DEV Community: Carolina Bandel

[CYBERSECURITY] Tendência Passwordless

Carolina Bandel — Sun, 28 Jul 2024 02:52:40 +0000

Introdução

Que as senhas têm sua importância para garantir a segurança dos nossos dados e acessos não é nenhuma novidade. Porém, temos visto cada vez mais o quão problemático o uso de senhas pode ser quando elas são mal geridas, visto que essa administração recai inteiramente sobre o usuário e requer responsabilidade – além de uma boa memória. As clássicas senhas fracas como “123456” ou “maria123” ainda são muito comuns, mas é compreensível: ao mesmo tempo que somos orientados a não anotar nossas senhas, também precisamos ter uma senha diferente para cada plataforma, serviço e dispositivo. E como hoje tudo está concentrado no mundo digital, memorizar tantas coisas pode ser desafiador e, consequentemente, arriscado.

O maior problema das senhas previsíveis é a predisposição que elas têm de serem descobertas e quebradas em ataques brute force, quando o hacker tenta diversas combinações possíveis de caracteres até encontrar a combinação correta, ou ataques de dicionário, quando o hacker utiliza wordlists (listas predefinidas com as palavras mais utilizadas) até acertar. Além dos ataques premeditados, senhas podem ser comprometidas em vulnerabilidades de banco de dados e vazamentos de dados de login e informações sensíveis de diversos provedores de serviço.

Porém, os profissionais de segurança da informação e defesa cibernética têm pensado em novas alternativas de proteção de dados e acessos e, nesse contexto, surgiu a tendência passwordless.

O que é autenticação passwordless?

Em uma realidade onde as senhas já não são garantia de segurança e privacidade, a tendência passwordless surge como uma nova possibilidade. “Password” vem da palavra em inglês “senha” enquanto “less” quer dizer “sem” ou “menos”.

A proposta passwordless é de um contexto “sem senhas”, onde estas seriam substituídas por outras alternativas, sem a necessidade de o usuário cadastrar uma combinação de caracteres definida por ele mesmo ficando, portanto, responsável por guardar e memorizar. A tendência traz outras formas de verificar a identidade do usuário sem a necessidade de inserir uma senha tradicional.

Diferentes métodos de autenticação sem senha

As alternativas de autenticação passwordless são várias e surgiram conforme as necessidades apareceram tendo suas vantagens e desvantagens.

Para reduzir o risco de phishing, por exemplo, existe a autenticação por “link mágico”, que funciona quando o usuário insere seu endereço de e-mail e recebe um link único na sua caixa de entrada. É simples e eficiente, desde que a conta de e-mail não seja comprometida.

Os códigos de uso único (OTP - One Time Password) são o método mais comum. O usuário recebe um código temporário via SMS, e-mail ou aplicativo de autenticação, sendo um passo complementar ao login tradicional. Esse método se encaixa na Autenticação de Dois Fatores (2FA) ou Multifatorial (MFA) e é considerado semi-passwordless.

Uma alternativa mais moderna e adotada por modelos atuais de smartphones é a biometria. A autenticação biométrica inclui impressões digitais, reconhecimento facial, leitura de íris e até mesmo reconhecimento de voz. É segura, conveniente e quase impossível de falsificar. A desvantagem é a preocupação dos usuários com a sua privacidade e o fato de esse método requerer sensores específicos (hardware).

Existem também as chaves de segurança físicas, que estão se disseminando através da FIDO Alliance, uma organização sem fins lucrativos formada por diversas empresas de tecnologia em parceria com a W3C e que visa criar padrões passwordless. A FIDO já conta com três protocolos: a FIDO UAF (Framework de Autenticação Universal), a FIDO U2F (2º Fator Universal) e a FIDO2. Todos os protocolos utilizam criptografia de chave pública, possuem proteção anti-phishing, integram dados biométricos e podem vir na forma de tokens físicos que serão conectados ao dispositivo via USB, NFC ou Bluetooth.

Outro método de autenticação comum são as notificações push. O usuário recebe uma notificação push no dispositivo e confirma o login. É fácil de usar, é uma autenticação rápida e muito eficiente contra tentativas de phishing.

Por fim, a autenticação com login social é uma alternativa viável para os usuários que querem fazer login ou cadastros em sites utilizando as credenciais de uma rede social (Google, Facebook, LinkedIn, etc). Se o objetivo é reduzir o gerenciamento de senhas, o login social é ótimo, porém a segurança depende do provedor de identidade e também existe preocupação em relação à privacidade e controle dos dados dos usuários.

Como mencionado anteriormente, são várias as alternativas disponíveis, incluindo aplicativos de autenticação e autenticação baseada em certificados digitais. Cada método busca atender a necessidade de segurança, tendo suas próprias possibilidades de uso, além de levar em consideração a estrutura da organização ou de um sistema.

