Nada de 123456: Reino Unido proíbe equipamentos com senhas fracas e fáceis
O Reino Unido aprovou uma lei que proíbe empresas de terem senhas fracas e fáceis de adivinhar em equipamentos ligados à rede, tornando-se o primeiro do mundo a ter uma legislação sobre o assunto.
A ideia é complicar o trabalho de criminosos que, muitas vezes, abusam de senhas padrões para realizar ataques.
A multa para quem não cumprir pode chegar a até US$ 12,5 milhões (cerca de R$ 63 milhões).
O que aconteceu
A Lei de Segurança de Produtos e Infraestrutura de Telecomunicações de 2022 (PSTI, em inglês) define padrões mínimos de segurança por parte dos fabricantes para equipamentos conectados à infraestrutura de telecomunicações.
Sua atualização, feita no último dia 29 de abril, define que empresas devem ser claras com consumidores sobre quanto tempo equipamentos serão atualizados e exige que elas fechem o cerco contra nomes de usuário fáceis de identificar e senhas padrões ou simples. Legislação exige que aparelhos tenham senhas aleatórias para poderem posteriormente serem trocadas.
Muitos aparelhos conectados à rede, como roteadores, têm login de fábrica como "admin" e senha "123456" ou às vezes nem senha tem. Essas informações não são para se conectar ao wi-fi, mas para configurar o dispositivo.
Isso facilita muito o trabalho de criminosos que queiram comprometer uma rede ou para executar ataques de negação de serviço (quando alguém sobrecarrega um sistema com muitas requisições falsas, e ele sai do ar).
A ideia é evitar que cibercriminosos se aproveitem dessas vulnerabilidades para realizar ataques em massa. Rocio Concha, da Which? (organização sem fins lucrativos que atua na proteção de consumidores), afirmou, em entrevista ao jornal britânico Guardian, que será necessária uma grande fiscalização por parte do governo. Mesmo assim, ressalta, a indústria deve ir se adaptando aos pouco e implementar as medidas.
Em 2016, a botnet (rede de computadores zumbis) Mirai executou um ataque de negação de serviço que derrubou vários serviços como Netflix, Amazon, Twitter (atual X) e o site da CNN. Considerado um dos maiores ataques da história, ele explorava vulnerabilidades de cerca de 300 mil dispositivos conectados (como roteador, babá eletrônica e webcams) com senhas padrão ou fáceis de adivinhar.
Empresas que falharem em cumprir a legislação podem receber uma multa de US$ 12,5 milhões ou até 4% da receita global. Lei é válida para vários dispositivos, como TV, smartphone e itens de internet das coisas, como campainha inteligente.
Senha tende a se tornar coisa do passado
Ainda que legislação seja apenas para dispositivos conectados à rede, empresas como Google, Microsoft, Apple e outras estão querendo acabar aos poucos com as senhas em seus serviços online com uma tecnologia chamada Passkeys (chaves de acesso).
Sistemas compatíveis com as chaves de acesso usam métodos de autenticação do seu próprio dispositivo após digitar a senha uma única vez. Para acessar o Gmail ou o iCloud, você só precisaria se autenticar com sua impressão digital ou FaceID, por exemplo.
*Com informações do Guardian
Deixe seu comentário