Quando o engenheiro Bill Burr, do Instituto Nacional de Padrões e Tecnologia dos Estados Unidos (NIST), escreveu em 2003 o que logo se tornaria o maior padrão ouro para segurança de senha, ele aconselhou pessoas e organizações a proteger suas contas inventando linhas longas e 'caóticas' de caracteres, números e sinais – e alterá-los regularmente.

Quatorze anos depois, Burr admitiu que se arrependia de seus conselhos anteriores. “Isso deixa as pessoas malucas e elas não escolhem boas senhas, não importa o que você faça”, ele disse ao Wall Street Journal.

Ou, como o famoso xkcd comic colocou isso: “Através de 20 anos de esforço, treinamos todos com sucesso para usar senhas que são difíceis para os humanos lembrarem, mas fáceis para os computadores adivinharem.”

Hoje em dia, uma pessoa comum tem até 100 senhas para lembrar, com o número crescendo rapidamente nos últimos anos (embora, na verdade, algumas pessoas usei cerca de 50 senhas, incluindo vários códigos off-line, mesmo anos atrás e alguns especialistas em segurança têm apontado que tais hábitos e políticas de senha são insustentáveis.)

De fato, estudos descobriram que as pessoas normalmente se lembram apenas até cinco senhas e pegue atalhos criando senhas fáceis de adivinhar e depois recicle-os em várias contas online. Alguns podem realmente substituir números e caracteres especiais por letras (por exemplo, “password” se transforma em “P4??WØrd”), mas isso ainda torna a senha fácil de decifrar.

Nos últimos anos, organizações líderes como The Open Web Application Security Project (OWASP) e, é claro, o próprio NIST têm mudou suas políticas e conselhos em direção a uma abordagem mais amigável - tudo isso enquanto aumenta a segurança da senha.

Ao mesmo tempo, gigantes da tecnologia como Microsoft e Google estão incentivando todos a abandonar completamente as senhas e ficar sem senha em vez de. No entanto, se sua pequena ou média empresa ainda não estiver pronta para se separar das senhas, aqui estão algumas orientações que ajudarão você e seus funcionários em 2023.

Pare de impor regras de composição de senhas desnecessariamente complexas

Quaisquer regras de composição excessivamente complexas (como exigir que os usuários incluam caracteres maiúsculos e minúsculos, pelo menos um número e um caractere especial) não são mais obrigatórias. Isso ocorre porque essas regras raramente incentivam os usuários a definir senhas mais fortes, levando-os a agir de forma previsível e criar senhas que são um “golpe duplo” – elas são fracas e difíceis de lembrar.

Alternar para frases secretas

Em vez de senhas mais curtas, mas difíceis, ir para frases secretas. Eles são mais longos e complexos, mas ainda fáceis de lembrar. Por exemplo, pode ser uma frase inteira que ficou na sua cabeça por algum motivo, salpicada de letras maiúsculas, caracteres especiais e emojis. Embora não seja supercomplexo, ainda levará muito tempo para que as ferramentas automatizadas o quebrem.

Há alguns anos, o comprimento mínimo para uma boa senha era de oito caracteres, que consistiam em maiúsculas e minúsculas, sinais e números. Hoje, as ferramentas automatizadas de quebra de senha podem adivinhar essa senha em minutos, especialmente se ela estiver protegida com a função hash MD5.

Isso é de acordo com testes executados pela Hive Systems e publicado em abril de 2023. Pelo contrário, uma senha simples que contém apenas caracteres minúsculos e maiúsculos, mas com 18 caracteres, leva muito, muito mais tempo para ser decifrada.

Fonte: Sistemas de colmeia

Apontar para um comprimento mínimo de 12 caracteres – quanto mais, melhor!

As diretrizes do NIST reconhecem o comprimento como o fator chave na força da senha e introduzem um comprimento mínimo exigido de 12 caracteres, atingindo um máximo de 64 caracteres após a combinação de vários espaços. Todas as coisas sendo iguais, quanto mais, melhor.

Habilite uma variedade de caracteres

Ao definir suas senhas, os usuários devem ter a liberdade de escolher entre todos os caracteres ASCII e UNICODE imprimíveis, incluindo emojis. Eles também devem ter a opção de usar espaços, que são uma parte natural das senhas – uma alternativa frequentemente recomendada às senhas tradicionais.



Limite a reutilização de senha

É sabedoria convencional até agora que as pessoas não devem reutilizar suas senhas em diferentes contas online, porque a violação de uma conta pode facilmente levar ao comprometimento de outras contas.

No entanto, muitos hábitos custam a morrer e cerca de metade dos entrevistados em um estudo do Instituto Ponemon de 2019 admitiram reutilizar uma média de cinco senhas em suas contas comerciais e/ou pessoais.

Não defina uma data de validade para senhas

O NIST também recomenda não exigir alterações regulares de senha, a menos que solicitado pelo usuário ou a menos que haja evidência de comprometimento. A lógica é que os usuários só têm muita paciência para pensar constantemente em novas senhas razoavelmente fortes. Como resultado, fazê-los fazer isso em intervalos regulares pode fazer mais mal do que bem.

Quando a Microsoft anunciou o abandono das políticas de expiração de senha há três anos, ela questionou toda a ideia de expiração de senha.