Benefícios e desafios

A transição de um ambiente com senha para um ambiente passwordless requer planejamento e investimento. Tanto os usuários quanto os gestores dos sistemas e das organizações precisam ser educados a respeito da tendência e suas possibilidades. Além de garantir maior segurança, a autenticação sem senha pode melhorar a experiência do usuário, oferecendo um login mais rápido e ágil. Com a redução de senhas e chamados de suporte para redefinição das mesmas, também tende a se reduzir o custo operacional. A autenticação passwordless pode ajudar as empresas a se manterem em conformidade regulatória (compliance) e se beneficia da adoção de tecnologias mais modernas e robustas.

Embora os benefícios já pareçam suficientemente convincentes, alguns desafios devem ser citados. Implementar uma solução passwordless pode ser complexo no início, por se tratar de mudanças na infraestrutura de TI já existente na empresa, e isso normalmente vai exigir que sistemas e dispositivos complementares também sejam modificados. No parágrafo anterior foi mencionada a redução de custo operacional, mas, em contrapartida, no caso de adoção de tecnologias como autenticação biométrica ou tokens de hardware, o custo inicial pode ser elevado.

Os métodos que utilizam biometria ainda são polêmicos e levantam questões sobre privacidade e segurança dos dados dos usuários. As empresas que adotarem essa alternativa precisam garantir confiabilidade na proteção contra vazamentos de dados e uso indevido. Isso também traz um pouco de resistência dos usuários, pois além da preocupação com os dados, algumas pessoas podem ter dificuldade de se familiarizar com essas tecnologias.

Em síntese, a tendência passwordless pode parecer complexa no começo, mas promete maior segurança e uma melhor experiência do usuário. É importante que as organizações considerem novas formas de autenticação e trabalhem em um gerenciamento eficiente.

Casos de uso e implementação prática

Com certeza você utiliza ou já utilizou a autenticação passwordless em algum aplicativo ou dispositivo. A adoção dessa prática é cada vez mais comum, uma vez que as empresas estão testando diferentes métodos, desde câmeras de reconhecimento facial e softwares de análise biométrica até prompts de autenticação enviados por notificação push, SMS ou e-mail.

A Microsoft tem defendido a autenticação sem senha através da utilização de reconhecimento facial ou impressão digital nos seus dispositivos com Windows Hello. O Google foi um dos pioneiros na tendência passwordless, permitindo diversas formas de autenticação: em dispositivos móveis, o login pode ser feito por link mágico, por notificação push ou por código PIN enviado para outro dispositivo cadastrado para recuperação.

Os bancos e instituições financeiras também estão interessados: o HSBC introduziu a autenticação por reconhecimento de voz através de chamadas telefônicas; o Nubank utiliza autenticação de dois fatores (2FA); caso o dispositivo do usuário possua reconhecimento biométrico, este pode ser ativado para acessar o aplicativo. O mesmo se aplica aos bancos Santander e Banrisul.

A implementação de métodos sem senha difere conforme a necessidade da organização e o contexto do usuário. Porém, além da ênfase na segurança, é preciso uma abordagem na compatibilidade tecnológica e foco no treinamento dos usuários.

Conclusão

Conforme os ataques digitais e vazamentos de dados se tornam cada vez mais frequentes e sofisticados, utilizar senhas tradicionais se tornou algo que já não supre a necessidade de privacidade. A tendência passwordless surge como um grande passo na evolução da segurança da informação e da defesa cibernética.

Futuramente, novas soluções mais seguras e convenientes surgirão já que agora temos desafios com inteligência artificial e machine learning que, ao mesmo tempo em que são incorporados em golpes e ameaças, também dão suporte aos blue teams¹, fornecendo respostas eficientes a incidentes em tempo real². É importante que as organizações estejam preparadas para a transição de um mundo de “123456” para a realidade sem senhas, investindo em tecnologia, inovação, infraestrutura e educação sobre o tema para colaboradores e usuários.

Apesar de o artigo tratar a autenticação sem senha como uma tendência, ela não denota um fenômeno passageiro; pelo contrário, esse tipo de autenticação é uma evolução necessária para termos um ambiente digital mais seguro e fornece uma base para o futuro, quando se trata de navegar com mais confiança e proteger informações e dados.

