Apesar de anos de campanhas de sensibilização pública, repetidas violações de alto perfil e escrutínio regulamentar contínuo, o uso de palavras-passe fracas e fáceis de adivinhar, como “admin” e “123456”, persiste no Reino Unido. Este problema é emblemático de uma questão mais profunda e sistémica na economia do país. segurança cibernética postura.
No entanto, isto não é uma falha de sensibilização ou educação, mas uma falha de gestão de credenciais, reforço cultural e aplicação de políticas a nível organizacional.
CEO e cofundador da Keeper Security.
No início de dezembro, o Centro Nacional de Segurança Cibernética (NCSC) publicou orientações atualizadas sobre gerenciamento de credenciais. Especificamente, a orientação “defende uma maior dependência de defesas técnicas e processos organizacionais, com senhas formando apenas uma parte de sua abordagem mais ampla de controle de acesso e gerenciamento de identidade.”
Isso representa um afastamento dos modelos de segurança centrados no usuário e coloca sobre as organizações a responsabilidade de proteger as credenciais dos usuários e, em última análise, os sistemas nos quais a organização depende para operar.
Entre as sugestões delineadas pelo governo do Reino Unido estão apelos claros para reduzir a dependência de senhas, ajudar os usuários a lidar com a sobrecarga de senhas e gerenciar o acesso compartilhado. O desafio para os britânicos segurança A questão dos líderes já não é se esta orientação é sólida, mas como operacionalizá-la eficazmente nas suas organizações.
Por que a orientação é importante e necessária
A orientação mais recente do NNCSC é um passo importante porque reformula o gerenciamento de senhas não como um fardo para o usuário, mas como um controle de segurança que deve ser automatizado, centralizado e protegido desde o projeto.
Uma pesquisa recente mostra que quase uma em cada cinco organizações ainda opera sem controles formais de credenciais, contando com recursos compartilhados. planilhassenhas codificadas ou nenhum sistema de gerenciamento. Neste contexto, não é surpreendente que as senhas fracas continuem difundidas tanto nos ambientes de consumo quanto nas empresas.
O problema de sobrecarga de senha
A sobrecarga de senhas é um sintoma da nossa sociedade digital. A pesquisa sugere que uma pessoa média tem cerca de 250 contas, com 168 senhas em contas pessoais e 87 senhas em contas empresariais.
Existe o risco, como aponta o NCSC, de que a exigência de criação de uma quantidade tão grande de senhas possa resultar em “sobrecarga de senhas” e forçar os usuários finais a criar seus próprios mecanismos de enfrentamento, como reutilização de senhas, anotação de senhas e senhas previsíveis.
Outro mecanismo de enfrentamento em que alguns usuários podem confiar é usar navegadorgerenciadores de senhas baseados em Android.
Embora os gerenciadores de senhas baseados em navegador ofereçam conveniência, eles nunca foram projetados para oferecer suporte a controles de acesso ou requisitos de governança de nível empresarial. Eles também introduzem risco operacional por meio de visibilidade limitada, aplicação inconsistente de políticas e dependência de fornecedor.
Para os indivíduos, gerenciadores de senhas de terceiros confiáveis continuam sendo uma das salvaguardas mais simples – oferecendo suporte a credenciais fortes e exclusivas e, ao mesmo tempo, reduzindo a dependência de memória. No entanto, a nível organizacional, a gestão de palavras-passe deve ser governada e aplicada como parte de uma estratégia de identidade mais ampla.
Isto satisfaz a cautela do governo em relação à “sobrecarga de senhas” e, em última análise, torna toda a organização mais segura, com custos ou interrupções mínimos.
Reduzindo a dependência de senhas
É pouco provável que as palavras-passe desapareçam da noite para o dia – mas o seu papel está a diminuir constantemente à medida que os atacantes as exploram cada vez mais em grande escala.
Os problemas em torno das senhas permanecem os mesmos, mas a forma como as credenciais são comprometidas e exploradas está mudando rapidamente. IA– o cracking acelerado, o preenchimento de credenciais e o phishing continuam a reduzir a barreira ao comprometimento, enquanto práticas organizacionais inconsistentes continuam a fornecer pontos de entrada fáceis.
A ascensão das chaves de acesso e sem senha autenticação reflete a mudança da indústria em direção a controles integrados mais fortes que eliminam a dependência do comportamento humano em um momento em que as credenciais continuam sendo o principal alvo dos invasores.
Acesso compartilhado gerenciado
Para as organizações do Reino Unido, gerenciar o acesso compartilhado por meio do Privileged Access Management (PAM) é fundamental para reduzir os riscos em ambientes de TI cada vez mais complexos. Para conselhos e equipas executivas, o acesso privilegiado não gerido representa tanto uma exposição de segurança como uma falha de governação.
No Reino Unido, este risco é cada vez mais amplificado pelas expectativas regulamentares em torno da responsabilização, auditabilidade e resiliência operacional. As contas compartilhadas e privilegiadas continuam sendo o principal alvo dos invasores, principalmente quando as credenciais são reutilizadas, mal monitoradas ou gerenciadas manualmente entre as equipes.
O PAM ajuda a resolver isso impondo acesso com privilégios mínimos, armazenando e alternando com segurança credenciais compartilhadas e fornecendo visibilidade e auditabilidade claras sobre quem acessou o quê, quando e por quê.
No caso de uma violação, as soluções PAM podem limitar significativamente o movimento lateral, restringindo privilégios desnecessários e isolando contas de alto risco, ajudando as organizações a conter incidentes mais rapidamente.
Além da segurança, o PAM também oferece benefícios operacionais tangíveis, incluindo redução de incidentes relacionados a credenciais, proteção mais forte de dados confidenciais e menor custo de TI. suporte técnico fardo, tornando-o um controle fundamental para as organizações do Reino Unido que navegam pela pressão regulatória e por um cenário de ameaças em evolução.
Identidade como novo perímetro
Para as organizações, a principal prioridade é tratar identidade como o novo perímetro e implementar o gerenciamento completo do ciclo de vida das credenciais.
Isso significa proteger todas as etapas da identidade digital de um usuário, desde a integração e provisionamento de acesso até a autenticação contínua, alterações de privilégios e desprovisionamento oportuno quando as funções mudam ou os funcionários saem.
Ao gerenciar credenciais de forma holística, e não em silos, as organizações podem reduzir as superfícies de ataque, limitar o movimento lateral e garantir que o acesso esteja continuamente alinhado às necessidades reais do negócio.
Num ambiente onde os utilizadores, dispositivos e aplicações operam muito além dos limites da rede tradicional, uma forte governação de identidade torna-se a base de uma segurança eficaz.
Senhas fracas não são inevitáveis. São o resultado de controlos inadequados, aplicação inconsistente de políticas e comportamentos ultrapassados.
Com uma gestão robusta de palavras-passe, uma forte supervisão do acesso privilegiado e uma mentalidade de confiança zero, as organizações podem reduzir significativamente a sua exposição e, ao fazê-lo, enfraquecer um dos vetores de ataque mais explorados que as empresas do Reino Unido enfrentam atualmente.
Apresentamos o melhor navegador privado.
Este artigo foi produzido como parte do canal Expert Insights da TechRadarPro, onde apresentamos as melhores e mais brilhantes mentes do setor de tecnologia atualmente. As opiniões expressas aqui são de responsabilidade do autor e não são necessariamente da TechRadarPro ou Future plc. Se você estiver interessado em contribuir saiba mais aqui: https://www.techradar.com/news/submit-your-story-to-techradar-pro