A Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (pela sigla em inglês, CISA) adicionou o uso da autenticação de fator único à lista de práticas inadequadas que considera excepcionalmente arriscadas quando se trata de cibersegurança.
A autenticação de fator único é um método de login de baixa segurança, uma vez que depende da combinação de um fator – como uma senha – a um nome de usuário para obter acesso a um sistema. “Embora essas más práticas devam ser evitadas por todas as organizações, elas são especialmente perigosas em organizações que oferecem suporte a infraestrutura crítica ou funções críticas nacionais”, diz o comunicado da CISA.
A agência acrescentou que, em vez disso, as organizações deveriam verificar as configurações de seus sistemas para implementar métodos de autenticação melhores e mais fortes. O documento Capacity Enhancement Guide da CISA, com foco na implementação de autenticação forte, destaca os riscos do uso de métodos tradicionais de autenticação de fator único, como o uso de um nome de usuário combinado com uma senha.
Os cibercriminosos podem roubar as credenciais de acesso do usuário por meio de uma variedade de táticas testadas e comprovadas, desde ataques de phishing e engenharia social ao uso de ataques de força bruta e keylogging. Depois que os atacantes conseguem os nomes de usuário e senhas, não é tão complicado atacar a um sistema. Diante disso, a CISA recomenda que as organizações implementem a autenticação multifator (MFA), que é uma opção muito mais segura, já que adiciona uma camada extra de segurança e faz com que seja excessivamente difícil a realização de ataques a contas de usuários.
De acordo com um estudo, realizado em conjunto pelo Google, Universidade de Nova York e Universidade da Califórnia, em San Diego, as organizações que adotaram o MFA puderam ver um aumento substancial em sua resistência contra ataques digitais. O estudo citado pela CISA descobriu que o uso da MFA “bloqueou 100% dos bots automatizados, 99% dos ataques de phishing em massa e 66% dos ataques direcionados às contas de usuários do Google”.
Além do uso da autenticação de fator único, a lista de más práticas da CISA também inclui:
- Uso de software sem suporte (ou em fim de vida);
- Uso de senhas e credenciais conhecidas/fixas/padrão.
“Embora essas práticas sejam perigosas para a infraestrutura crítica e NCFs, a CISA orienta a todas as organizações a realizar o que for necessário para lidar com as más práticas de segurança”, disse a CISA.
A agência federal também abriu a discussão sobre más práticas no GitHub para que administradores de sistema e profissionais de TI pudessem contribuir com suas sugestões e comentários sobre como enfrentar os desafios de eliminar essas práticas.