Se você fosse (será que é?) um agente de ameaças, o que você faria com um cache de senhas roubadas no caso de uma violação? Você poderia forçar um ataque contra a fonte, ou tentar vender sua lista na Dark Web. Os mais subversivos poderiam vincular os dados a outras fontes e criar um repositório maior de alvos na esperança de que as identidades comprometidas reutilizassem as senhas entre várias contas e serviços. Já os mais diabólicos poderiam ser persistentes ao ponto de comprometer as contas baseadas na web. Se você acha que isso não é possível, confira esta matéria da ZDNet sobre ataques cibernéticos no setor financeiro.
Outro método desonesto que os agentes de ameaças usam para obter acesso às contas financeiras é sacar dinheiro dos caixas eletrônicos de uma só vez e fornecer muito pouco tempo para resposta antes que as transações sejam concluídas. A Harvard Business Review tem um artigo muito bom sobre esses tipos de ameaças. Elas podem ocorrer a partir de vulnerabilidades e explorações, ou a partir de senhas que foram roubadas. Nesse caso, você teria um vetor de ataque privilegiado e estaria roubando dinheiro de todo mundo de uma só vez. Se você acha que esse tipo de ataque não acontece nos dias de hoje, você está enganado.
Entendendo e minimizando as ameaças dos ladrões de senhas
Sempre que um indivíduo ou grupo souber a (s) senha (s) de outro grupo de pessoas, um ataque poderá ocorrer. O mais famoso desses incidentes nos últimos anos envolveu Edward Snowden (e sim, todos no governo e na indústria da segurança dos Estados Unidos estão cansados de ouvir esse nome). Snowden conseguiu as credenciais de seus colegas de trabalho para roubar informações usando senhas e estações de trabalho autorizadas. Os usuários não sabiam do roubo, as senhas não eram alteradas e as informações eram roubadas uma a uma para evitar a detecção. Esse tipo de roubo lento e sinistro de dados também aconteceu com o Yahoo e a Starwood, embora via formas de ataque um tanto diferentes, e não de uma só vez.
Infelizmente, esses incidentes por si só não são suficientes para entender completamente as ameaças, que podem ser internas ou externas, e podem acontecer em nossas vidas pessoais ou em qualquer empresa, organização ou governo. A ameaça é baseada no conceito de uma entidade que tem muitas credenciais e senhas sob seu domínio. As credenciais são obtidas de forma ilícita, e o autor tem intenção maliciosa de reutilizá-las.
Então nos deparamos com um dilema de segurança de como mitigar esse tipo de ameaça. Aqui estão algumas estratégias que devemos adotar para minimizar os riscos:
Nunca reutilize uma senha entre duas aplicações. Cada aplicação deve ter uma senha exclusiva. Nunca, mas nunca use as mesmas credenciais em casa e no trabalho. Para empresas, considere um gerenciador de senhas que armazene, altere e forneça senhas somente aos colaboradores que precisam exercer determinadas funções. Isso evita que qualquer ladrão acumule senhas, já que elas estão constantemente mudando e seguem um modelo de direitos.
Se a solução suportar MFA ou 2FA - use-a. Se a sua senha já criou asas, as tecnologias multifator e de dois fatores podem ajudar a proteger tentativas de autenticação não autorizadas. Além disso, o uso dessas tecnologias com informações sensíveis ao contexto (como IP de origem) só reforçarão o modelo de segurança para impedir o acesso de geolocalizações não autorizadas.
Mude freqüentemente suas senhas. Isso se alinha com a primeira recomendação. Muitas vezes, mesmo quando utilizamos um gerenciador de senhas, raramente forçamos a troca das mesmas; especialmente as pessoais. Considere alterar as senhas com freqüência (pelo menos duas vezes ao ano). Agora, se você é um curioso profissional de segurança cibernética, pode argumentar que a orientação recente do NIST determina que você não precisa rotacionar as senhas de um usuário com frequência. De fato, isso vale para usuários que nunca compartilham ou inserem credenciais repetidamente em vários sistemas. No entanto, essa não é uma prática recomendada para contas de serviço, com privilégios ou qualquer outra que possa ser de domínio de mais de uma pessoa. De novo, voltamos à premissa do porquê as senhas roubadas são uma ameaça.
Como os vetores de ataque de privilégio continuam a evoluir, todas as organizações precisam estar cientes da ameaça dos ladrões de senhas. Qualquer pessoa de dentro ou fora da empresa que tenha um vasto conhecimento de senhas obtidas ilegalmente é um potencial ladrão.
Se você precisar resolver esse problema de segurança de senha em sua empresa, conheça a solução Password Safe da BeyondTrust.

Morey J. Haber, Chief Technology Officer, BeyondTrust
With more than 20 years of IT industry experience and author of Privileged Attack Vectors, Mr. Haber joined BeyondTrust in 2012 as a part of the eEye Digital Security acquisition. He currently oversees BeyondTrust technology for both vulnerability and privileged access management solutions. In 2004, Mr. Haber joined eEye as the Director of Security Engineering and was responsible for strategic business discussions and vulnerability management architectures in Fortune 500 clients. Prior to eEye, he was a Development Manager for Computer Associates, Inc. (CA), responsible for new product beta cycles and named customer accounts. Mr. Haber began his career as a Reliability and Maintainability Engineer for a government contractor building flight and training simulators. He earned a Bachelors of Science in Electrical Engineering from the State University of New York at Stony Brook.