Adam McCord é diretor de Vendas da Palo Alto Networks para América Latina e Caribe 

Em abril deste ano, a conta no Twitter da Associated Press (AP) foi invadida por um grupo hacker que publicou a falsa mensagem de que a Casa Branca havia sofrido um ataque e que o presidente Obama estaria ferido. A mensagem, que ficou no ar por apenas três minutos, desestabilizou o mercado financeiro momentaneamente. Acontecimentos como esse demonstram o quão vulneráveis uma senha de rede social pode nos deixar. O ataque à rede social da AP expõe um desafio persistente à segurança, a dependência de senhas como o único método de identificar um usuário.

De acordo com o relatório mais recente da Verizon (Data Breach Investigation Report - DBIR), 76% de todas as violações estavam ligadas a senhas fracas e credenciais roubadas. Outro ataque recente que reforça a vulnerabilidade das senhas é o que ocorreu contra o WordPress (plataforma de blogs de publicação pessoal) com ameaças vindas de mais de 90 mil endereços de IP diferentes, visando sempre senhas comuns como: admin, password ou admin e P@ssw0rd.

Após o resultado do ataque a conta do Twitter da AP, é importante apontar que apenas senhas fortes não são a solução.

É o caso de sugerir às pessoas armazenar suas senhas no gerenciador de senhas web-browser. Consideramos esta sugestão arriscada, porque o malware é capaz de encontrar, decifrar e roubar senhas armazenadas no computador da vítima, especialmente no navegador. Em nossa última análise de malware detectado, observou-se que roubar senhas do web-browser era o comportamento mais comum dos hackers. É por isso que sites de bancos e financeiras impedem o preenchimento automático de senhas em seus sites. Além disso, os trojans bancários, como Zeus e Andrômeda, vão se esconder em navegadores com o objetivo de capturar logins dos usuários.

O ponto principal é que se o browser pode ver a senha, o malware também conseguirá. Ou seja, o Twitter está sugerindo que as pessoas façam senhas difíceis de lembrar e salvem no browser, local onde o malware tem maior possibilidade para atacar. Para evitar ataques de força bruta a senhas, a aplicação web deveria ser capaz de reconhecer quando acontece uma sequência de tentativas mal-sucedidas de login e bloquear a conta.

Com diversas verticais utilizando contas no Twitter, por exemplo, para se comunicar interna e externamente, instituições financeiras e Governo ficam inevitavelmente vulneráveis desde que o ataque venha de um grupo extremamente organizado e com tempo para realizá-lo, causando inúmeros problemas como o do mercado financeiro americano. Isso ressalta a importância da ampliação de aplicações de segurança nas redes sociais. O Twitter já está investindo em melhoras como a autenticação 'two-factor'. Porém, se não estamos seguros a respeito do nosso navegador, não deveríamos estar salvando informações demais no mesmo.