As palavras-passe são ainda a parte nevrálgica dos sistemas e continuam a ser também o método mais utilizado na sua autenticação. Parece que elas nunca mais vão acabar. Muitos utilizadores usam a mesma palavra-passe em diversos serviços online, e isso é um problema grave no que ao roubo de identidade diz respeito. Quanto mais se expande a vida online, mais palavras-passe criamos, mais sistemas usamos …
Quantas palavras-passe você usa atualmente? Usa a mesma palavra-passe em mais que dois serviços? A sua palavra-passe já foi comprometida em algum sistema? (https://haveibeenpwned.com) …
Comprometer palavras-passe diz respeito a uma arte muito antiga, que remonta a séculos. P.ex., os espiões e os reis passaram a confiar em palavras-passe e códigos acordados entre ambos para executar as suas funções. Os matemáticos, “scripts-kiddies” e os criminosos também desfrutam das recompensas de comprometer novas palavras-passe para compartilhar sítios que não deviam ser acedidos. No mundo moderno, toda a nossa economia global (e a nossa vida pessoal) depende de um equilíbrio delicado entre acessibilidade e segurança.
Nos últimos anos, as palavras-passe passaram a ter impacto nos consumidores comuns das maiores marcas mundiais. Sony, Apple, Yahoo, Adobe, Equifax — a lista continua e continua. Até mesmo o LastPass, uma aplicação para guardar palavras-passe online, sofreu um hack. Os hackers descobriram endereços de e-mail, palavras-passe e hashes de autenticação para milhões de utilizadores.
Tenha cuidado ao abrir a seguinte hiperligação, mas, visualize aqui alguns comprometimentos de palavras-passe mantidos pela Wikipedia.
Num ano marcado por muitos data breach, um ano onde muitos utilizadores viram as suas palavras-passe expostas na Internet, está na altura de falar sobre segurança online.
Por falar nisso, há dias muitos utilizadores viram as suas palavras-passe a circular na dark web.
Milhares de e-mails e de palavras-passe de portugueses estão circular na internet. A Polícia Judiciária já abriu uma investigação a um dos maiores roubos informáticos de sempre. A lista divulgada por um site anónimo terá dados de membros do Governo, altas chefias das Forças de Segurança, funcionários públicos e clubes.
Fonte: Sic
A demanda online tem crescido descontroladamente e é necessária uma nova solução para a autenticação. A centralização acaba por ser um problema, pois “saltando” um muro, é possível aceder a milhares de dados, palavras-passe, dados sensíveis localizados num único ponto. A blockchain, e a tocanização da informação podem vir a resolver este problema! Se o sistema for bem implementado, não existe relação matemática possivel que permita o roubo de informação na cadeia.
Não são apenas perfis do Facebook, do Linkedin, mensagens, fotos que podem ser comprometidas através do uso de palavras-passe. Grandes empresas de energia, bancos, governos e infraestrutura que mantêm dados podem ser comprometidas (e já foram).
Phishing, violação de servidores e cracking de palavras-passe dependem de um ponto de ataque. Falhar credenciais e autenticações é de facto o bilhete de entrada. A segurança online é um jogo elaborado por profissionais de segurança e hackers, um lado tentando ficar à frente do outro. A autenticação de dois fatores (2FA) foi um desenvolvimento benéfico recente, mas depende do acesso ininterrupto contínuo a um segundo dispositivo na maioria dos casos. Um protocolo de autenticação descentralizada, semelhante à blockchain, pode mudar as regras do jogo para sempre.
Companhias como a REMME usam a blockchain para proteger “tudo”, desde a infraestrutura, IoT, dispositivos e sistemas médicos, informação financeira e sistemas de pagamento online. Ledgers descentralizados são muito mais difícil de falsificar do que apenas um livro centralizado, guardado num único local, e que mantém a informação crítica. Uma vez comprometido, a informação pode ser revelada e o impacto é de facto enormíssimo.
No caso da REMME, a blockchain guarda um certificado SSL para autenticar cada utilizador. A informação fica totalmente encriptada apesar de visível por todos (principio da transparência), no entanto é um paradigma totalmente disruptivo, o que não acontece com a autenticação descentralizada — as palavras-passe.
Os protocolos seguros de autenticação correm de mãos dadas com os utilizadores e as suas fracas palavras-passe — falta de imaginação? Talvez não. O que adianta ter um conjunto de regras fortes, palavras-passe com salt, honey words, inumeros protocolos de MFA, um cofre com alarmes, totalmente blindado, se a chave do cofre é facilmente exposta: “123456”, “password”, “letmein”, “benficaslb” … Ou pior, pode vir uma empilhadora e uma carrinha de transporte e levar o cofre.
A blockchain é a maior força disruptiva no mundo que pode alterar esta mentalidade. A segurança online, e a identidade digital, necessitam de um obvio “next step” para uma melhor segurança na Internet para todos. Como tudo so move sobre a Internet, é necessário dar o passo certo de forma a proteger cada vez mais o crescimento imposto pela tecnologia. A segurança é primordial. Esse passo poderá chamar-se blockchain — o cofre descentralizado.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.