Diretrizes do NIST para Segurança da Senha: Se Você Estiver Usando um Gerenciador de Senhas, Deverá Estar em Boas Mãos

NIST Password Guidelines

O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) é uma agência federal que faz parte do Departamento de Comércio dos EUA, o que significa que, embora não tenha funções reguladoras,ela emprega muitas pessoas que deveriam saber o que estão falando. Durante anos, o NIST discutiu, entre outras coisas, o problema da autenticação e senhas seguras on-line. Como o nome da organização sugere, seu objetivo é padronizar o mundo da tecnologia e, embora não tenha unificado completamente a percepção de todos, suas diretrizes influenciaram, até certo ponto, nossas ideias sobre o que é e o que não é uma boa senha.
Devemos continuar a ouvir tudo o que diz sobre autenticação online?

As diretrizes de senha do NIST foram menos que perfeitas

Há uma boa chance de você ter enfrentado recentemente o desafio de criar o que muitos diriam ser uma senha forte. Estamos falando de uma senha longa (pense em mais de 12 caracteres) que contém letras maiúsculas e minúsculas, dígitos e caracteres especiais. Temos discutido muitas vezes como isso poderia ser frustrante, especialmente quando os requisitos de senha não são tão claros como deveriam ser. Acreditamos que nem precisamos mencionar o problema de lembrar o complexo emaranhado de letras, números e caracteres especiais.

No entanto, em 2003, o NIST disse que esta é a única maneira segura de criar uma senha, e os fornecedores começaram a tentar forçar as pessoas a segui-lo, algo que continua até hoje. Não há padrão. Cada desenvolvedor decide por si mesmo o quão complexas serão as senhas dos usuários, mas é justo dizer que praticamente todo mundo tem alguns requisitos. Os resultados? Bem, todo o esforço para senhas mais complexas tornou a tarefa de gerenciá-las quase impossível.

Os usuários têm tentado dar uma solução em relação aos requisitos. Alguns apenas adicionam um "123!@" Ao final de "Sehna", o que anula o propósito de exigir números e caracteres especiais. Outros anotam em notas adesivas, colam nos monitores e acabam por perdê-las. Para vários, no entanto, a solução é clara - criar uma ou duas senhas razoavelmente complexas e usa-las para várias contas.

Em suma, o inconveniente causado pelas antigas diretrizes de senha do NIST tem sido enorme, e o benefício tem sido questionável. É por isso que, há cerca de um ano e meio, o NIST as substituiu por novas.

O NIST mudou de ideia

Podemos apenas imaginar que a coisa toda foi um pouco embaraçosa. Bill Burr, um dos autores das diretrizes do NIST de 2003, até mesmo pediu desculpas por colocar as pessoas em toda essa frustração. O problema foi que, o seu antigo conselho era uma bala que estava claramente saindo pela culatra, e algo tinha que ser feito.

No verão de 2017, uma equipe diferente de especialistas publicou as novas diretrizes de senha do NIST. O Instituto agora está dando menos ênfase à complexidade e, ao invés disso, está focando no comprimento. De acordo com o documento (devido ao encerramento do governo dos EUA, o recurso não está disponível no momento da escrita, mas você pode encontrar uma versão arquivada aqui), "O comprimento da senha foi considerado o principal fator na caracterização da força da senha." Em seguida, afirma que, embora a introdução de conjuntos adicionais de caracteres torne a senha mais complexa e, portanto, teoricamente mais difícil de adivinhar, a previsibilidade com que os usuários reagem a esse tipo de requisito (isto é, "Password123!@") diminui seu impacto na segurança geral da senha.

O conselho atual do NIST para os fornecedores é definir um requisito de tamanho mínimo da senha que deve ser baseado no modelo de ameaça. Websites e aplicativos também devem definir seu limite máximo de tamanho com no mínimo 64 símbolos e devem permitir todos os tipos de caracteres (incluindo espaços) na senha.

Em vez de tentar encorajar os usuários a criar boas senhas (o que claramente não funcionou da última vez), o Instituto está tentando persuadi-las a evitar as más. O documento do NIST diz que os fornecedores devem proibir palavras de dicionário fáceis de adivinhar e até sugerir que eles verifiquem a senha que o usuário está tentando criar contra um banco de dados de senhas que já vazaram durante violações de dados. Depois que o NIST divulgou suas diretrizes, Troy Hunt, a operadora do famoso HaveIBeenPwned, configurou uma ferramenta gratuita que pode executar esse tipo de verificação em comparação com centenas de milhões de senhas expostas.

Um dos pontos mais controversos na última orientação de senha do NIST afirma que as políticas de expiração de senha devem ser abolidas completamente. Os especialistas do Instituto acham que, se não há motivos para acreditar que uma senha tenha sido comprometida de alguma forma, não há motivo para alterá-la, mesmo que ela tenha vários anos. Nem todos concordam com esse ponto de vista, mas a lógica por trás disso é clara: os usuários não estão dispostos a lembrar de uma nova senha (que, idealmente, é longa e complexa o suficiente) a cada poucos meses, e é por isso que eles colocam apenas um "1" ou um "2" no final da antiga. Se os empregadores e os fornecedores decidirem atender a esse conselho em particular, eles tornarão o gerenciamento de senhas apenas um pouquinho menos trabalhoso. E isso nos leva a uma conclusão muito importante.

Mesmo com as novas diretrizes do NIST, os usuários ainda terão dificuldades

As novas regras tornam mais fácil a tediosa tarefa de gerenciar com segurança as senhas. Eles não facilitam, no entanto, e isso é algo crucial.

O conselho sobre a criação de senhas longas em vez de senhas mais curtas, embora mais complexas, tem suas raízes em um famoso desenhista de HQ da web, conhecido por XKCD. Você não pode argumentar sobre o fato de que isso faz muito sentido: a matemática diz que "correcthorsebatterystaple" tem entropia mais alta do que "Tr0ub4dor&3", e não há dúvida de que é mais fácil de lembrar. A questão é que, hoje em dia, você tem dezenas, senão centenas de contas online, e se deseja evitar a reutilização das senhas, e faz isso, você precisa se lembrar de dezenas, senão centenas de quatro combinações de palavras-chave aleatórias. Para a maioria das pessoas, essa é uma tarefa difícil.

Na verdade, é justo dizer que, sem ajuda adicional, gerenciar um grande número de palavras-passe é mais ou menos tão difícil quanto gerenciar um grande número de senhas. A única solução razoável, então, é um gerenciador de senhas.

O nosso Gerenciador de Senhas do Cyclonis pode ser exatamente o que você precisa. Ele armazena e criptografa as suas credenciais de login, bem como outras informações confidenciais em um cofre central, e permite usá-lo a qualquer momento com a ajuda de apenas uma senha mestra. Com o gerador de senhas integrado, você poderá criar senhas longas e complexas em segundos. O Gerenciador de Senhas do Cyclonis permite que você use senhas fortes e exclusivas para todas as suas contas, mas, crucialmente, ajuda você a fazer isso sem causar qualquer inconveniência. Para saber mais sobre como isso funciona, clique aqui.

June 24, 2019
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.