Releases

O caso do Museu do Louvre, em Paris, revelou recentemente uma falha digna de roteiro de ficção: o sistema de segurança do museu utilizava a senha “LOUVRE”. O episódio, que ganhou repercussão mundial após o roubo de joias avaliadas em mais de US$ 100 milhões, acendeu um alerta global sobre o perigo que senhas simples representam — até mesmo em instituições de prestígio.

No ambiente digital, o risco é ainda maior. As “portas de entrada” dos sistemas corporativos podem ser exploradas por invasores que atuam a milhares de quilômetros de distância, utilizando técnicas cada vez mais sofisticadas. A preocupação se intensificou recentemente com o anúncio da fusão de três dos principais grupos hackers do mundo — Scattered Spider, LAPSUS$ e ShinyHunters —, união que promete elevar o poder e a complexidade dos ataques cibernéticos.

“Esses casos mostram que qualquer brecha pode ser explorada, e a senha é, muitas vezes, o elo mais fraco da corrente. É mais fácil obter acesso não autorizado a ativos ou dados da empresa usando credenciais de usuário válidas do que 'hackeando' o ambiente”, alerta Felipe Berneira, CEO da Pronnus Tecnologia, empresa brasileira especializada em segurança cibernética.

Por que uma política de senhas é essencial

Um relatório da LastPass de 2022 revelou que 81% das violações de dados envolveram senhas fracas, reutilizadas ou comprometidas, o que evidencia a urgência de uma política corporativa clara sobre o tema. “Uma política de senhas não é apenas um documento burocrático. É um conjunto de regras que define como as credenciais devem ser criadas, armazenadas, trocadas e protegidas. Sem isso, a empresa fica vulnerável a acessos indevidos, vazamento de informações e até interrupção de serviços”, explica o especialista.

Ele também destaca que uma política bem estruturada deve equilibrar segurança e praticidade, além de estar alinhada às normas como a ISO 27001 e as diretrizes do Center for Internet Security (CIS).

O especialista pontua algumas diretrizes indispensáveis para fortalecer o controle de acesso nas empresas, alinhadas a frameworks como o CIS Controls. São elas:

• Comprimento e complexidade: exigir senhas com pelo menos 14 caracteres para contas padrão e 8 caracteres para contas protegidas com Autenticação Multifator (MFA), combinando letras, números e símbolos;
• Proibição de reutilização: impedir o uso da mesma senha em sistemas diferentes, tanto corporativos quanto pessoais, para evitar que um vazamento comprometa múltiplos acessos;
  Autenticação Multifator (MFA): implementar MFA como camada de segurança obrigatória, especialmente para acesso remoto, contas com privilégios administrativos e acesso a dados sensíveis;
• Uso de gerenciadores de senhas: incentivar o uso de gerenciadores de senhas para que os colaboradores possam criar e armazenar credenciais fortes de forma segura, evitando o uso de planilhas ou arquivos de texto;
• Bloqueio de tentativas: limitar o número de tentativas de login incorretas para mitigar ataques de força bruta;
• Troca Inteligente: substituir senhas apenas em caso de suspeita ou confirmação de vazamento, desde que as políticas de complexidade e exclusividade sejam rigorosamente seguidas;
• Treinamento contínuo: educar os colaboradores sobre as melhores práticas de autenticação, os riscos do phishing e a importância da gestão segura de credenciais.

“A segurança deve ser pensada de forma escalável. Adotar essas medidas de forma integrada não apenas fortalece as defesas da organização contra ameaças externas, mas também cultiva uma cultura de segurança que reconhece cada colaborador como uma peça fundamental na proteção dos ativos digitais da empresa", conclui o CEO da Pronnus Tecnologia.