Segurança em Estações de Trabalho Windows: O Perigo das Senhas Wi-Fi e a Evolução para Autenticação via Certificados

 

Segurança nas Estações de Trabalho: Wi-Fi e o Perigo das Senhas!

A segurança da infraestrutura de rede começa muito antes do firewall ou do endpoint. Um vetor frequentemente negligenciado é a segurança das credenciais de rede sem fio, especialmente quando se utilizam senhas compartilhadas (PSK - Pre-Shared Key) em ambientes corporativos. 

Este artigo tem como objetivo demonstrar como qualquer usuário pode facilmente recuperar senhas Wi-Fi salvas em uma estação Windows e apresentar uma abordagem significativamente mais segura: a autenticação por certificados digitais.

Quando um dispositivo Windows se conecta a uma rede Wi-Fi, todas as configurações dessa rede — incluindo a senha — são armazenadas localmente no perfil de rede. 

O problema é que essa informação, mesmo estando em formato aparentemente protegido, pode ser recuperada de forma simples usando ferramentas nativas do próprio sistema operacional.

Para recuperar uma senha em WIFI "caseiro", basta seguir os passos abaixo.

1. Abra o Terminal e aplique o seguinte comando: 

• netsh wlan show profiles

2. Em seguida, utilize o comando netsh wlan show profile name="NOME-DO-PROFILE" key=clear e pressione a tecla enter.

3. Desça a barra de rolagem até encontrar o item Conteúdo da Chave. Essa é a senha do seu WIFI, armazenado em texto plano em sua estação de trabalho.

Riscos Associados ao Uso de Senhas PSK (Pre-Shared Key)

O uso de senhas compartilhadas apresenta uma série de riscos para empresas:

• Facilidade de Divulgação: Basta que uma pessoa visualize ou compartilhe a senha com terceiros (funcionários, visitantes, fornecedores, etc.).

• Fácil Extração: Qualquer pessoa com acesso ao dispositivo pode obter a senha, como demonstrado acima.

• Reutilização Indevida: Dispositivos pessoais e não gerenciados podem conectar-se à rede interna, muitas vezes sem qualquer controle adicional.

• Dificuldade na Revogação: Se um colaborador deixa a empresa, é necessário alterar a senha do Wi-Fi e redistribuí-la a todos os demais usuários.

• Acesso Persistente: Dispositivos que já se conectaram uma vez continuam com acesso até que o PSK seja alterado.

A Solução Profissional: Autenticação Wi-Fi Baseada em Certificados (EAP-TLS)

O que é EAP-TLS?

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security) é um protocolo de autenticação que utiliza certificados digitais no lugar de senhas. Ele é amplamente reconhecido como o método mais seguro para autenticação Wi-Fi empresarial.

Como Funciona a Autenticação com Certificados

1. O cliente (estação de trabalho ou notebook) deve possuir um certificado digital válido, emitido por uma autoridade certificadora (CA) da organização.

2. Ao tentar conectar-se à rede Wi-Fi corporativa, o dispositivo se apresenta ao servidor de autenticação (NPS - Network Policy Server, por exemplo) com seu certificado.

3. O servidor verifica a validade do certificado, conferindo:

   • Assinatura válida

   • Período de validade

   • Se não foi revogado (via CRL ou OCSP)

4. Após validação, o servidor NPS concede acesso seguro, criando uma sessão protegida via TLS.

Componentes Necessários para Implementação

• Active Directory (AD): Para controle de identidades.

• Serviços de Certificados (AD CS): Infraestrutura de Autoridade Certificadora interna.

• Servidor NPS: Responsável pela autenticação RADIUS.

• Controladores Wireless Compatíveis: Que suportem 802.1X e EAP-TLS.

• GPOs: Para distribuição automática de certificados e configuração do perfil de Wi-Fi nas estações.

E se eu quiser começar?

1. Implante uma CA interna com o AD CS.

2. Distribua certificados via GPO para computadores confiáveis.

3. Configure o NPS para autenticação 802.1X com EAP-TLS.

4. Ajuste seus Access Points para utilizar RADIUS.

5. Implemente uma política de revogação e renovação de certificados.