Desde que me conheço por gente, somos “obrigados” a alterar nossas senhas periodicamente. Essa é uma das práticas recomendadas em TI mais antigas que existem, pelo menos desde quando as empresas começaram a olhar com bons olhos a segurança (mesmo que ainda anos luz atrasadas… rsrs).

Senhas: Ainda é uma boa ideia alterá-las periodicamente?
Fonte da imagem: How to Use Password Length to Set Best Password Expiration Policy – Hacker Observer

No entanto, parece que esse cenário começou a mudar. A Microsoft agora não mais recomenda que as empresas exijam que seus usuários alterem as senhas regularmente. Talvez, pela primeira vez, as empresas estão considerando se é uma boa ideia aplicar políticas de mudanças periódicas de senha.

As recomendações de redefinição de senha da Microsoft

De acordo com a Microsoft, exigir que os usuários alterem suas senhas com frequência mais atrapalha do que ajuda.

Sabemos que as pessoas são resistentes a mudanças. Quando “forçamos” um usuário (digo forçando, pq ele não tem alternativa) a alterar a sua senha, ele normalmente acrescenta um número no final da nova senha, e em seguida, incrementa esse número cada vez que uma nova alteração for solicitada.

Da mesma forma, se forem necessárias alterações mensais de senha, um usuário poderá adicionar o nome de um mês na senha, e em seguida, alterar o mês toda vez que uma alteração for necessária (como por exemplo Minh@S3nhaDeMa1o).

Os problemas de alterar (e de não alterar)

Estudos provaram que muitas vezes é possível adivinhar a senha atual de um usuário se você souber a senha anterior. Em um desses estudos, os pesquisadores descobriram que foram capazes de adivinhar 41% das senhas atuais em três segundos se soubessem a senha anterior do usuário.

Embora as alterações de senhas possam criar problemas, não exigir também causará problemas. Com base no cenário atual, uma empresa leva em média, 207 dias para identificar uma invasão (Ponemon Institute, 2020). Com isso em mente, considere quanto tempo pode levar para identificar que uma invasão está ocorrendo se os usuários não precisarem alterar suas senhas.

Um cibercriminoso que obteve acesso a um sistema por meio de uma senha roubada poderá evitar a detecção do ataque.

Alternativas

Em vez de simplesmente abandonar a prática de exigir alterações periódicas de senha, é melhor resolver os problemas que tendem a comprometer a segurança da informação de uma empresa.

O maior problema relacionado às alterações de senhas é que as expirações frequentes levam os usuários a escolherem senhas fracas ou as que estão de alguma forma relacionadas com a anterior. Uma maneira de evitar esse problema é “recompensar” os usuários por escolherem senhas fortes. Você já já vai entender esse ponto.

Algumas ferramentas de gerenciamento de senhas são capazes de relacionar a frequência de redefinição de senha de um usuário com o comprimento e a complexidade de sua senha. Basicamente, os usuários que escolherem senhas fortes não teriam que alterá-las com a mesma frequência de um usuário que escolhe uma senha mais fraca.

Além disso, recomenda-se que as empresas utilizem uma solução de gerenciamento de senhas que lhes dê a capacidade de impedir que usuários usem senhas conhecidas/comprometidas. Senhas comprometidas normalmente já fizeram parte de algum hacking ocorrido no passado, o que facilita o trabalho dos cibercriminosos para quebrar a senha, independente de sua complexidade.

Fonte:

https://thehackernews.com/2021/05/is-it-still-good-idea-to-require-users.html

Fonte da imagem usada na capa do post:

https://morioh.com/p/28dbd511c83d

What's your reaction?

Excited
1
Happy
0
In Love
1
Not Sure
0
Silly
0
O Analista
Adoro letras verdes sob um fundo preto...

You may also like

More in:Security