O que é rotação de senha e como fazê-lo corretamente?

Falamos sobre como é difícil criar uma boa política de senha. Parte do problema está no fato de que essa não é uma tarefa de esquecer e esquecer. As empresas devem se adaptar continuamente às mudanças no cenário de ameaças on-line, e suas políticas de senha devem ser modificadas de acordo com as últimas tendências e mudanças. Isso está acontecendo na realidade?

Bem, em 2016, o Instituto Nacional de Padrões e Tecnologia (NIST), uma agência não reguladora que faz parte do governo dos EUA, aconselhou as empresas a não forçar seus funcionários a mudarem suas senhas a cada poucos meses. Esse era exatamente o oposto do que as empresas haviam sido aconselhadas anteriormente, mas o NIST disse que havia muitas evidências de que a alteração obrigatória de senha está afetando adversamente a segurança online das pessoas. Muitos especialistas aplaudiram o conselho do NIST e continuam a apoiá-lo, mas, apesar disso, mesmo agora, quase quatro anos depois, algumas organizações ainda obrigam seus funcionários a alterar regularmente suas senhas.

Alterações frequentes da senha levam à rotação da senha

O principal problema de forçar as pessoas a alterar suas senhas com freqüência é que o estresse que você exerce sobre elas leva a erros que podem ter sérias conseqüências para a segurança online. Todos vocês sabem o quão difícil é criar uma senha forte e só podem imaginar o quão difícil pode ser se você precisar fazer isso regularmente.

Como é um fardo, as pessoas que precisam alterar suas senhas geralmente optam por se poupar do problema e fazer modificações simples nas senhas existentes (por exemplo, trocando "password1" por "password2"). Outra estratégia adotada pelas pessoas é criar uma lista limitada de três ou quatro senhas que elas alternam periodicamente.

Os especialistas em segurança podem listar vários motivos pelos quais a rotação de senha é uma má ideia. O usuário geralmente tenta memorizar as três ou quatro senhas e, como resultado, as credenciais não são muito fortes. Outro problema vem do fato de que, de vez em quando, as senhas se tornam válidas. Em teoria, se um hacker tiver uma das senhas que você rotacionar, ele poderá testá-lo periodicamente na sua conta e, eventualmente, acertará o tempo e entrará com êxito.

O caso geral contra alterações periódicas de senha decorre do fato de que os cibercriminosos não esperam que você mude sua senha antes de tentar comprometer sua conta, mas a natureza repetitiva com a qual as credenciais são trocadas em um cenário de rotação de senha faz com que as pessoas escolham esta estratégia especialmente vulnerável. Infelizmente, como já mencionamos, algumas vezes as outras opções são limitadas.

O que você pode fazer se a rotação da senha for a única opção?

Algumas organizações ainda impõem mudanças regulares de senha, o que significa que a rotação da senha está muito ativa e ativa. Pior ainda, existem empresas que não permitem o uso de um gerenciador de senhas, o que pode eliminar a necessidade de alternar completamente as senhas.

Se você tiver pouca outra opção além de girar uma lista de senhas, tente pelo menos atenuar os riscos o máximo possível. Use uma grande variedade de caracteres e torne as senhas o mais aleatórias possível. Ao criar um número maior de senhas, você limita ainda mais as chances de um comprometimento bem-sucedido, mas deve garantir que elas sejam substancialmente diferentes umas das outras. Por último, mas não menos importante, entre em contato com a pessoa encarregada de criar a política de senha em sua empresa e diga-lhes que as idéias de uma estrutura segura estão terrivelmente desatualizadas.