2016/11/24

As regras para a escolha de passwords (e o seu armazenamento)


Não há semana que passe sem que venha a público mais um qualquer roubo de bases de dados que revelam dados de milhões de utilizadores e é inacreditável ver como muitos serviços populares (e supostamente com capacidade tecnológica) continuam a cometer falhas gravíssimas na gestão das passwords. E não seria difícil fazer as coisas bem feitas, pois as recomendações estão disponíveis publicamente para quem as quiser seguir.

O NIST (National Institute for Standards and Technology) norte-americano tem uma série de recomendações quanto ao processo de escolha de passwords assim como de como as mesmas deverão ser armazenadas de forma segura.

As recomendações começam por coisas tão simples quanto abandonar exigências que nada contribuem para a escolha de passwords seguras, e que servem apenas para angustiar a vida dos utilizadores. Refiro-me a coisas como a exigência de trocar de passwords a intervalos de tempo reduzidos; ou a obrigatoriedade de se usar "pelo menos uma minúscula, uma maiúscula, um algarismo, um símbolo, dois cafés com leite, uma torrada mista" e sabe-se lá que mais. Ao invés disso será mais produtivo apostar em coisas como não aplicar limites de tamanho máximos reduzidos (como certos serviços que não permitem passwords com mais de 16 caracteres), assim como medidas proactivas de detecção de passwords/passphrases comuns, com a recomendação de que as mesmas sejam alteradas. Também recomendado é que se aceitem todos os caracteres e símbolos para as passwords, incluindo emoji - como se irá apenas guardar as hashes (com salt e stretched) isso não deverá ter grande impacto na estrutura do sistema.

Por outro lado há coisas que se devem abolir, como as "dicas" em caso do esquecimento da password, ou todas as perguntas adicionais de validação, assim como a autenticação via SMS.

... Acima de tudo, importará dizer que não se deve ter aspirações a "reinventar a roda". Há especialistas que dedicam toda a sua vida a investigar as questões da segurança. E se eles nos indicam uma forma lógica e racional de como as coisas podem ser mantidas com a máxima segurança, é melhor seguir as suas recomendações do que inventar uma solução feita em casa.

Sem comentários:

Enviar um comentário (problemas a comentar?)