Hábitos de senhas de local de trabalho deixam empresas vulneráveis a ataques cibernéticos

Higiene de senha baixa no local de trabalho já era uma ameaça à segurança cibernética de empresas antes mesmo da pandemia da COVID-19. Quando a COVID-19 forçou as empresas em todo o mundo a implementarem rapidamente forças de trabalho remotas, as equipes começaram a conectar os recursos empresariais de forma remota, em ambientes que os empregadores não controlavam, muitas vezes usando seus próprios dispositivos.

Os entrevistados do "Cybersecurity in the Remote Work Era: A Global Risk Report" (Segurança Cibernética na Era do Trabalho Remoto: Um Relatório de Risco Global) do Instituto Ponemon, realizado pelo Keeper Security em 2020, expressaram grandes preocupações com segurança de senha em suas organizações:

• 60% dos entrevistados disseram que suas organizações passaram por um ataque cibernético nos últimos 12 meses.
• Mais de 50% desses ataques envolviam credenciais roubadas.
• O roubo de ativos de TI causou mais de 5 milhões de dólares em danos em 25% das empresas.

A pandemia forçou as empresas a rapidamente implementarem uma hospedagem para novas tecnologias para manter os funcionários remotos conectados, colaborando e trabalhando. Desde Zoom até Google Workspace e Slack, os funcionários tiveram que se inscrever em mais contas on-line — mantendo registro de mais senhas.

O Keeper questionou como a segurança de senhas mudou desde que as empresas mudaram para ambientes de trabalho remotos. Os funcionários remotos estavam seguindo as melhores práticas simples para proteger suas senhas ou estavam sendo vítimas de "fadiga de senha" e realizando maus hábitos que levam a grandes riscos de segurança cibernética? É por isso que o Keeper, em parceria com o Pollfish, conduziu a Pesquisa de Más Práticas de Senha de Trabalho.

Enquanto o Ponemon avaliava líderes empresariais, decidimos ir direto aos funcionários para realizar esta pesquisa e consultamos 1.000 funcionários integrais nos Estados Unidos sobre seus hábitos de senha. A pesquisa foi concluída em fevereiro de 2021, tendo apenas indivíduos que usaram senhas para se conectar a contas on-line relacionadas a trabalho

A seguir, confira as descobertas mais importantes da pesquisa. Os dados completos também podem ser visualizados aqui.

Descoberta 1: os funcionários dos E.U.A. estão rastreando e armazenando as credenciais de login de forma insegura

Nossa pesquisa descobriu que os funcionários dos E.U.A. não estão seguindo as práticas recomendadas ao armazenar e rastrear senhas relacionadas a trabalho, apresentando grandes riscos de segurança cibernética aos empregadores

• Mais da metade dos entrevistados (57%) admitiram escrever senhas on-line relacionadas a trabalho em "bilhetes adesivos" e dois terços (67%) admitiram ter perdido esses bilhetes. Além de deixar informações confidenciais à vista para qualquer um morando ou visitando seus lares, isto prejudica a eficácia empresarial. Bilhetes adesivos perdidos resultam em senhas perdidas, o que acaba gerando tíquetes da central de ajuda para redefinir estas senhas.
• 62% dos entrevistados armazenam credenciais de login em um diário ou bloco de anotações e a grande maioria (82%) diz guardar estes blocos de anotações ao lado ou perto dos dispositivos de trabalho, onde podem ser acessados por qualquer um que vive ou visita seus lares.

Usar lápis e papel para registrar senhas se tornou algo ainda mais problemático no mundo dos trabalhos remotos. A maioria dos funcionários (66%) diz ser mais propícia a anotar as senhas relacionadas a trabalho quando está trabalhando de casa do que quando está trabalhando no escritório.

Mesmo usando métodos digitais para rastrear e armazenar suas senhas, os funcionários dos Estados Unidos não estão usando as práticas recomendadas de segurança.

• Quase metade dos entrevistados (49%) salvam senhas relacionadas a trabalho em um documento na nuvem.
• Pouco mais da metade (51%) diz salvar essas senhas em um documento salvo em seus computadores.
• 55% salvam senhas relacionadas a trabalho em seus telefones.

Armazenar senhas em arquivos que não estão criptografados é extremamente arriscado. Tudo que um criminoso cibernético precisa fazer é invadir o armazenamento em nuvem, o computador ou o dispositivo móvel para acessar todas as senhas do funcionário.

Descoberta 2: funcionários dos E.U.A. estão criando senhas fracas e facilmente deduzíveis

Uma senha aleatória e forte apresenta uma combinação aleatória de letras maiúsculas e minúsculas, números e caracteres especiais. No entanto, muitos entrevistados admitiram usar senhas contendo detalhes pessoais, coisas que os criminosos cibernéticos podem facilmente encontrar em canais de mídia social.

