Breached Password Report revelou que 83% das senhas comprometidas atendiam aos padr\u00f5es regulamentares de comprimento e complexidade.<\/p>\n

\u00a0<\/p>\n

Al\u00e9m disso, muitos usu\u00e1rios tendem a reutilizar suas senhas em diferentes plataformas, como redes sociais, e-mails pessoais e outros servi\u00e7os online. Se a senha usada em um ambiente corporativo for comprometida em outro servi\u00e7o todos os sistemas que dependem daquela senha estar\u00e3o vulner\u00e1veis. Um levantamento da LastPass indicou que embora 91% dos usu\u00e1rios compreendam os riscos de reutilizar senhas, 59% ainda o fazem.<\/p>\n

\u00a0<\/p>\n

Reutiliza\u00e7\u00e3o de senhas e viola\u00e7\u00f5es de dados<\/strong><\/p>\n

Imagine que um funcion\u00e1rio usa a mesma senha para sua conta de e-mail pessoal e para acessar os sistemas da empresa. Se a conta de e-mail for comprometida em uma viola\u00e7\u00e3o de dados, os atacantes podem tentar a mesma senha em outras plataformas, como o sistema da empresa, especialmente se a senha n\u00e3o tiver um prazo de expira\u00e7\u00e3o. Isso aumenta o risco de uma viola\u00e7\u00e3o corporativa massiva.<\/p>\n

\u00a0<\/p>\n

Outro risco \u00e9 que uma vez que um invasor consiga acesso ao sistema de uma organiza\u00e7\u00e3o com uma senha comprometida, ele pode permanecer ativo por muito tempo sem ser detectado. Estudos mostram que leva em m\u00e9dia 207 dias para uma organiza\u00e7\u00e3o identificar uma viola\u00e7\u00e3o de seguran\u00e7a, o que d\u00e1 ao invasor tempo suficiente para explorar dados valiosos.<\/p>\n

\u00a0<\/p>\n

Como detectar senhas comprometidas<\/strong><\/p>\n

Dada a vulnerabilidade das senhas, independentemente de qu\u00e3o fortes elas sejam \u00e9 fundamental que as organiza\u00e7\u00f5es implementem estrat\u00e9gias que detectem credenciais comprometidas. Uma pol\u00edtica robusta de senhas deve incluir medidas como:<\/p>\n

\u00a0<\/p>\n