Muitas empresas adotam autenticação de dois fatores (2FA) ou logon único (SSO), mas talvez não ofereçam aos funcionários uma solução corporativa de gerenciamento de senhas. Os resultados da Pesquisa do Dia Mundial da Senha da Bitwarden de 2023 reforçam isso: apenas 23% dos respondentes disseram que eram obrigados a usar um gerenciador de senhas no local de trabalho.
Segundo Julian Cohen, vice-presidente de Segurança e diretor de Segurança da Informação (CISO) da Ocrolus, uma fornecedora de software de automação de documentos com sede em Nova York, mais empresas deveriam considerar a implantação de gerenciadores de senhas. No caso da Ocrolus, a empresa optou por implantar a Bitwarden.
Cohen afirma: “Com o roubo de credenciais e a reutilização de senhas sendo usados para invasão de contas e rapidamente se tornando um dos ataques mais comuns contra organizações, elaboramos um plano abrangente de segurança de contas que, naturalmente, inclui coisas como 2FA, SSO e monitoramento de credenciais comprometidas. Mas, para as contas principais de SSO dos usuários, sistemas que não oferecem suporte a SSO ou 2FA, outros sistemas de shadow IT ou apenas contas pontuais, o controle mais eficaz é um gerenciador de senhas.”
Cohen orienta os funcionários a usar uma senha única e aleatória para cada conta. Ele acredita que a maneira mais fácil de fazer isso é usar uma senha gerada por um gerenciador de senhas. Como os gerenciadores de senhas também armazenam as senhas, ele considera essa tecnologia uma forma eficaz e de “baixo atrito” para manter as senhas seguras.
Outros resultados da Pesquisa do Dia Mundial da Senha corroboram essa ideia. A grande maioria, 85%, dos respondentes globais reutiliza senhas em vários sites, e 58% confiam na memória para lembrar suas senhas. Um quinto (20%) dos respondentes globais relata ter sido afetado por uma violação de dados nos últimos 18 meses. Embora talvez não seja possível evitar ser envolvido em uma violação de dados, elas tendem a gerar um efeito cascata para quem reutiliza senhas.
Fazer com que as pessoas adotem novas ferramentas, especialmente as de segurança, ajuda a manter as empresas protegidas e seguras. Por outro lado, isso também exige etapas adicionais de TI e dos usuários. A Ocrolus contou com o Bitwarden SCIM (Sistema de Gerenciamento de Identidades entre Domínios) para provisionar automaticamente membros e grupos. A empresa também oferece treinamento e documentação aos usuários sobre como usar a Bitwarden e explica por que ela é eficaz.
“Recebemos muito suporte da nossa equipe de techops na Ocrolus”, diz Cohen. “Eles oferecem suporte técnico para a Bitwarden, usam a ferramenta e a utilizam ao provisionar novas contas e armazenar credenciais compartilhadas.”
Ao considerar como a Ocrolus criou um programa de segurança bem-sucedido — um programa que agora inclui a Bitwarden —, Cohen acredita que a empresa se beneficiou por ter um bom inventário e consciência situacional de onde tudo está, entender as áreas de maior risco da organização e focar na priorização.
“Você sempre pode cair no excesso de engenharia ao tentar proteger algo ou tentar implementar todo tipo de ferramenta”, diz Cohen. “O que sempre faço é começar pelos meus adversários. Se conseguirmos entender quem são nossos adversários, como eles planejam e operam, quais são seus objetivos e motivações, e quais são seus recursos e limitações, conseguiremos entender o que nossos adversários provavelmente verão e como planejam e operam.”
Ao fazer isso, Cohen acredita que as empresas podem entender melhor quais tipos de ataques provavelmente enfrentarão, para usar essas informações na escolha das melhores ferramentas de segurança a implementar. Em muitos casos, esse conjunto de ferramentas provavelmente inclui uma solução de gerenciamento de senhas.
Saiba mais sobre o evento anual Open Source Security Summit.
Assista à entrevista completa!
Acesse opensourcesecuritysummit.com para saber mais sobre esta conferência anual.
Comece a usar a Bitwarden
Pronto para experimentar a Bitwarden na sua empresa? Comece um teste empresarial de 7 dias hoje para manter sua equipe e seus colegas da empresa protegidos online.