Segurança

Vazamento de credenciais e senhas faz governo recomendar adesão ao projeto Login Único do Serpro

O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo Federal preocupado com o aumento do vazamento de credenciais de sistemas (usuário/senha) recomenda uma série de ações às autarquias e órgãos públicos, entre elas, a adesão ao projeto login único do Serpro no portal Gov.br. O CTIR.Gov lembra que as credenciais vazadas podem ser usadas como ponto de partida para ações maliciosas direcionadas, como acessos indevidos, disseminação de malwares, movimentação lateral e ataques de ransomware.

Observa que o vazamento de credenciais agrava a ameaça e tornam o controle deste recurso uma tarefa de extrema relevância, uma vez que é comum, por parte dos usuários, a utilização da mesma credencial de acesso em diferentes sites ou serviços. Segundo o CTIR Gov, as técnicas mais comuns utilizadas por agentes maliciosos para obtenção de credenciais de acesso válidas são: o phishing e suas variantes (smishing e vishing), ações de engenharia social, instalação de softwares maliciosos contendo keyloggers, monitoramento indevido de tráfego de rede e acesso de sistemas governamentais por meio de redes inseguras.

Para evitar os vazamentos e mitigar os riscos, o CTIR Gov reforça à Administração Pública Federal a adoção das seguintes medidas:

– Atualizar os Sistemas Operacionais e navegadores web com os mais recentes patches de segurança;

– Implementar o recurso de autenticação de multifator (MFA), quando disponível;


– Definir uma política específica de controle de senhas administrativas de sistemas críticos;

– Auditar registros de eventos de login em busca de acessos oriundos de endereços IP estranhos à rotina normal da organização (de outros países, por exemplo), ou feitos em horários incomuns;

– Implementar o princípio de privilégio mínimo que garanta que usuários tenham o nível mínimo de acesso necessário para cumprir suas tarefas;

– Criar ou reforçar campanhas de conscientização de usuários sobre o tema segurança da informação; e

– Avaliar a viabilidade da integração da autenticação dos sistemas da organização ao projeto “Login Único” disponibilizado pelo Serviço de Processamento de Dados (SERPRO), maiores informações podem ser obtidas em: https://manual-roteiro-integracao-login-unico.servicos.gov.br/pt/stable/contexto.html O projeto Login Único é feito pelo portal Gov.br.

*Com informações do CTIR. Gov

Botão Voltar ao topo