Ciberataque ao Parlamento Britânico expõe a vulnerabilidade das senhas estáticas

Cerca de 90 contas de e-mail foram comprometidas como resultado de um ataque cibernético ocorrido no último fim de semana ao Parlamento do Reino Unido. O objetivo foi obter as senhas das contas de e-mail usadas por seus membros e, ao que tudo indica, os hackers simplesmente tentaram adivinhá-las empregando a força bruta, indicando que esses membros usavam senhas simples e fáceis de adivinhar.

Esse ataque significa que os hackers podem acessar as contas de e-mail dos membros do Parlamento do Reino Unido e eventualmente ter acesso a informações muito sensíveis sobre assuntos do governo.

Mas o que isso diz sobre a segurança – ou a falta dela – no sistema de caixa postal do Parlamento ou de um e-mail governamental ou empresarial? Frederik Mennes, gerente sênior de estratégia de mercado e segurança da Vasco Data Security, líder global em soluções digitais, destaca que, em primeiro lugar, a autenticação dos membros do Parlamento baseia-se em senhas estáticas. “As diversas fraquezas de segurança das senhas estáticas são bem conhecidas atualmente. Por isso, é muito questionável o emprego desse mecanismo ultrapassado de proteção”, pondera.

Em segundo lugar, parece que não há regras de complexidade para as senhas, o que significa que os usuários poderiam escolhê-las. As regras de complexidade ajudam a evitar que usuários optem por senhas fáceis de adivinhar como, por exemplo, “senha”.

Em terceiro lugar, os servidores de autenticação normalmente protegem contra ataques de força bruta limitando o número máximo de tentativas de adivinhação de senha. “Pelo fato de o ataque ter sido bem-sucedido para dezenas de usuários, pode ser questionado se os servidores de autenticação possuíam barreiras apropriados contra a adivinhação das senhas”, pondera.

E como isso pode ser evitado no futuro? As contas de e-mail, e possivelmente outros tipos de contas, de membros do Parlamento do Reino Unido, devem ser protegidas com mecanismos de autenticação forte ao invés de depender de senhas estáticas. “Mecanismos de autenticação forte garantem que uma senha só é válida por um período limitado de tempo e por isso elas são essencialmente impossíveis de serem descobertas”, conclui Frederik Mennes.