Contexto / Cenário
A gestão de passwords é cada vez mais essencial para utilizadores comuns da internet e ainda mais importante para os utilizadores de ambientes empresariais onde o acesso a serviços e aplicações Web é critico e pode pôr em causa a segurança de todo o negócio. Além disso, é fácil cair no mau hábito de usar a mesma password para várias contas, o que garante que, se uma conta for comprometida, o resto também pode ser potencialmente hackeado. Para além disso, na ausência de um bom gestor de passwords os utilizadores podem ser convencidos facilmente em utilizar, por exemplo, o seu browser para guardar as suas passwords, dando a falsa sensação de segurança. Num outro post publiquei uma vulnerabilidade muito elevado do Google Chrome enquanto gestor de passwords.
Neste cenário os utilizadores da “Empresa1” não dispõe de nenhum gestor de passwords dedicado e controlado pelo IT ou pela equipa de segurança. Isto significa que os utilizadores guardam as suas passwords em locais diversos como: browser, cadernos, ficheiros excel, ficheiros office, soluções on-line sem a segurança esperada entre outros. Para além disto, outra parte dos utilizadores, na ausência de um gestor de passwords, utiliza a mesma password para os sistemas internos e externos aos quais acedem regularmente comprometendo assim a segurança de toda a organização.
Riscos
- Uso de passwords fracas ou repetidas
-
- Risco: Utilizadores podem criar passwords fáceis de adivinhar ou reutilizar as mesmas passwords em várias contas.
- Impacto: Um ataque bem-sucedido a outra plataforma pode expor credenciais reutilizadas e permitir o acesso às contas corporativas.
- Phishing mais eficaz
-
- Risco: Passwords geridas manualmente podem ser mais facilmente capturadas por ataques de phishing.
- Impacto: Um atacante pode obter acesso a sistemas internos ao enganar funcionários para que revelem as suas credenciais.
- Acesso não autorizado
-
- Risco: Sem um gestor de passwords, os utilizadores podem armazenar senhas em locais inseguros, como ficheiros Excel ou anotações físicas (em papel).
- Impacto: Credenciais expostas podem ser acedidas por pessoas mal-intencionadas, internas ou externas.
- Dificuldade em implementar políticas de passwords
-
- Risco: É mais difícil para o IT impor políticas como complexidade, expiração e exclusividade sem uma ferramenta que facilite a criação e o armazenamento de passwords.
- Impacto: As senhas podem não estar em conformidade com os padrões de segurança, aumentando as vulnerabilidades.
- Maior risco de ataques de força bruta
-
- Risco: Sem um gestor de passwords, os utilizadores podem optar por senhas curtas e previsíveis.
- Impacto: Ataques automatizados têm mais chances de sucesso.
- Perda de produtividade
-
- Risco: Os utilizadores podem esquecer passwords complexas, resultando em solicitações frequentes de redefinição.
- Impacto: Isso causa interrupções no trabalho e sobrecarga na equipe de IT.
- Vazamento de dados e conformidade
-
- Risco: Credenciais comprometidas podem levar a acessos não autorizados e vazamento de dados sensíveis.
- Impacto: A empresa pode sofrer multas regulatórias (como GDPR ), além de danos à reputação.
Para empresas que são certificadas com a ISO:27001, ou que estejam em preparação para a certificação, ter em consideração que a gestão de passwords faz parte desta framework de segurança, nomeadamente no controlo 5.17 (Authentication information):
5.17 Authentication information
Purpose – To ensure proper entity authentication and prevent failures of authentication processes.
Guidance – Allocation of authentication information. The allocation and management process should ensure that:
- a) personal passwords or personal identification numbers (PINs) generated automatically during enrolment processes as temporary secret authentication information are non-guessable and unique for each person, and that users are required to change them after the first use;
…
User responsibilities – Any person having access to or using authentication information should be advised to ensure that:
- a) secret authentication information such as passwords are kept confidential. Personal secret authentication information is not to be shared with anyone. Secret authentication information used in the context of identities linked to multiple users or linked to non-personal entities are solely shared with authorized persons;
Soluções / Mitigações
Ao longo dos anos fui implementando vários gestores de passwords em empresas de diferente dimensão. Em todos os casos, e independentemente da solução tecnológica encontrada como sendo a mais ideal para uma determinada situação e contexto, fui sempre dando muita importância á parte da consciencialização (awareness) dos utilizadores para o uso de tais ferramentas. Como em quase todas as vertentes da cibersegurança, se os utilizadores não estão bem treinados e conscienciosos dos riscos que correm, facilmente, mesmo com as mais avançadas ferramentas, cometem erros básicos que comprometem todo o investimento feito e, acima de tudo, a própria segurança do negócio.
