Senha: Com token ou sem token? Eis a questão

Posted by Denny Roger on Oct - 7 - 2009
0 Comment

A primeira linha de defesa é praticamente o usuário e a senha. Algumas pessoas também podem falar que o firewall é a primeira linha de defesa. Mas pulando essa picuinha…

Usuário e senha, praticamente, não ajuda a mitigar os riscos. Vamos entender melhor o que acontece na prática:

Primeiro problema, as pessoas compartilham suas senhas.

Segundo problema, as pessoas são orientadas a criar senhas complexas, para evitar os ataques por adivinhação de senhas.

Terceiro, as pessoas criam senhas tão complexas que acabam esquecendo a senha.

Quarto problema, para não esquecer a senha, as pessoas geralmente anotam a senha.

Quinto problema, as pessoas podem compartilhar suas senhas com terceiros para obter recursos financeiros (estou falando de dinheiro). Por exemplo, um funcionário pode fornecer a sua senha da VPN (olha que absurdo!) para o principal concorrente da empresa em que ele trabalha. Dessa forma, o concorrente consegue praticar a “espionagem virtual” sem ser percebido. Voce monitora o tráfego e controla as conexões da VPN? ;-) .

Sexto, existem diversas, mas diversas técnicas para roubar usuário e senha. Quer um exemplo? Veja o caso envolvendo o Hotmail, acesse http://idgnow.uol.com.br/seguranca/2009/10/05/mais-de-10-mil-contas-do-hotmail-vazam-na-web/.

Quer mais saber mais sobre as técnicas para roubar senhas? Acesse http://idgnow.uol.com.br/seguranca/mente_hacker/idgcoluna.2009-06-28.5137710879/.

Bom, como eu tenho que voltar a trabalhar, vou parar por aqui a minha relação de problemas. Mas a lista é grande! ;-)

Agora, vamos conferir um exemplo real. Esta reportagem do SBT Brasil mostra que, depois de um ano, dados do sistema Infoseg (que reúne informações de quase 100 milhões de brasileiros no Ministério da Justiça) continuam a ser comercializadas de forma irregular no centro de São Paulo. Para ver o vídeo, acesse:

Após um ano, dados sigilosos continuam a ser comercializados
http://noticias.uol.com.br/ultnot/multi/2009/10/07/04023668C8B14366.jhtm

Quem sabe o pessoal não resolve usar tokens e, principalmente, implementar melhorias nos processos do Sistema de Gestão da Segurança da Informação. Tem empresa que escolhe o melhor caminho, como dizem por ai, “pela dor”. Neste caso, deve ter doido muito o bolso ($$$) e a imagem da instituição.

Abraços,

Denny Roger
denny@epsec.com.br

You must be logged in to post a comment.

Subscribe to email feed

  • RSS
  • Delicious
  • Digg
  • Facebook
  • Twitter
  • Linkedin
  • Youtube

Novo ataque trava si

Sete instituições foram atingidas ontem; especialistas dizem que ação na ...

Crimes do mundo fís

Entrevista com Denny Roger, diretor da EPSEC, membro do Comitê ...

Bom senso é a melho

por Daniela Lessa O e-mail é um dos instrumentos mais ...

Estágio na EPSEC pa

Temos uma oportunidade para estágio em redação de textos. Seguem ...

EPSEC participa de e

Empresa irá reunir diretores, gerentes e especialistas em TI e ...

Twitter updates

Sponsors

  • Consultoria em Governança da Segurança da Informação
  • EP75 - Software para Avaliação de Maturidade.
  • Coluna Mente Hacker. IDG Now!
  • Reviews of the best cheap web hosting providers at WebHostingRating.com.