A sua senha é a chave do seu mundo digital – proteja-a

A segurança digital é um assunto que volta e meia está no centro do noticiário. Seja por conta de ataques cibernéticos, vazamento de informações, burlas de qualquer natureza, alertas sobre os problemas que são causados às pessoas simples como eu e você, famosos e empresas com seus milhares de euros de prejuízos passam muitas vezes desapercebidos quando tais fatos não são noticiados.

É certo que a cada segundo são inferidos milhares de tentativas de ataques cibernéticos, dos mais simples aos mais sofisticados. Milhares por segundo. E não estou a exagerar. Só este site, o ComunicaRH, teve este último mês mais de 7.000 tentativas de ataque dos mais variados tipos. Já outros clientes tiveram mais de 1.600 tentativas num intervalo de 6 minutos. Se somarmos as tentativas de ataques de todas as infraestruturas que cuidados, este número passa das 250.000 tentativas de ataques mensais. Graças a um esforço monumental, conseguimos mitigar todos os ataques.

Contudo, a segurança do seu email pessoal, da área administrativa de um site ou sistema web e outras aplicações da sua empresa se passa por uma boa definição de nome de utilizador e uma boa palavra-passe. Se imaginarmos o tamanho do prejuízo que o seu negócio pode ter por conta de vazamento de informações sigilosas, tomaríamos mesmo muito mais cuidado na definição de palavras-passe e nome de utilizador.

Os meios

Sabemos que utilizadores como “admin”, “administrator”, “administrador”, “user” e outros já são velhos conhecidos dos burlões e as palavras-passe então nem se fale. Mas os riscos não está apenas nas aplicações da nossa empresa ou no nosso email pessoal, mas nos diversos serviços aos quais estamos conectados. Aplicações WEB para criação de vídeos, programas de desconto, assinaturas de serviços de streaming… Quantas são as oportunidades que oferecemos aos burlões de conseguir acesso à informações preciosas, e que em alguns casos pode envolver até mesmo o sigilo de nossos negócios e nossos clientes.

Em janeiro deste ano, o site Cybernews revelou o maior vazamento de informações da história: 26 bilhões de dados pessoais, cerca de 12 terabytes de dados. Dentre as informações vazadas estão utilizadores do LinkedIn, Twitter, Wibo entre outras.

As ameaças não param por aí. Lembra-se dos problemas que nomes de utilizadores comuns e palavras-passes conhecidas mencionados anteriormente neste artigo? Pois bem, existe uma lista na internet chamada “rockyou” que contém mais de 14 milhões das palavras-passes conhecidas. 14 milhões! Será que a sua está lá?

O fato de uma lista desta existir possibilita os burlões de usá-las de maneira regular, a tentar de forma meticulosa e programada aceder sites, sistemas web e emails. O método mais comum é o já conhecido “força bruta”, onde um programa tenta regularmente aceder ao sistema usando um nome de utilizador e uma palavra-passe desta lista já conhecida. E se seu sistema web tiver uma falha que expõe o nome do utilizador, 50% do caminho para um burlão aceder seu sistema já está desbravado.

Um caso de Força-Bruta

Ilustração do método FORÇA-BRUTA

Esta imagem retrata bem o caso de uma tentativa de acesso ao um sistema web a usar forma-bruta. E notamos que o burlão teria sucesso, pois encontrou a palavra-passe de um utilizador específico ao tentar apenas 225 vezes. Agora lanço aqui uma pergunta: que tipo de estrago no seu negócio pode causar uma fragilidade deste tipo?

Como se proteger

Não posso dizer que seja impossível evitar um ataque cibernético, um vazamento. Não tenho esta pretensão. Para tanto, podemos dificultar tais tentativas. A primeira delas é ter palavras-passe segura. No nosso site, temos uma aplicação que pode oferecer palavras-passe segura.

Estas palavras-passe mais sofisticadas devem ser aplicadas em todas as suas contas, principalmente as dos emails de pouco uso e aqueles que são usamos para recuperação de contas. Para já o seu serviço de alojamento de sites e sistemas web deve contar com uma política anti ataque DDOS – um invasor sobrecarrega um website, servidor ou recurso de rede com tráfego malicioso.

Uma política anti força-bruta deve ser pensada na construção do seu site e sistema web. A ideia de separar os emails profissionais, pessoais e das contas de assinatura, programas de afiliados e outro é uma boa pedida.

Para cada uma destas contas use uma senha segura, com 12, 15, 18 caracteres que mistura números, maiúsculas e minúsculas e caracteres especiais. Vamos dificultar ao máximo a vida dos burlões.

Caso tenha a curiosidade para saber se o seu email pode ter sido vazado num destes ataques, consulte os serviços have i been pwned e Check your password para saber o nível de dificuldade que sua palavra-passe oferece.

Já se somam anos de experiência na criação e desenvolvimento de sites e sistemas web. Com esta experiência aprendemos a observar o comportamento de bots que vasculham sites e sistemas web à procura de vulnerabilidades, ações de força-bruta e de alguma forma neutralizá-las.

Caso queira perceber os riscos dou site ou sistema web entre em contacto com a MySiteFaster

Ricardo Teixeira