Por isso, antes de se forcar na escolha de qual a melhor solução/ferramenta para gerir as passwords dos seus utilizadores, coloque o seu foco em criar a consciência nos seus utilizadores para os riscos de passwords mal geridas.
Relativamente ás ferramentas de gestão de passwords pode consultar abaixo aqueles que considero como sendo possíveis boas escolhas para o seu negócio, apresentando os “prós” e “contras” das mesmas.
1 – NordPass
O NordPass é altamente seguro, fácil de usar, amplamente suportado e mais acessível do que alguns outros provedores. Alguns dos melhores recursos do NordPass incluem autorização biométrica e scanning de reconhecimento óptico de caracteres (OCR). Esses recursos economizam tempo e tornam o uso do NordPass uma experiência perfeita. O compartilhamento de passwords é outro recurso voltado para negócios que torna a plataforma ideal para organizações.Muito boa arquitetura de segurança (modelo zero trust), que usa o algoritmo de criptografia XChaCha20 de ponta a ponta para garantir que os dados nunca sejam comprometidos.
O NordPass é uma boa proposta de valor e uma opção atraente para uma solução de gestão de passwords. No entanto, tem alguma falha na gestão que é dada ao administrador da solução.
Prós
Preço
Autorização biométrica
Scan OCR
Encriptação XCHACHA20
Contras
Falta de controlo do administrador
2 – Dashlane
O Dashlane é um dos maiores nomes em gestão de passwords, tendo dois planos voltados para empresas: Team e Business. Ambos os planos beneficiam do que o Dashlane descreve como sua “melhor arquitetura de segurança da categoria” com criptografia AES de 256 bits mais autenticação de dois fatores. O plano Team de nível inferior dá às empresas a capacidade de lidar com tudo, desde uma consola de administração central, gestão de permissões, políticas, contas de limpeza remota e muito mais. O Dashlane também fornece uma conta pessoal premium gratuita para utilizadores e um sistema de Smart Spaces, onde os funcionários podem ter um espaço pessoal e um espaço comercial. O plano Business de nível superior do Dashlane fornece contas familiares premium para utilizadores e adiciona login único baseado em SAML para logins fáceis e convenientes em várias contas diferentes. Naturalmente, ambos os planos também são totalmente adequados para implantação em massa num ambiente empresarial, promete o Dashlane.
O Dashlane vem equipado com uma interface louvável e amigável, o que é sempre bom – e aos nossos olhos parece mais elegante do que o principal rival LastPass. Talvez a principal desvantagem do Dashlane seja o preço. O lado positivo é que há um teste gratuito de 30 dias disponível para ter uma boa ideia do que exatamente o serviço fará pelo seu negócio.
Prós
Controlos de administração robustos
Acesso de emergência
Descontos para grandes organizações
Contras
Preço
3 – Keeper
O Keeper é uma solução de gestão de passwords de primeira linha para empresas com planos de assinatura, desde empresas menores até planos empresariais de maior dimensão (este último adiciona extras, como autenticação Single Sign-On). Os planos Business Password Manager dão a cada membro da equipe um cofre privado para gestão de passwords e a capacidade de compartilhar pastas criptografadas entre utilizadores e ou equipas.Os administradores podem gerir grupos de utilizadores, aplicar políticas de segurança de passwords ou de dados em toda a organização, bem como realizar auditorias de segurança (com ferramentas de relatórios robustas à disposição).Todo esse poder é apoiado por uma interface intuitiva para que não pareça uma tarefa árdua usar o gestor de passwords. O Keeper fornece segurança rígida na forma de criptografia forte e uma política de zero trust.
Para completar, o suporte ao cliente é excelente, com suporte de chat de qualidade e alguns vídeos e artigos de ajuda excelentes. As desvantagens incluem que as informações de identidade que se pode especificar para tarefas de preenchimento automático de formulários são limitadas, e se se optar por alguns dos complementos – como o BreachWatch – eles podem ficar bem caros. Caso contrário, o preço é razoavelmente competitivo para os planos empresariais.
Prós
Interface fácil e intuítiva
Encriptação e modelo Zero Trust
Administradores podem aplicar muitas politicas
Contras
Os add-ons trazem custos adicionais
4 – Manage Engine Password Manager Pro
O ManageEngine Password Manager Pro não é a ferramenta para comprar se deseja gerir passwords para pequenas empresas ou um produto familiar. É uma ferramenta de ponta para grandes empresas, e tanto seu preço quanto seu conjunto de recursos refletem esse status. Se existir budget e a necessidade de uma ferramenta de gestão de passwords de ponta, então é a solução certa.
No geral, não é barato, mas o ManageEngine Password Manager Pro oferece desempenho e versatilidade excelentes para empresas.
Prós
Muitas funcionalidades
Extremamente versátil
Segurança de alto nível
Contras
Preço
Interface complicada
Para mais informações sobre este ou outro qualquer tema contactar: [email protected]