0
0
Por décadas, os profissionais de segurança cibernética mantiveram a ideia de que as senhas precisavam ser alteradas regularmente. Nos últimos anos, no entanto, organizações como NIST e Microsoft abandonaram essa prática recomendada de longa data e agora recomendam a expiração obrigatória de senha.
O caso contra a expiração da senha
A Microsoft lista duas razões principais pelas quais as expirações de senha programadas devem ser evitadas .
Criminosos de ação rápida não serão dissuadidos por sua política de mudança de 90 dias
Em primeiro lugar, a empresa argumenta que as alterações de senha agendadas fazem pouco para impedir que um invasor obtenha acesso à rede da vítima porque os agentes de ameaças quase sempre fazem uso imediato de senhas comprometidas.
De muitas maneiras, o roubo de senha é como o roubo de cartão de crédito. Quando um criminoso rouba um número de cartão de crédito, ele sabe que tem um tempo muito limitado antes que o cartão seja roubado e desativado. Como tal, eles normalmente usarão um cartão roubado imediatamente. O roubo de senha funciona da mesma maneira, pois os agentes de ameaças estão ansiosos para explorar credenciais roubadas antes que as contas comprometidas sejam desativadas ou as senhas sejam alteradas.
Os usuários finais estão cansados da mudança desnecessária de uma senha perfeitamente boa
A outra razão que a Microsoft cita em sua recomendação contra expirações de senhas programadas é que, quando os usuários são forçados a alterar suas senhas periodicamente, eles estão muito mais inclinados a usar senhas inseguras e previsíveis.
Essa ideia é baseada em um estudo de 2009 da Universidade da Carolina do Norte em Chapel Hill. Como a maioria das redes está configurada para bloquear contas após um pequeno número de tentativas de senha incorretas, os pesquisadores queriam determinar se era possível criar um algoritmo que pudesse adivinhar senhas corretamente em cinco ou menos tentativas, usando uma das senhas anteriores de um usuário como ponto de partida. ponto.
O estudo descobriu que, quando os usuários são forçados a alterar periodicamente suas senhas, eles geralmente recorrem ao uso de transformações em vez de usar uma senha totalmente nova. Essas transformações podem envolver a substituição de um caractere por um símbolo (por exemplo, usar um cifrão em vez da letra S) ou incrementar um número no final da senha.
Ao examinar milhares de históricos de senhas, os pesquisadores conseguiram determinar os tipos de transformações que os usuários mais frequentemente usavam. Eles então usaram essas informações para criar um algoritmo que tem uma alta probabilidade de conseguir adivinhar a senha atual de um usuário com base em uma senha anterior em cinco tentativas ou menos.
Do ponto de vista da Microsoft, é muito melhor para um usuário criar uma senha forte, mas inalterável, do que simplesmente criar uma senha que mal atende aos requisitos mínimos de senha da organização e, em seguida, fazer pequenas alterações nessa senha toda vez que a organização exigir que a senha seja mudado.
E quanto a outras diretrizes de segurança de senha?
Embora o NIST e a Microsoft não recomendem alterações obrigatórias de senhas agendadas, nem todos estão convencidos. A indústria de cartões de pagamento, por exemplo, exige que qualquer organização que aceite pagamentos com cartão de crédito cumpra os padrões PCI DSS.
O PCI DSS 4.0, que entrará em vigor quando o PCI DSS versão 3.2.1 for descontinuado em 2024, ainda requer alterações de senha agendadas. A versão 4.0 dos padrões PCI DSS exige que as organizações usem senhas com pelo menos 12 caracteres (com algumas exceções) e que as senhas sejam alteradas a cada 90 dias.
O melhor de dois mundos
O fato de a Microsoft e o NIST não recomendarem expirações obrigatórias de senha enquanto outros padrões do setor, como o PCI, ainda as exigem, indica claramente que não há uma resposta clara para saber se as alterações forçadas de senha são uma coisa boa. Mas e se houvesse uma opção intermediária?
Resgate da senha baseada em comprimento
A Política de Senha Specops suporta envelhecimento de senha baseado em comprimento , que pode ser o meio ideal que as organizações estão procurando. A ideia básica por trás desse recurso é que uma organização pode fazer com que os usuários que criam senhas fortes sejam recompensados com alterações de senha menos frequentes.
À primeira vista, pode parecer inicialmente que o envelhecimento da senha baseado em comprimento não resolve totalmente o problema. Afinal, mesmo um usuário que cria uma senha super forte ainda precisará alterar essa senha em algum momento e provavelmente recorrerá ao uso de transformações de senha em vez de criar uma senha totalmente nova. No entanto, o envelhecimento de senha baseado em comprimento pode ser usado em conjunto com o recurso de feedback dinâmico do Specops, que resolve coletivamente o problema de transformação de senha.
Acabe com a ambiguidade com feedback dinâmico na mudança de senha
O recurso de feedback dinâmico de senha do Specops orienta o usuário pelo processo de redefinição de senha, mostrando exatamente o que é necessário para atender aos requisitos de senha da organização. Isso dá à organização a oportunidade de criar uma política que impeça o uso de transformações comuns de senha.
Se, por exemplo, a senha original de um usuário for MyP@$$w0rd1, uma política de senha poderá impedir que o usuário altere a senha para algo como MyP@$$w0rd123, MyP@$$w0rd2 ou MyPa$$word1. Como a política impede o usuário de usar padrões de transformação comuns, o usuário é forçado a adotar uma senha completamente nova e segura.
Um exemplo de feedback dinâmico na alteração de senha para um usuário final com a política de senha Specops
Além disso, o recurso de feedback dinâmico guia o usuário por todo esse processo e mostra ao usuário exatamente o que é necessário, ajudando a eliminar a ambiguidade e a frustração do usuário resultante.
O objetivo aqui é combinar uma política de senha forte com um sistema de recompensa do usuário final, mantendo sua senha mais forte por mais tempo e adicionando um impedimento de alteração mínima de senha, tudo sem ônus adicional para a equipe de TI. Afinal, se houver feedback de senha na mudança de senha, você poderá reduzir todas as chamadas de suporte técnico pedindo ajuda.
FONTE: HELPNET SECURITY