Resolvi escrever este pequeno artigo por que não vi nada parecido por aí, seja em filmes antigos, filmes novos, no dia a dia, tenho percebido que algumas coisas não mudam, e deveriam mudar!
Por que nos dias atuais, com tantos problemas vistos por aí, de todos os tipos, relacionados à segurança da informação (SI), ainda temos métodos de logins obsoletos, será por preguiça, por falta de conhecimento? O Processo de segurança na fabricação de softwares não está caminhando juntamente com as demais práticas de segurança em redes?
Não vejo em lugar algum, nem tenho visto, métodos mais modernos e seguros na hora de se criar simples telas de logins, seja para sistemas na web, seja em sistemas para Desktop! Também desconheço nas universidades brasileiras, nas aulas ministradas em desenvolvimento, ou por inexistência de uma matéria pertinente a parte, falarem sobre este conceito! Assim como a falta grave de criação de métodos de trilhas de auditorias. Vi este problema num sistema de ERP muito conhecido rodando em uma empresa multinacional. Falta de trilhas de auditoria, pelo menos na tela de login!
A autenticação por senha, com a possibilidade de adivinhação de um “segredo”, é um método tão antigo quanto os sistemas criados; este método é considerado um dos modos mais fracos de se ganhar acesso a um determinado sistema. Percebam caros amigos, que a adivinhação só basta para a variável senha, pois muitas vezes, quase todos os colaboradores em uma empresa podem ver o login (nome de usuário) de outro que deseja entrar num sistema, o que torna mais fácil, e quase 50% mais rápida, a possibilidade de um ataque bem-sucedido, por força bruta e/ou por dicionário.
Não seria mais viável, pelo menos um login onde, no lugar do nome, também surgissem asteriscos, tal qual acontece com o campo senha?!
Imaginem a seguinte situação: você é um Gerente de TI ou você possui qualquer outro cargo com credenciais administrativas, há pessoas a seu redor, incluindo terceirizados ou empresa que pretende implantar um ERP na sua empresa, por que você digitaria seu login, por exemplo, [meulogin], quando todos estão a sua volta, vendo o que digitou? Imagine agora que há alguém filmando com um celular, tecnologia normal hoje em dia, enquanto digita seus dados de acesso?! Já imaginou?
Há na internet uma série de artigos mostrando a quantidade de dados que vazam das empresas, sempre há um curioso snnifando a própria rede, mesmo que para teste, até que surge “algo interessante” e junto, vem a irresponsabilidade, curiosidade, maldade…
Penso que, dependendo do tipo de acesso e do tipo do dado que se deseja, pelo menos 2 campos de login e mais 2 campos de senha, no mínimo, deveriam existir, para 2 colaboradores dividirem a responsabilidade no acesso, com trilha de auditoria habilitada para cada par de campo de acesso separadamente. É apenas um exemplo mais banal!
As senhas possuem diversas fraquezas, seguem algumas que considero mais pertinentes:
1. A senha pode ser descoberta sem que seu dono saiba;
2. Podem ser interceptadas;
3. A todo tempo senhas são emprestadas, compartilhadas, o que é inadmissível, principalmente de e-mail entre colegas, quando da existência de férias. -“Alguém viu o gerente da contabilidade aí?”, “eu não, mas ele deixou a senha da pasta Bancos caso você queira acessar, assim não atrasará o serviço!”; Hum…
4. São utilizadas senhas banais, fracas, como: datas, nomes e, quando difíceis, após muito contrariados escolherem criá-las, anotam em papéis de fácil acesso para não esquecê-la. – Os outros também nunca mais a esquecerão!
Bônus:
Bem, caros amigos, num artigo anterior, eu escrevi sobre o descuido de que muitas pessoas têm cometido em utilizar e-mails em lan houses; esta semana, novamente, logo ao abrir uma página de e-mail, o navegador entrou direto no e-mail de um usuário.
Espero que gostem e utilizem a imaginação, porque não para por aqui.
Abraços e sucesso a todos!
Leave a Comment