NIST pede fim das regras absurdas nas passwords

O NIST (National Institute of Standards and Technology) dos EUA propôs o fim de algumas das regras mais confusas e contraproducentes sobre passwords, infelizmente ainda usadas por muitas organizações.

As novas directivas pretendem eliminar políticas como a obrigatoriedade de trocar senhas regularmente, a exigência de caracteres específicos, ou o uso de perguntas de segurança. Essas regras, criadas para reforçar a segurança, muitas vezes têm o efeito oposto, levando à criação de senhas mais fracas e riscos acrescidos.

A proposta do NIST defende que forçar os utilizadores a trocar senhas frequentemente ou incluir caracteres especiais torna as senhas mais difíceis de lembrar e menos seguras. A nova abordagem sugere que, desde que se estejam a usar passwords seguras e aleatórias, só se deve forçar a sua alteração se houver prova de uma violação de segurança. O NIST também recomenda permitir passwords mais longas, com 64 caracteres ou mais, e aceitar uma maior variedade de caracteres, incluindo Unicode. Além disso, as diretrizes desencorajam o uso de perguntas de segurança para a recuperação de senhas, visto que quase sempre podem ser facilmente adivinhadas, e que as mesmas fiquem mais protegidas de tentativas de ataque.

• Passwords devem ter um mínimo de 8 caracteres, idealmente 15 ou mais.
  
• Passwords deverão poder ter um tamanho de 64 caracteres, ou mais.
• Passwords deverão poder conter todos os caracteres ASCII [RFC20] incluindo o "espaço".
• Passwords deverão aceitar caracteres Unicode [ISO/ISC 10646].
• Não deverá ser feita qualquer imposição (obrigação de diferentes tipos de caracteres, letras, números, símbolos).
• Não deverá ser exigida substituição períodica das passwords - a não ser em caso de violação de segurança.
• Não utilizar "dicas" de passwords que fiquem acessíveis a utilizadores não autenticados
• Não utilizar perguntas de segurança para processo de recuperação de passwords.
• Validar integralmente toda a password (não considerar apenas uma secção cortada da mesma).

Este último ponto pode parecer idiota, mas exisitam de facto alguns serviços que deixavam os utilizadores escrever passwords longas, mas depois só consideravam os primeiros 16 caracteres. Algo que passaria despercebido aos utilizadores na maioria dos casos, se introduzissem correctamente a password... até ao dia em que se enganassem na parte final, e descobrissem que afinal continuava a ser válida.

Embora estas directivas não sejam obrigatórias, definem um padrão de boas práticas que se espera que sejam seguidas por empresas e organizações, e ajudem a dizer o adeus às práticas não recomendadas que ainda são usadas.