Um estudo recente do Aberdeen Group revelou que a maior parte das organizações protege os seus dados mais importantes apenas com palavras-chave – sem qualquer recurso adicional a outras formas de autenticação mais seguras, como “tokens” de hardware, certificados digitais ou classificações baseadas no risco.A investigação do Aberdeen Group incidiu sobre 150 organizações em todo o mundo, e apurou que 52% das organizações apenas exige palavras-chave aos seus empregados para acederem a dados críticos. Derek Brink, vice-presidente e investigador de segurança de Segurança TI no Aberdeen Group, não se manifesta surpreendido por este número; no entanto, considera esta abordagem “errada, pois as palavras-chave são exactamente uma política de segurança eficaz”.
Brink aponta algumas razões para a utilização de palavras-chave estar ultrapassada enquanto protocolo de segurança: as palavras escolhidas normalmente são curtas, e normalmente são alvo de políticas de segurança muito pouco elaboradas. O estudo do Aberdeen Group apurou que 64% das organizações não exige aos seus empregados que alterem regularmente as suas palavras-chave, 54% permite a utilização de termos padrão em qualquer dicionário (como “password”, por exemplo) e 29% não tem qualquer critério que estabeleça um limite mínimo para a quantidade de caracteres de um código.
Mas mesmo as organizações que tentam implementar boas práticas no que concerne à utilização de palavras-chave deparam-se com alguns problemas. A investigação do estudo revelou que 88% dos utilizadores empresariais têm várias palavras-chave para o seu trabalho – estando a média entre as cinco e as seis. O que, de acordo com Brink, “pode tornar-se num problema de gestão delicado, uma vez que os utilizadores têm de as decorar todas e mantê-las separadas – e os utilizadores tendem a resolver esse problema com práticas erradas, como anotá-las em qualquer lugar, ou escolher a mesma palavra-chave para todos os sistemas”.
Para o investigador, a solução pode passar por uma autenticação em duas etapas que recorra a “tokens” de software, certificados digitais ou mesmo identificação biométrica, a fim de criar uma camada adicional de segurança.
