Todos já vimos isto: entra-se num novo emprego ou visita-se um escritório para fazer uma chamada de vendas e vê-se a palavra-passe partilhada da rede sem fios escrita em todos os quadros brancos. Mesmo que não esteja escrito em todo o lado, provavelmente é fácil de adivinhar – experimente o nome da empresa com 123 no fim, ou os E substituídos por 3.
Mesmo nas empresas com palavras-passe de rede sem fios difíceis de adivinhar, é pouco provável que a palavra-passe tenha sido alterada da última vez que alguém saiu da empresa. Afinal, é um grande entrave à produtividade.
Isto obviamente não é uma boa higiene de palavras-passe; uma palavra-passe partilhada (e possivelmente fácil de adivinhar) que raramente é alterada dificilmente é segura.
Mas isso importa mesmo?
A resposta, como quase tudo, é “depende.” Há cenários em que uma rede sem fios comprometida representa uma ameaça real para o sistema de produção, e há cenários em que (através de uma conceção cuidadosa) a rede do escritório não precisa de palavra-passe nenhuma.
No entanto, para a maioria das empresas, a segurança de rede é vital, e palavras-passe inseguras podem criar uma grande vulnerabilidade.
O que há de errado com uma palavra-passe partilhada de rede sem fios?
Existem vários riscos significativos associados a uma palavra-passe sem fios partilhada. Ter uma palavra-passe partilhada aumenta a probabilidade de um atacante a descobrir e aceder à sua LAN corporativa.
Embora menos empresas mantenham recursos confidenciais na sua LAN corporativa, o seu escritório continua a representar uma concentração de colaboradores, que podem ter desativado ou flexibilizado os serviços de partilha de ficheiros ou de firewall nos seus portáteis. Algumas empresas mantêm armazenamento ligado à rede local (NAS) para cópias de segurança. Mesmo que os hackers não consigam aceder a recursos confidenciais, um atacante ainda conseguirá imprimir “pwn3d” na impressora do seu escritório até o papel acabar.
No cenário mais provável, o atacante pode tirar partido de um nível de acesso mais elevado concedido ao enviar tráfego através do endereço IP público do seu escritório. Muitas empresas colocam na lista de permissões o acesso a servidores e recursos de produção com base no endereço IP do escritório ou isentam a autenticação multifator do tráfego proveniente dos endereços IP do escritório. Nestes casos, um atacante tem uma forma de aceder aos seus dados sensíveis a partir do seu parque de estacionamento, e provavelmente nem vai dar por isso.
O acesso SSH em lista de permissões a partir do escritório para os servidores apresenta um risco relativamente baixo, mas uma das piores vulnerabilidades é uma interface web de “admin” para o serviço de produção que está na lista de permissões para o escritório. As interfaces web de administração costumam estar muito abaixo na lista de prioridades para atualizações de segurança, uma vez que são “apenas para uso interno.” Mas uma interface de administração a executar código com vulnerabilidades conhecidas é um alvo fácil para comprometer toda a sua base de dados de produção.
Um ex-funcionário com contas a ajustar pode representar outro risco. As empresas são especialmente vulneráveis neste caso, uma vez que esse colaborador teria conhecimento específico sobre a sua empresa e a sua arquitetura. Ainda podem aceder à sua rede sem sequer entrar no edifício e usar esse conhecimento para atacar um ponto fraco conhecido.
Quando é aceitável uma palavra-passe partilhada ou nenhuma palavra-passe?
Uma rede sem fios sem palavra-passe pode ser útil para redes de convidados. As redes de convidados não devem usar o mesmo endereço IP público que as redes dos seus colaboradores utilizam, e estas redes provavelmente devem ter limites de largura de banda rigorosos. Os dados não serão encriptados, mas como tanto tráfego passa por SSL, isto já não é uma preocupação tão grande como costumava ser.
Para escritórios, uma palavra-passe partilhada é aceitável se a palavra-passe for alterada sempre que um colaborador sair. Como precaução, recomenda-se que não tenha dispositivos locais e que não coloque o IP na lista de permissões em lado nenhum. Qualquer pessoa que aceda a recursos de produção deve ter de usar as suas credenciais de funcionário (não se esqueça da autenticação multifator!) e/ou usar uma VPN para lhes aceder.
Como posso deixar de usar uma palavra-passe sem fios partilhada?
O próximo passo na segurança sem fios é passar para um sistema de início de sessão que pede um nome de utilizador e uma palavra-passe.
Todos os principais sistemas operativos têm suporte incorporado para isto. Isto significa que, quando o computador tenta iniciar sessão numa rede com WPA2-Enterprise, não pedirá a palavra-passe partilhada da rede (que já se habituou a ver), mas, em vez disso, surgirá uma caixa de diálogo a pedir o nome de utilizador e a palavra-passe exclusivos do colaborador. No backend, o seu ponto de acesso comunica esse nome e palavra-passe a um servidor RADIUS, que devolverá uma resposta “sim” se o nome e a palavra-passe forem válidos, ou “não” caso contrário.
Como resultado, as organizações podem manter as suas redes seguras e bloquear utilizadores não autorizados, enquanto os colaboradores podem iniciar sessão e ligar-se com mais facilidade do que nunca.
Isto requer um servidor RADIUS. Se não tiver um, existem ofertas de RADIUS fornecidas na cloud (como Foxpass) que podem validar nomes de utilizador e palavras-passe em relação a bases de dados internas ou fontes externas (como contas Google Apps).
Quando é necessário acesso seguro à rede e segurança, Foxpass é a solução ideal, levando RADIUS na cloud e controlo de acesso a empresas de todas as dimensões. Foxpass tem um teste gratuito de 30 dias e um processo de configuração super fácil, por isso não há razão para não ter esta proteção hoje. Também somos gratuitos para organizações com menos de 10 utilizadores!
Wi-Fi é uma marca registada da Wi-Fi Alliance®
