Isso faz sentido: O que é mais agravante do que ter que alterar sua senha periodicamente? Eu trabalhava para uma empresa que exigia isso a cada três meses, e eles tinham todas essas outras regras sobre o que a senha poderia ou não conter. Os reguladores padrão declaram agora que a maioria das regras de credenciais são obsoletas e desnecessárias.
O Instituto Nacional de Padrões e Tecnologia (NIST) propôs novos padrões de credenciais que deseja adotar. A segunda versão da Publicação Especial 800-63-4 está publicada no site do NIST, aguardando feedback do público sobre a senha sugerida e as diretrizes de autenticação.
O esboço dos padrões não faz sentido, mas vai contra o irritante regime de senhas que muitas empresas e agências empregam. Alguns exemplos incluem a obrigatoriedade de redefinições de senha, a limitação do uso de caracteres, a exigência de certas combinações de caracteres e o uso de perguntas de segurança. Esses requisitos são em grande parte desnecessários. São relíquias desatualizadas, provenientes de uma época em que a Internet ainda era nova e a maioria das pessoas não entendia a higiene de segurança adequada.
Incentive seus entes queridos a alterar as senhas com frequência, tornando-as longas, fortes e únicas. Mais dicas: https://t.co/VhTCLCdf9j. #ChatSTC
–FTC (@FTC) 27 de janeiro de 2016
Como a Microsoft indicou em sua Linha de Base de Segurança de 2019, muitas dessas regras na verdade promovem ruim higiene de segurança. Por exemplo, exigir que os funcionários alterem suas senhas frequentemente os incentiva a usar senhas mais fracas, mais fáceis de lembrar ou criar e, portanto, mais fáceis de decifrar. A FTC concorda.
O mesmo se aplica a regras que exigem caracteres específicos, como “as senhas devem conter pelo menos oito caracteres com no mínimo uma letra maiúscula e uma letra minúscula, um símbolo especial (como pontuação) e pelo menos um numeral”. Essas restrições rígidas tendem a levar as pessoas a usar senhas como BigToe@1 (um ex-colega de trabalho realmente usou essa).
Embora qualquer pessoa seja livre para ler e comentar o SP 800-63-4, é uma leitura longa e desafiadora, graças a toda a linguagem burocrática e às longas explicações. É tão carregado que a organização sentiu que era necessário dedicar uma seção para definir o significado das palavras “deve, não deve”, “deveria”, “não deveria” e outros termos simples. O documento se resume basicamente a nove requisitos e sugestões.
Verificadores de senha ou provedores de serviços de verificação:
- Deve exigir que as senhas tenham no mínimo oito caracteres, mas devem exigir no mínimo 15 caracteres.
- Deve permitir um comprimento máximo de senha de pelo menos 64 caracteres.
- Deve aceitar todos os caracteres ASCII de impressão e caracteres de espaço nas senhas.
- Deve aceitar caracteres Unicode nas senhas. Cada ponto de código Unicode deve ser contado como um único caractere ao avaliar o comprimento da senha.
- Não imporá outras regras de composição (por exemplo, exigindo misturas de diferentes tipos de caracteres) para senhas.
- Não exigirá que os usuários alterem as senhas periodicamente. No entanto, os verificadores deverão forçar uma alteração se houver evidência de comprometimento do autenticador.
- Não permitirá que o assinante armazene uma dica que seja acessível a um reclamante não autenticado.
- Não solicitará aos assinantes que usem autenticação baseada em conhecimento (KBA) (por exemplo, “Qual era o nome do seu primeiro animal de estimação?”) ou perguntas de segurança ao escolher senhas.
- Deverá verificar toda a senha enviada (ou seja, não truncá-la).
A regra oito é bastante sensata, considerando a loucura da suposição de que os hackers não poderiam saber ou descobrir o mascote do ensino médio ou o nome de solteira de um alvo. No entanto, o número sete parece um Catch-22. Você só poderá ver sua dica de senha se estiver autenticado, mas não poderá ser autenticado se não conseguir lembrar sua senha sem a dica. Fora isso, as orientações parecem bom senso, o que considero faltar em geral nos dias de hoje.
O NIST rege os padrões dentro do governo e não tem autoridade de aplicação sobre empresas privadas. Por exemplo, garante que todos os hidrantes utilizem acessórios padronizados e forneçam a mesma quantidade de água, não importa onde você vá, bem como padrões de manutenção.
Geralmente, apenas agências governamentais e empresas ou organizações que lidam diretamente com o governo estão sujeitas a essas regras. Por exemplo, o IRS deve adotar as diretrizes do NIST, mas o Meta pode ignorá-las. Dito isto, muitos padrões do NIST chegam a organizações privadas nos setores aos quais as regras se aplicam. A Estrutura de Segurança Cibernética do NIST é um bom exemplo.