A política de segurança da informação é o que define regras e padrões para a proteção da informação. Por isso, deve estar primeiramente em harmonia com os objetivos do negócio e análise de riscos e em conformidade com leis e regulamentações vigentes.

Há diversas abordagens para conseguir acesso indevido aos dados e descobrir senhas, podemos citar:
  • Engenharia social, por exemplo, phishing; coerção
  • Adivinhação manual de senha, talvez usando informações pessoais como nome, data de nascimento ou nomes de animais de estimação
  • Interceptar uma senha quando ela é transmitida por uma rede
  • “Surfar no ombro”, observando alguém digitando sua senha em sua mesa
  • Instalar um keylogger para interceptar senhas quando elas são inseridas em um dispositivo
  • Pesquisar a infraestrutura de TI de uma empresa para obter informações de senha armazenadas eletronicamente
  • Ataques de força bruta; a adivinhação automática de um grande número de senhas até que a correta seja encontrada
  • Encontrar senhas que foram armazenadas de forma insegura, como manuscritas em papel e ocultas perto de um dispositivo
  • Comprometer bancos de dados contendo um grande número de senhas de usuários, usando essas informações para atacar outros sistemas em que os usuários tenham reutilizado essas senhas
  • “Spray de Senhas”, utilizando senhas conhecidas, ou comumente utilizadas, em grande número de possíveis vítimas para descobrir quais utilizam aquela senha.

Assim, torna-se importante a adoção das regras de segurança, nos parâmetros de configuração do ERP estas disponíveis configurações que auxiliam na proteção do acesso:

Nível mínimo de complexidade de senha: Recomenda-se utilização de pelo menos “forte”;

Mas o que seria complexidade de senha? Um algoritmo do sistema classifica a senha através de uma analise dos caracteres, semântica, aspectos específicos do usuário e histórico. Quanto mais adversa e difícil melhor é classificada, forçando os usuários ao definir sua senha atenda uma série de diretrizes de senha;

Recomenda-se o uso de mais de 6 caracteres, contendo alfanuméricos, numéricos e não alfanuméricos (caracteres especiais). Não uso de senhas já utilizadas, elementos pessoais como nome, documentos, data de nascimento, etc.

Dias para expirar a senha: Define um prazo de validade em dias, que obrigará o usuário a renovar sua senha;

O objetivo da troca periódica de senha é desarticular um invasor que já obteve a senha, bloqueando os acessos futuros desse invasor.

Número de tentativas consecutivas mal sucedias bloqueia o usuário: Ao fazer login, se você errar a senha da sua conta N vezes seguidas, seu acesso será bloqueado.

O objetivo é garantir a proteção do processo de login contra ameaças que tentam descobrir a senha por força bruta, adivinhação, catalogo etc.

A liberação do usuário será realizada apenas pelo gerente de senhas;

Número de requisições por minuto bloqueia usuário: Bloqueia requisições que se repita mais de N vezes dentro de um determinado período de tempo, protegendo o sistema de requisições que sobrecarregam, evitando de não conseguia processar as requisições recebidas em um tempo aceitável. Processo típico de um ataque DDOS.

Número de tentativas consecutivas mal sucedidas bloqueia o IP: A repetição falha X vezes de login partindo de uma mesmo IP bloqueia o IP. Isso significa que você não poderá fazer login pelo mesmo computador indiferente do usuário até que o bloqueio tenha passado pelo tempo Y definido desde a última requisição.

Importante o gestor de senha configurar os parâmetros alinhados as diretrizes de segurança de sua organização, de forma que atenda seu negócio, os aspectos de segurança e legais. Sendo ele responsável por analisar as operações e possiblidade de liberação, assim como manter as devidas permissões e suprir inclusive sua indisponibilidade.