• Mais de um terço (37%) dos entrevistados usaram o nome do empregador em uma senha relacionada ao trabalho.
• Mais de um terço (34%) usaram o nome ou aniversário do cônjuge.
• Quase um terço (31%) usou o nome ou o aniversário dos filhos.

A reutilização de senhas entre contas pessoais e comerciais se tornou um grande risco de segurança cibernética para as empresas, com 44% dos entrevistados admitindo terem reutilizado senhas entre contas pessoais e contas de trabalho e 53% admitindo terem mantido contas pessoais protegidas por senha nos dispositivos de trabalho.

Descoberta 3: funcionários dos E.U.A. estão compartilhando senhas relacionadas ao trabalho com terceiros não autorizados

Muitos funcionários dos E.U.A. não tomam cuidado com quem compartilham suas senhas comerciais. Isto coloca a empresa em risco de invasão caso estas senhas acabem nas mãos de alguém descuidado ou com más intenções.

• No último ano, 14% dos entrevistados compartilharam senhas comerciais com seus cônjuges.
• 11% dos entrevistados compartilharam senhas relacionadas a trabalho com outro membro da família.

Mesmo sem uma brecha de dados, um empregador pode declarar falha de conformidade e avaliar grandes penalidades se descobrir que partes não autorizada viu dados protegidos por conformidade.

Descoberta 4: os empregadores dos E.U.A. não estão fazendo sua parte para garantir que as senhas sejam compartilhadas de forma segura e/ou somente com partes autorizadas

Nossa pesquisa descobriu que as senhas compartilhadas no local de trabalho são comuns.

• Quase metade dos entrevistados (46%) denunciaram que suas empresas compartilham senhas para contas usadas por diversas pessoas.
• Mais de um terço (34%) compartilhou senhas comerciais com colegas na mesma equipe.
• Quase um terço (32%) compartilharam senhas comerciais com seus gerentes.
• 19% compartilharam suas senhas com a equipe executiva.

A melhor coisa a se fazer é dar a cada usuário uma senha única para toda conta ou aplicativo comercial, o que pode ser feito de forma prática utilizando uma plataforma de Enterprise Password Management (EPM). O compartilhamento de senhas no local de trabalho é seguro quando as senhas são compartilhadas de forma segura e se as senhas forem compartilhadas somente com as partes autorizadas.

Os resultados das nossas pesquisas mostram que muitos empregadores dos Estados Unidos não estão exercendo estratégias de mitigação de riscos para ajudar a manter um compartilhamento de senhas seguro.

• A maioria dos entrevistados (62%) informaram compartilhamento de senhas comerciais por mensagem de texto ou e-mail, que podem ser interceptadas por criminosos cibernéticos em trânsito.
• Quase um terço dos entrevistados (32%) admitiram ter acessado uma conta on-line pertencente a outro empregador, indicando que vários empregadores não desativam contas quando os funcionários deixam a empresa.

Conclusão

Adotar e implementar uma plataforma de gerenciamento de senhas empresariais como o Keeper Enterprise resolveria as práticas prejudiciais de senha não analisadas nesta pesquisa. A criptografia de senhas de conhecimento zero e a estrutura de confiança zero do Keeper oferece gestão de senhas avançada, compartilhamentos seguros e outras capacidades de segurança.

Líderes e administradores de TI ganham visibilidade e controle completos sobre as práticas de senha dos funcionários, incluindo:

• Modelo de segurança de conhecimento zero e sistema de estrutura de confiança zero proprietários e exclusivos. Todos os dados em trânsito e armazenados são criptografados e não podem ser vistos pelos funcionários do Keeper Security nem por terceiros.
• Implementação rápida em todos os dispositivos, sem custos antecipados de instalação e equipamento.
• Atendimento personalizado e suporte 24 horas por dia, 7 dias por semana com treinamento de uma especialista de suporte dedicado.
• Suporte a RBAC, A2F, auditoria, geração de relatórios de evento e vários padrões de conformidade, incluindo HIPAA, DPA, FINRA e GDPR.
• Forneça pastas, subpastas e senhas compartilhadas seguras para equipes.
• Autenticação com Single Sign-On (SAML 2.0)
• Ative o acesso off-line ao cofre quando o SSO não está disponível.
• Provisione dinamicamente os cofres via SCIM.
• Configure alta disponibilidade (High Availability - HA).
• Autenticação avançada de dois ou vários fatores.
• Diretório a tivo e sincronização LDP.
• Provisionamento de SCIM e Azure AD.
• APIs do desenvolvedor para rotação de senhas e integração com o backend.