Após 27 anos como administrador de sistemas e consultor em IT - Infraestruturas Tecnológicas, continuo a encontrar casos em palavras-chave são simplesmente partilhadas em notas Post-it.

Confio não ser o seu caso, caro leitor, por motivos óbvios. Mas é possível que o seu procedimento para partilha e arquivo de informação sensível enferme de outros problemas graves. Por exemplo, se usa correio electrónico ou SMS para a transmitir.

Exceptuando em alguns casos meritórios, o e-mail não é seguro: o seu conteúdo está exposto em trânsito, (ie, sem cifra), e armazenado indefinidamente em múltiplos servidores e dispositivos inseguros. Mensagens SMS sofrem das mesmas limitações.

Enviar credenciais por serviços como o Signal ou WhatsApp é ligeiramente mais seguro: as mensagens circulam cifradas, pelo que o seu conteúdo não está exposto em trânsito. No entanto, são normalmente arquivadas nos dispositivos do remetente e destinatário, e sujeitas a inspecção em caso de acesso não-autorizado.

Para lidar com esta problemática, na 3GNTW adoptámos um procedimento para a partilha de informação confidencial.

Para partilhar informação confidencial, usamos canais de transmissão separados, com a informação mais sensível disponibilizada via ligações efémeras SnapPass:

1. Partilhamos a parte menos sensível da informação (ex. informação introdutória, usernames, etc...) por um canal de transmissão menos seguro, tipicamente correio electrónico, mas pode ser outro, desde que diferente daquele usado no ponto seguinte).
   
   Se o email for interceptado, ou se no futuro o servidor de correio do remetente ou do destinatário forem comprometidos, a informação nos e-mails é inócua, e não permite o acesso ao serviço, ou sistema;
   
   Um exemplo das mensagens que enviamos por email:
   
   ”Caro cliente,
   

   Abaixo encontra instruções sobre como configurar o seu cliente de correio electrónico. A palavra-chave que protege a sua conta de correio marcelo@presidencia.pt ser-lhe-á enviada de seguida, por canal alternativo.
   

   Gratos pela preferência,

   Suporte Técnico 3GNTW”
   

2. Partilhamos a informação mais sensível, (ex. palavras-chave sem qualquer referência ao serviço, sistema ou username que autenticam), por ligações efémeras SnapPass1, enviadas por outro canal diferente, (preferencialmente com cifra na transmissão, como Signal ou WhatsApp), ligações essas que expiram após acedidas, ou se não forem acedidas em tempo útil.
   
   Mesmo que alguém tenha acesso à conta Signal ou WhatsApp do remetente, ou destinatário, no presente, não sabe associar a palavra-chave ao respectivo serviço, sistema ou username. E, se tiver acesso no futuro, as ligações efémeras expiraram, e não darão acesso à informação sensível.
   
   Um exemplo das mensagens que enviamos por e-mail, relativas às ligações efémeras:
   
   ”Caro cliente,
   
   Pode obter a palavra-chave que desbloqueia a conta cujos dados acabámos de lhe enviar através da seguinte ligação efémera(*):
   

   https://snappass.3gnt.net/snappass09f232d376754122bab6b55ed291d824~jmOOFF-Vv1LvlVbtmgbZ_XD_s8OV4A134F5x4GiFuxw%3D
   

   (*)A ligação efémera expira numa semana, ou após ser acedida pela primeira vez, pelo que deve apontar as credenciais em local seguro, como um repositório KeePass 2.x. A utilização de ligações efémeras permite assegurar a confidencialidade da informação sensível, em caso de futura violação do seu correio electrónico.
   

   Gratos pela preferência,

   Suporte Técnico 3GNTW”
   

Para arquivar informação confidencial, usamos e recomendamos repositórios KeePass 2.x:

1. Cada utilizador possui uma cópia dos repositórios aos quais tem acesso, sendo o acesso autorizado mediante a relevância (ex. repositório por departamento/cliente/projecto) e senioridade (estagiário, júnior, sénior, etc...)2;

2. Os utilizadores podem sincronizar os seus repositórios locais com uma versão central.

Resumindo, é importante garantir que:

1. Em nenhum caso são partilhadas credenciais completas (sistema/serviço, utilizador e palavra-chave) através de apenas um canal de transmissão. A informação deve ser partilhada por 2 canais diferentes, usando ligações efémeras para a parte mais sensível, não devendo ser possível associar a informação transmitida por um canal, àquela transmitida pelo outro.
   
   O envio de credenciais completas através de apenas um canal é um risco de segurança porque, se forem interceptadas durante a sua transmissão, ou no caso de intrusão futura no fornecedor/sistema/plataforma onde estão guardadas, serão capturadas;

2. Sempre que possível devem ser optados canais cifrados, que não permitem o acesso à informação em trânsito, sobre outros.
   

3. A informação confidencial deve ser salvaguardada em repositórios KeePass 2.x, nunca em sistemas não cifrados, e o acesso a ela deve ser restrito a quem dela necessita.

Sugiro que adoptem estes procedimentos, ou implementem outros que considerem mais seguros. E, no segundo caso, que os partilhem comigo. ;)