As novas directivas pretendem eliminar políticas como a obrigatoriedade de trocar senhas regularmente, a exigência de caracteres específicos, ou o uso de perguntas de segurança. Essas regras, criadas para reforçar a segurança, muitas vezes têm o efeito oposto, levando à criação de senhas mais fracas e riscos acrescidos.
A proposta do NIST defende que forçar os utilizadores a trocar senhas frequentemente ou incluir caracteres especiais torna as senhas mais difíceis de lembrar e menos seguras. A nova abordagem sugere que, desde que se estejam a usar passwords seguras e aleatórias, só se deve forçar a sua alteração se houver prova de uma violação de segurança. O NIST também recomenda permitir passwords mais longas, com 64 caracteres ou mais, e aceitar uma maior variedade de caracteres, incluindo Unicode. Além disso, as diretrizes desencorajam o uso de perguntas de segurança para a recuperação de senhas, visto que quase sempre podem ser facilmente adivinhadas, e que as mesmas fiquem mais protegidas de tentativas de ataque.
-
Passwords devem ter um mínimo de 8 caracteres, idealmente 15 ou mais.
- Passwords deverão poder ter um tamanho de 64 caracteres, ou mais.
- Passwords deverão poder conter todos os caracteres ASCII [RFC20] incluindo o "espaço".
- Passwords deverão aceitar caracteres Unicode [ISO/ISC 10646].
- Não deverá ser feita qualquer imposição (obrigação de diferentes tipos de caracteres, letras, números, símbolos).
- Não deverá ser exigida substituição períodica das passwords - a não ser em caso de violação de segurança.
- Não utilizar "dicas" de passwords que fiquem acessíveis a utilizadores não autenticados
- Não utilizar perguntas de segurança para processo de recuperação de passwords.
- Validar integralmente toda a password (não considerar apenas uma secção cortada da mesma).
Embora estas directivas não sejam obrigatórias, definem um padrão de boas práticas que se espera que sejam seguidas por empresas e organizações, e ajudem a dizer o adeus às práticas não recomendadas que ainda são usadas.
Vem com 20 anos de atraso...
ResponderEliminarE o uso dos absurdos teclados virtuais ou proibição de gestores de password, como faz a Santa Casa. Absurdo.
ResponderEliminar