![](\"https:\/\/sophos.files.wordpress.com\/2017\/10\/outlook.png\"\/)
<\/p>\nN\u00e3o \u00e9 um segredo. N\u00f3s realmente escolhemos mal nossas senhas. Mesmo sabendo disso, este cen\u00e1rio n\u00e3o ir\u00e1 mudar. Com tantos websites e aplicativos pedindo a cria\u00e7\u00e3o de uma conta, pensar em senhas com pressa nos obriga a ignorar os conselhos dos especialistas em seguran\u00e7a da informa\u00e7\u00e3o.<\/p>\n
Sim, comecei com m\u00e1s not\u00edcias, mas sempre h\u00e1 luz no fim do t\u00fanel. N\u00e3o \u00e9 necess\u00e1rio ser t\u00e3o dif\u00edcil quando normalmente nos \u00e9 pedido senhas alfanum\u00e9ricas, incluindo mai\u00fasculas e min\u00fasculas, caracteres especiais etc, e o governo dos Estados Unidos est\u00e1 disposto a ajudar. Isso mesmo. O United States National Institute for Standards and Technology (NIST) est\u00e1 formulando novas regras para pol\u00edticas de senhas que ser\u00e3o usadas em todos os setores p\u00fablicos do pa\u00eds.<\/p>\n
E por que isso seria importante para os usu\u00e1rios brasileiros? Porque as pol\u00edticas s\u00e3o crit\u00e9rios p\u00fablicos e \u00e9 sempre bom ter \u00f3timos exemplos para usarmos em nossas organiza\u00e7\u00f5es e programas de desenvolvimento de aplica\u00e7\u00f5es.\u00a0 Na pr\u00e1tica, quais s\u00e3o as principais diferen\u00e7as entre as informa\u00e7\u00f5es atuais sobre “senhas seguras” e o que o NIST est\u00e1 recomendando?<\/p>\n
Come\u00e7aremos com as coisas que voc\u00ea deve fazer:<\/p>\n
- \n
- Favorecer o usu\u00e1rio. Para come\u00e7ar, torne suas pol\u00edticas de senha amig\u00e1veis \u200b\u200bao usu\u00e1rio e coloque a carga sobre o verificador quando poss\u00edvel. Em outras palavras, precisamos parar de pedir aos usu\u00e1rios que fa\u00e7am coisas que na verdade n\u00e3o est\u00e3o melhorando a seguran\u00e7a.<\/li>\n
- Tamanho importa. Pelo menos quando se tratam de senhas. As novas diretrizes do NIST dizem que voc\u00ea precisa de um m\u00ednimo de 8 caracteres. (Isso n\u00e3o \u00e9 um m\u00ednimo m\u00e1ximo – voc\u00ea pode aumentar o comprimento m\u00ednimo da senha para contas mais sens\u00edveis).<\/li>\n<\/ul>\n
Melhor ainda, o NIST diz que voc\u00ea deve permitir um comprimento m\u00e1ximo de pelo menos 64, ent\u00e3o chega de “Desculpe, sua senha n\u00e3o pode ter mais de 16 caracteres”. Al\u00e9m disso, os aplicativos devem permitir todos os caracteres de um c\u00f3digo padr\u00e3o imprim\u00edveis, incluindo espa\u00e7os, caracteres Unicode, incluindo at\u00e9 Emoji!<\/p>\n
Este \u00e9 um \u00f3timo conselho e considerando que as senhas devem ser compridas quando armazenadas, n\u00e3o deve haver restri\u00e7\u00f5es desnecess\u00e1rias ao seu tamanho. Muitas vezes, recomendamos que as pessoas usem frases de acesso, ent\u00e3o eles devem ter permiss\u00e3o para usar todos os caracteres de pontua\u00e7\u00e3o e qualquer idioma para melhorar a usabilidade e aumentar a variedade.<\/p>\n
N\u00e3o fa\u00e7a isso<\/strong><\/p>\n