¹ Blue team: equipe que trabalha na defesa e monitoramento de redes e sistemas.
² Leia mais no artigo: IDS/IPS, syslog, SIEM e SOAR: ferramentas para monitoramento de redes

[CYBERSECURITY] IDS/IPS, syslog, SIEM e SOAR: ferramentas para monitoramento de redes

Carolina Bandel — Wed, 13 Mar 2024 05:23:10 +0000

Em um contexto corporativo onde se têm diversos dispositivos, usuários e ativos valiosos, uma das etapas mais importantes para a equipe de segurança é o monitoramento da rede e dos sistemas. O monitoramento auxilia na prevenção de ataques, garante a disponibilidade do sistema e dos recursos, serve na manutenção das conformidades regulatórias e na identificação de padrões e tendências de uso e comportamento de usuários. Investir em segurança digital é mais econômico do que lidar com as consequências de um possível ataque. Para isso os profissionais de SOC (Security Operations Center) contam com diversas ferramentas: os sistemas de detecção e prevenção de incidentes (IDS e IPS), syslogs, SIEM e SOAR são grandes aliadas.

Sistema (s.m.) – conjunto de elementos, concretos ou abstratos, intelectualmente organizados.

Quando se trabalha com monitoramento de redes corporativas, há diversos sistemas alternativos e, dentro desses sistemas, existem algumas ferramentas disponíveis para integração. Vamos falar sobre algumas delas.

IDS (Intrusion Detection System)

Como o próprio nome diz, o IDS é o sistema que atua na detecção de uma ameaça ou incidente. Deve ser configurado conforme a necessidade da empresa para monitorar o tráfego de dados na busca de possíveis atividades suspeitas ou anomalias (interações que divergem de um padrão comportamental). Normalmente, o IDS compara pacotes de rede com um banco de dados de incidentes já reconhecidos que chamamos de assinaturas (signatures). Se uma combinação for encontrada, o IDS tem a capacidade de registrar esse evento e criar um alerta à equipe de SOC.

Porém, vale ressaltar que o IDS é responsável somente pela detecção e registro; ele não deve atuar em cima do incidente.

IPS (Intrusion Prevention System)

Enquanto o IDS detecta e gera alerta de atividades suspeitas, o IPS é um sistema configurado para intervir e prevenir intrusões. Por exemplo, o IPS pode ser preparado com regras pré-definidas (playbook) para bloquear e negar tráfego suspeito. Inclusive, IDS e IPS já são funções incluídas nos firewalls de nova geração.

Além de sistemas de monitoramento como IDS e IPS, os SOCs contam com outras ferramentas cruciais que devem ser integradas nas atividades de detecção e prevenção de incidentes. Em um cenário de ataque, possuir os registros detalhados dos eventos pode ser muito útil na investigação e para a equipe de forense. Uma opção é o syslog.

SYSLOG

O syslog é um aplicativo especializado em receber e registrar logs em um servidor centralizado. Os logs são um conjunto de informações e interações dos usuários na rede. O syslog é muito útil no ambiente corporativo por concentrar em um único lugar todos os logs, facilitando a administração dos eventos e análise. No entanto, a ferramenta registra inúmeros eventos, inclusive os que não oferecem perigo por serem interações normais entre usuário e sistema. Vamos ao exemplo: é natural que um usuário esqueça uma senha complexa e precise tentar digitar 3 vezes em um intervalo de 1 minuto até conseguir logar. Mas não é normal um usuário fazer 10 tentativas de senha em 1 segundo. Essa quantidade de tentativas em um período x de tempo é registrada como log para que se inicie a investigação.

Se a verificação manual não é nada prática - ~~para não dizer impossível~~ –, como diferenciar um log suspeito de um log normal? Eis a importância da automação na análise dos registros.

SIEM (Security Information and Event Management)

O SIEM automatiza o processo de leitura dos registros advindos de diversas fontes. A ferramenta é responsável por verificar os logs e gerar alertas para a equipe de SOC no caso de eventos suspeitos ou registros que fogem do padrão, fornecendo uma resposta ao incidente mais rápida e precisa.

SOAR (Security Orchestration, Automation and Response)

Outra ferramenta importante é o SOAR que irá responder de forma inteligente e automatizada através de um comando contra a ameaça. Essa resposta precisa ser pré-definida pela equipe do SOC em um playbook e é neste playbook que o SOAR irá buscar a instrução de resposta para o tipo de ameaça detectada.

Todas essas ferramentas estão inter-relacionadas e fazem parte do ecossistema de segurança cibernética de uma organização. Através de um syslog, um IDS pode alimentar dados ao SIEM, que pode fazer uma correlação dos eventos e acionar uma resposta automática através de uma plataforma SOAR. Estes elementos da rede precisam ter seus logs devidamente configurados e direcionados para o SIEM e SOAR para funcionarem de forma eficaz. Existem diversas empresas no mercado que fornecem soluções SIEM e SOAR e as plataformas devem ser escolhidas conforme a necessidade específica da empresa.