“Se é certo que uma senha provavelmente será roubada, quantos dias é um período de tempo aceitável para continuar permitindo que o ladrão use essa senha roubada? O padrão do Windows é 42 dias. Isso não parece um tempo ridiculamente longo? Bem, é, mas nossa linha de base atual diz 60 dias – e costumava dizer 90 dias – porque forçar a expiração frequente apresenta seus próprios problemas,” lê o blog da Microsoft.

Tenha em mente que este é apenas um conselho geral. Se você estiver protegendo um aplicativo que é crucial para o seu negócio e atraente para os invasores, ainda poderá forçar seus funcionários a alterar as senhas periodicamente.

Abandone dicas e autenticação baseada em conhecimento

Dicas de senha e perguntas de verificação baseadas em conhecimento também estão obsoletas. Embora possam de fato ajudar os usuários em sua busca por senhas esquecidas, eles também podem ser de grande valor para os invasores. Nosso colega Jake Moore mostrou em várias ocasiões como os hackers podem abusar da página de “senha esquecida” para invadir contas de outras pessoas, por exemplo em PayPal e Instagram.

Por exemplo, uma pergunta como “o nome do seu primeiro animal de estimação” pode ser facilmente adivinhada com um pouco de pesquisa ou engenharia social e não há realmente um número infinito de possibilidades pelas quais uma ferramenta automatizada deve passar.

Senhas comuns da lista negra

Em vez de confiar nas regras de composição usadas anteriormente, verifique as novas senhas em uma “lista negra” do mais comumente usado e/ou senhas previamente comprometidas e avaliar as tentativas de correspondência como inaceitáveis.

Em 2019, Microsoft escaneado as contas de seus usuários comparando os nomes de usuário e senhas a um banco de dados de mais de três bilhões de conjuntos de credenciais vazadas. Ele encontrou 44 milhões de usuários com senhas comprometidas e forçou uma redefinição de senha.

Forneça suporte para gerenciadores de senhas e ferramentas

Certifique-se de que a funcionalidade “copiar e colar”, as ferramentas de senha do navegador e os gerenciadores de senha externos tenham permissão para lidar com o incômodo de criar e proteger as senhas dos usuários.

Os usuários também devem optar por visualizar temporariamente toda a senha mascarada ou o último caractere digitado da senha. De acordo com as diretrizes da OWASP, a ideia é melhorar a facilidade de uso da entrada de credenciais, principalmente em relação ao uso de senhas mais longas, frases secretas e gerenciadores de senhas.

Defina um prazo de validade curto para as senhas iniciais

Quando seu novo funcionário estabelece uma conta, a senha inicial gerada pelo sistema ou o código de ativação deve ser gerado aleatoriamente com segurança, com pelo menos seis caracteres e pode conter letras e números.

Certifique-se de que ela expire após um curto período de tempo e não possa se tornar a senha verdadeira e de longo prazo.

Notificar os usuários sobre alterações de senha

Quando os usuários alteram suas senhas, eles devem primeiro inserir sua senha antiga e, idealmente, habilitar a autenticação de dois fatores (2FA). Uma vez feito, eles devem receber uma notificação.

Tenha cuidado com o processo de recuperação de senha

Não apenas o processo de recuperação não deve revelar a senha atual, mas o mesmo também se aplica às informações sobre se a conta realmente existe ou não. Em outras palavras, não forneça aos invasores nenhuma informação (desnecessária)!

Use CAPTCHA e outros controles anti-automação

Use controles antiautomação para mitigar testes de credenciais violadas, força bruta e ataques de bloqueio de conta. Esses controles incluem o bloqueio das senhas violadas mais comuns, bloqueios suaves, limitação de taxa, CAPTCHA, atrasos cada vez maiores entre tentativas, restrições de endereço IP ou restrições baseadas em risco, como localização, primeiro login em um dispositivo, tentativas recentes de desbloquear a conta , ou similar.

De acordo com os padrões atuais da OWASP, deve haver no máximo 100 tentativas malsucedidas por hora em uma única conta.

Não confie só em senhas

Independentemente de quão forte e exclusiva seja uma senha, ela continua sendo uma única barreira separando um invasor e seus dados valiosos. Ao buscar contas seguras, uma camada de autenticação adicional deve ser considerada uma necessidade absoluta.

É por isso que você deve usar a autenticação de dois fatores (2FA) ou multifator (MFA) sempre que possível.

Nem todas as opções 2FA nascem iguais, no entanto. As mensagens SMS, embora muito melhores do que nenhum 2FA, são suscetíveis a inúmeras ameaças. Alternativas mais seguras envolvem o uso de dispositivos de hardware dedicados e geradores de senha única (OTP) baseados em software, como aplicativos seguros instalados em dispositivos móveis.

Nota: Este artigo é uma versão atualizada e estendida deste artigo que publicamos em 2017: Não há mais requisitos de senha inúteis

Talvez confira Gerador de senhas da ESET?

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoAiStream. Inteligência de Dados Web3. Conhecimento Amplificado. Acesse aqui.
• Cunhando o Futuro com Adryenn Ashley. Acesse aqui.
• Compre e venda ações em empresas PRE-IPO com PREIPO®. Acesse aqui.
• Fonte: https://www.welivesecurity.com/2023/05/04/creating-strong-user-friendly-passwords-tips-business-password-policy/