N\u00e3o h\u00e1 regras de composi\u00e7\u00e3o. O que isso significa \u00e9 que n\u00e3o h\u00e1 mais regras que obriguem o usu\u00e1rio a escolher caracteres ou combina\u00e7\u00f5es particulares, como aquelas que dizem: “Sua senha deve conter uma min\u00fascula, uma mai\u00fascula, n\u00famero e s\u00edmbolos”. Deixe as pessoas escolherem livremente e incentive frases mais longas em vez de senhas dif\u00edceis de lembrar ou de complexidade ilus\u00f3ria, como pA55w + rd.<\/p>\n
- \n
- Sem dicas de senha. Nenhuma. Se eu quisesse que as pessoas tivessem mais chances de adivinhar minhas senhas, as deixaria em um post-it no monitor.<\/li>\n
- A autentica\u00e7\u00e3o baseada em conhecimento (KBA) est\u00e1 fora. KBA \u00e9 quando um site diz: “Escolha de uma lista de perguntas – Onde voc\u00ea frequentou o Ensino M\u00e9dio? – e nos fala a resposta, para que possamos verificar se \u00e9 voc\u00ea.<\/li>\n
- N\u00e3o h\u00e1 mais validade sem motivo. Este \u00e9 o meu conselho favorito: se queremos que os usu\u00e1rios cumpram e escolham senhas longas e dif\u00edceis de adivinhar, n\u00e3o devemos faz\u00ea-las alterar essas senhas desnecessariamente.<\/li>\n
- O \u00fanico momento em que as senhas devem ser redefinidas \u00e9 quando elas s\u00e3o esquecidas ou se voc\u00ea achar (ou souber) que seu banco de dados foi roubado e, portanto, pode ser submetido a um ataque.<\/li>\n<\/ul>\n
O NIST tamb\u00e9m fornece alguns outros conselhos muito valiosos. Todas as senhas devem ser compridas e criativas, como explico nesse artigo. Como armazenar a senha de seus usu\u00e1rios com seguran\u00e7a. Os \u201centusiastas de senhas\u201d provavelmente est\u00e3o se perguntando: E quanto ao bcrypt e ao scripts? Recomendamos o PBKDF2 aqui porque \u00e9 baseado em primitivas de hashing que satisfazem padr\u00f5es globais. NIST seguiu o mesmo racioc\u00ednio.<\/p>\n
Al\u00e9m disso – esta \u00e9 uma grande mudan\u00e7a: o SMS n\u00e3o deve mais ser usado na autentica\u00e7\u00e3o de dois fatores (2FA). H\u00e1 muitos problemas com a seguran\u00e7a da entrega de SMS, incluindo o malware que pode redirecionar mensagens de texto; ataques contra a rede celular (como o chamado Jack SS7); e portabilidade do celular. Em muitos pa\u00edses, infelizmente, \u00e9 muito f\u00e1cil para os criminosos convencer a loja de telefonia celular a transferir o n\u00famero de algu\u00e9m para um novo cart\u00e3o SIM e, portanto, sequestrar todas as suas mensagens de texto.<\/p>\n
O que \u00e9 a tend\u00eancia?<\/strong><\/p>\n
Esta \u00e9 apenas a ponta do iceberg, mas certamente alguns dos bits mais importantes. As pol\u00edticas de senha precisam evoluir \u00e0 medida que aprendemos mais sobre como as pessoas usam e abusam delas.<\/p>\n
Infelizmente, h\u00e1 brechas suficientes para vermos os impactos de certos tipos de pol\u00edticas, como a evid\u00eancia mostrada acima do hacker do Adobe em 2013 sobre o perigo de dicas de senha.<\/p>\n
O objetivo do NIST \u00e9 conseguir que nos protejamos de forma confi\u00e1vel sem uma complexidade desnecess\u00e1ria, porque a complexidade funciona contra a seguran\u00e7a. Qual \u00e9 a sua opini\u00e3o sobre essas mudan\u00e7as? Voc\u00ea ir\u00e1 implementar na sua empresa?<\/p>\n