A política de segurança da informação é o que define regras e padrões para a proteção da informação. Por isso, deve estar primeiramente em harmonia com os objetivos do negócio e análise de riscos e em conformidade com leis e regulamentações vigentes.
Há diversas abordagens para conseguir acesso indevido aos dados e descobrir senhas, podemos citar:
- Engenharia social, por exemplo, phishing; coerção
- Adivinhação manual de senha, talvez usando informações pessoais como nome, data de nascimento ou nomes de animais de estimação
- Interceptar uma senha quando ela é transmitida por uma rede
- “Surfar no ombro”, observando alguém digitando sua senha em sua mesa
- Instalar um keylogger para interceptar senhas quando elas são inseridas em um dispositivo
- Pesquisar a infraestrutura de TI de uma empresa para obter informações de senha armazenadas eletronicamente
- Ataques de força bruta; a adivinhação automática de um grande número de senhas até que a correta seja encontrada
- Encontrar senhas que foram armazenadas de forma insegura, como manuscritas em papel e ocultas perto de um dispositivo
- Comprometer bancos de dados contendo um grande número de senhas de usuários, usando essas informações para atacar outros sistemas em que os usuários tenham reutilizado essas senhas
- “Spray de Senhas”, utilizando senhas conhecidas, ou comumente utilizadas, em grande número de possíveis vítimas para descobrir quais utilizam aquela senha.
Assim, torna-se importante a adoção das regras de segurança, nos parâmetros de configuração do ERP estas disponíveis configurações que auxiliam na proteção do acesso:
Nível mínimo de complexidade de senha: Recomenda-se utilização de pelo menos “forte”;
Mas o que seria complexidade de senha? Um algoritmo do sistema classifica a senha através de uma analise dos caracteres, semântica, aspectos específicos do usuário e histórico. Quanto mais adversa e difícil melhor é classificada, forçando os usuários ao definir sua senha atenda uma série de diretrizes de senha;
Recomenda-se o uso de mais de 6 caracteres, contendo alfanuméricos, numéricos e não alfanuméricos (caracteres especiais). Não uso de senhas já utilizadas, elementos pessoais como nome, documentos, data de nascimento, etc.
Dias para expirar a senha: Define um prazo de validade em dias, que obrigará o usuário a renovar sua senha;
O objetivo da troca periódica de senha é desarticular um invasor que já obteve a senha, bloqueando os acessos futuros desse invasor.
Número de tentativas consecutivas mal sucedias bloqueia o usuário: Ao fazer login, se você errar a senha da sua conta N vezes seguidas, seu acesso será bloqueado.
O objetivo é garantir a proteção do processo de login contra ameaças que tentam descobrir a senha por força bruta, adivinhação, catalogo etc.
A liberação do usuário será realizada apenas pelo gerente de senhas;
Número de requisições por minuto bloqueia usuário: Bloqueia requisições que se repita mais de N vezes dentro de um determinado período de tempo, protegendo o sistema de requisições que sobrecarregam, evitando de não conseguia processar as requisições recebidas em um tempo aceitável. Processo típico de um ataque DDOS.
Número de tentativas consecutivas mal sucedidas bloqueia o IP: A repetição falha X vezes de login partindo de uma mesmo IP bloqueia o IP. Isso significa que você não poderá fazer login pelo mesmo computador indiferente do usuário até que o bloqueio tenha passado pelo tempo Y definido desde a última requisição.
Importante o gestor de senha configurar os parâmetros alinhados as diretrizes de segurança de sua organização, de forma que atenda seu negócio, os aspectos de segurança e legais. Sendo ele responsável por analisar as operações e possiblidade de liberação, assim como manter as devidas permissões e suprir inclusive sua indisponibilidade.
