Aconteça o que acontecer, não permita que estas passwords sejam usadas na sua empresa
Muitos ataques informáticos são executados com o único propósito de roubar credenciais de acesso, isto é, endereços de email e respetivas palavras-passe. Além de serem informações com valor nos mercados negros da internet, são informações que podem dar acesso a outras informações privadas dos utilizadores, incluindo acessos a contas bancárias.
Um dos maiores ataques informáticos de sempre afetou a Yahoo e resultou no roubo de informações relativas a mil milhões de utilizadores. Muitas outras empresas já viram dados sensíveis dos seus utilizadores serem comprometidos, casos da Adobe, Dropbox, Evernote, Tumblr e Friend Finder Network.
Com o tempo estes dados acabam por aparecer muitas vezes em mercados ilegais, vendidos em conjunto ou em separado se o volume de informação pessoal for extenso. O que é um negócio para os cibercriminosos, é também uma forma de as empresas se protegerem.
Por exemplo, o Facebook já confirmou que compra informações de bases de dados roubadas para poder manter os seus utilizadores seguros. Se detetar que a password de algum utilizador consta numa destas base de dados, informa a pessoa de que pode ter a sua conta de Facebook e não só em risco.
Mas o Facebook é uma empresa que tem um grande poder de investimento para poder ter acesso a estas informações. As pequenas e médias empresas, sem tanto capital para investir em segurança informática de ponta, como podem realizar algo semelhante?
A resposta vem do especialista em segurança informática Troy Hunt. Conhecido pelo portal Have i been pwnd?, que permite saber se o seu endereço de email consta em bases de dados roubadas e entretanto divulgadas, o australiano decidiu lançar um serviço diferente.
O Pwnd Passwords permite fazer o mesmo, mas relativamente às palavras-passe. Por exemplo, pode pesquisar a sua password para saber se ela consta em algum dos inúmeros roubos de informação já realizados pelos piratas informáticos.
Tudo fica mais interessante para as empresas, pois Troy Hunt disponibiliza um arquivo, totalmente gratuito, com 306 milhões de passwords roubadas. Esta informação, bem trabalhada, pode ser ouro para as empresas implementarem melhores políticas de segurança informática.
O objetivo é que as empresas criem sistemas que não permitam a criação de passwords internas que correspondam a passwords roubadas, diminuindo assim o risco de intrusões indevidas. Claro que ter apenas uma password não é suficiente para fazer uma invasão, mas já é meio caminho para que isso possa acontecer.
Na publicação onde descreve este seu novo projeto, Troy Hunt dá ainda outros cenários onde as empresas podem utilizar estes 306 milhões de palavras-passe para criar formas de aumentarem os seus níveis de segurança.
Publicado em:
AtualidadePartilhe nas Redes Sociais