A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) acrescentou na segunda-feira a autenticação de fator único à pequena lista de práticas de segurança cibernética “excepcionalmente arriscadas”, que poderiam expor a infraestrutura crítica, bem como entidades governamentais e do setor privado, a ataques cibernéticos devastadores.
Atualmente, os mecanismos de autenticação podem usar determinados fatores, como por exemplo: o que você sabe (ex.:uso de uma senha); o que você tem (ex.: uso de token, cartão, etc); e/ou uso do que você é (ex.:biometria). Ao utilizar somente um dos fatores sua autenticação é considerada fraca. Ao combinar mais de um desses fatores, você estará agregando segurança e tornando mais robusta a autenticação.
A autenticação de fator único é um método de login de usuários em sites e sistemas remotos usando apenas uma das maneiras de verificar sua identidade, normalmente uma combinação de nome de usuário e senha. É considerado de baixa segurança, uma vez que depende muito de “combinar um fator – como uma senha – a um nome de usuário para obter acesso a um sistema”.
Mas com senhas fracas, reutilizadas e comuns representando uma grave ameaça e surgindo um vetor de ataque lucrativo, o uso de autenticação de fator único pode levar a riscos desnecessários de comprometimento e aumentar a possibilidade de controle de conta por cibercriminosos.
Com o desenvolvimento mais recente, a lista de práticas inadequadas agora abrange –
- • Uso de software sem suporte (ou em fim de vida)
- • Uso de senhas e credenciais conhecidas / fixas / padrão e
- • Uso de autenticação de fator único para acesso remoto ou administrativo aos sistemas
“Embora essas más práticas devam ser evitadas por todas as organizações, elas são especialmente perigosas em organizações que oferecem suporte a infraestrutura crítica ou funções críticas nacionais”, disse a CISA.
“A presença dessas más práticas em organizações que apoiam infraestrutura crítica ou NCFs é excepcionalmente perigosa e aumenta o risco para nossa infraestrutura crítica, na qual contamos para a segurança nacional, estabilidade econômica, vida, saúde e segurança do público”, o agência notada.
Além disso, a CISA está considerando adicionar uma série de outras práticas ao catálogo, incluindo –
- • Usando funções criptográficas fracas ou tamanhos de chave reduzidos
- • Topologias de rede plana
- • Mistura de redes de TI e OT
- • Todos como administradores (falta de política de privilégios mínimos)
- • Utilização de sistemas previamente comprometidos sem higienização
- • Transmissão de tráfego confidencial, não criptografado / não autenticado em redes não controladas e
- • Controles físicos deficientes
Fonte: thehackernews.com
Posts relacionados: Governo Federal publica instrução normativa sobre o uso do duplo fator de autenticação / Nova reforma na Lei Carolina Dieckmann com importantes modificações e CISA – Nova ferramenta de auditoria de segurança de autoavaliação de ransomware