Usando Inteligência Artificial, criminosos digitais conseguem quebrar 51% das senhas corporativas em menos de 60 segundos. Isso vale principalmente para senhas mais curtas (até 10 caracteres). No caso de senhas mais complexas, com até 16 caracteres, o prazo se estende um pouco – um dia de pesado processamento baseado em IA. Após esse período, o índice de sucesso é de 71%. A tempestade perfeita vai se formando: 78% dos usuários usam a mesma senha para mais de uma conta – 14% confessam usar a mesma senha para acessar Apps pessoais e aplicações de missão crítica da empresa onde trabalham. 43% afirmam não atualizar suas senhas há mais de cinco anos. E, entre as pessoas que sofreram ataques, 18% seguem usando a senha anterior à violação.
Além de estatísticas, há um contexto por trás desses fatos. Uma pessoa tem, em média, 100 senhas para acessar diferentes Apps. Neste mar de senhas, é natural que se busque reutilizar o que já se sabe de cor. Por outro lado, cada grande vazamento de dados fornece para as gangues digitais informações sobre os usuários. Isso inclui data de nascimento, de casamento, nome da mãe etc. As redes sociais, uma febre entre nós, brasileiros, são uma vitrine onde todo dia as informações mais pessoais são expostas ao mundo.
Outro fator crítico neste quadro é a disseminação de ferramentas de IA em grande parte dos Apps utilizados pelos usuários. A cada interação, a plataforma de IA aprende sobre as pessoas – esses dados são usados para treinamento da IA mas, quando vulneráveis a violações, são a base do desenvolvimento de estratégias de ataque sob medida para o perfil do usuário.
Na era da IA, essa tecnologia é usada pelos criminosos para aumentar sua eficácia:
Ataque acústico de canal lateral – Os criminosos usam IA para analisar os padrões sonoros distintos produzidos pelas teclas digitadas no teclado. Cada tecla do teclado emite um som ligeiramente diferente quando pressionada, que pode ser capturado e analisado para determinar os caracteres que estão sendo digitados. Ao processar esses padrões sonoros usando algoritmos de IA, fica fácil determinar a senha que está sendo inserida e usá-la para comprometer uma conta.
Ataque de força bruta – Neste caso, a IA é o engine que automatiza a adivinhação de várias combinações de senha até que a senha correta seja encontrada. Este método é particularmente eficaz contra senhas curtas ou óbvias. Percorre-se rapidamente um imenso número de combinações de senhas, aumentando a velocidade com que as senhas são quebradas.
Ataque de dicionário – A estratégia é usar palavras ou frases comuns para quebrar senhas. Com o poder da IA, os cibercriminosos são capazes de automatizar o teste de uma grande lista de palavras e frases comuns muito usadas em senhas. Por exemplo, se “futebol” for uma palavra comum na lista do dicionário e alguém usar “futebol” como senha, a IA a serviço do crime poderá identificá-la e explorá-la rapidamente.
Este quadro não se alterará tão cedo. Há estudos que apontam que, até o final de 2025, cada pessoa terá, em média, 190 senhas de acesso a Apps.
O que o gerenciador de senhas faz pelo usuário
Diante disso, uma estratégia possível é utilizar gerenciadores de senhas que facilitam a vida do usuário e também do gestor de segurança da empresa usuária. Para o colaborador, é um auxílio muito eficaz. Essa plataforma transforma-se num amigo que armazena de forma segura as senhas, ajuda na recuperação de senhas esquecidas, colabora na geração de senhas robustas, realiza as atualizações necessárias e garante que a pessoa está alinhada às políticas de segurança da empresa, facilitando o acesso às aplicações de missão crítica da organização. Qualquer que seja o ambiente desktop ou mobile do usuário, esse engine fica à sua disposição, suportando seus acessos às dezenas ou centenas de Apps que a pessoa consome.
Para o gestor, o gerenciador de senhas reduz de forma drástica os chamados ao Service Desk causados por problemas de identificação do usuário para acesso aos Apps da corporação. Outra vantagem é que as melhores plataformas do mercado são aderentes a estruturas de diretório como o Microsoft Active Directory, um elemento essencial do provisionamento de direitos e proibições de acesso. Quando um colaborador é desligado, por exemplo, imediatamente bloqueia-se as senhas da pessoa.
Controle de senhas: essencial para o gerenciamento de identidades
Essas plataformas contribuem para a elevação da maturidade digital da empresa como um todo, fazendo parte de uma abordagem holística de gerenciamento de identidades. O CISO passa a contar com um controle granular sobre as senhas – isso é feito de forma alinhada ao PCI DSS e outras normas que exigem o uso de senhas fortes, incluindo as diretrizes NIST 800-63B. Toda a política de conformidade da empresa é fortalecida com o uso de soluções de gerenciamento de senhas que antecipam e resolvem problemas sem afetar a produtividade do usuário e acelerando os processos de gestão.
Resultados como estes estão ao alcance de empresas de todos os portes e orçamentos – uma forma de abandonar a era da senha escrita num Post-It é contratar o gerenciamento de senhas como serviço mensalizado junto a um MSSP. Com isso, a economia brasileira conquista resiliência na era dos ataques baseados em IA.
*Por Thiago N. Felippe, CEO da Aiqon.
