NIST é contra redefinições periódicas de senhas
Por Rafael Campos*
O Instituto Nacional de Padrões e Tecnologia americano (NIST em inglês) recomenda mudanças na política de trocas de senhas periódicas em sistemas e ambientes.
Embora a utilização de senhas seja algo antigo, existem hoje inúmeras formas de realizar a autenticação, seja com biometria e OTP (senhas de uso único), ou com modelos que substituem a forma tradicional de senhas.
Para algumas empresas, todas essas novas formas de autenticação são inalcançáveis. É por isso, a manutenção de senhas deve evitar o vazamento e quebra, sejam elas pela força bruta ou senhas fracas.
O NIST, ao analisar o cenário em que vivemos hoje, observa uma crise de comprometimento de credenciais, como informa a equipe de segurança da Microsoft: “Basta uma credencial comprometida … para causar uma violação de dados.”
Reutilizar senhas pode ter impactos significativos e duradouros na reputação das empresas.
Os pesquisadores da Virginia Tech University descobriram que mais de 70% dos usuários utilizaram uma senha comprometida em conjunto com outras contas. No estudo, perceberam que até um ano após o vazamento inicial, 40% dos usuários reutilizam senhas que vazaram há mais de três anos.
Embora o desafio de credenciais comprometidas não seja exatamente novo para a maioria, a equipe de segurança de informação pode se surpreender ao saber que suas tentativas de resolver os problemas geralmente criam mais vulnerabilidades de segurança dentro dos ambientes.
A seguir, listamos alguns dos exemplos de abordagens de políticas de senhas padrões que podem enfraquecer a segurança de senha.
• Complexidade da senha obrigatória;
• Redefinições periódicas de senha;
• Limitações no comprimento da senha e uso de caracteres; e
• Requisitos de caráter especial.
Toda essa complexidade estimula o uso de senhas mais fracas, por exemplo: uma senha “MinhaSenha@123”, que é uma senha fácil de ser quebrada apenas utilizando técnicas de whitelist (ataques de dicionários), com senhas vazadas em ataques passados e disponibilizadas na dark web.
Ao observar mais casos de vazamento de senhas, o NIST encoraja práticas de segurança mais modernas nas empresas. No centro das recomendações é destacado o fator humano como causa da vulnerabilidade de segurança, quando os usuários são forçados a criarem senhas complexas no momento da redefinição, ou quando são forçados a redefini-la periodicamente.
Para o NiST, o fim da troca de senha periódica se tornou uma recomendação oficial, pois essa troca acarreta um inúmeras inseguranças. Forçar o usuário a trocar de senha pode levá-lo a escolher uma senha fraca ou uma senha tão forte que possa a vir a esquecer, ou ter que anotar a senha e colar no monitor a sua frente.
Outra abordagem que pode ter um efeito adverso na segurança são as políticas que proíbem o uso de espaços ou vários caracteres especiais nas senhas. Afinal, se você deseja que seus usuários criem uma senha forte e exclusiva que eles possam lembrar facilmente, por que você impor limitações de caracteres?
Esses espaços e alguns tipos de caracteres podem incidir em uma vulnerabilidade de SQLinjection ou Script Injection, mas o tratamento desses caracteres deve resolver esses problemas, pois as senhas não serão armazenadas em texto, mas criptografados com salt e posteriormente transformando em hash.
Na AuditSafe, é recomendado que empresas procurem essa modernização de políticas de senhas e utilizem uma blacklist ou serviços que contenham um grande banco de dados como Enzoic.
“Enzoic, analisa as credenciais em um banco de dados proprietário contendo vários bilhões de senhas expostas em violações de dados e encontradas em dicionários de senhas. Como o banco de dados é atualizado automaticamente várias vezes por dia, as empresas ficam mais tranquilas, pois a segurança de suas senhas está evoluindo para lidar com a inteligência de violação mais recente, sem a necessidade de trabalho adicional do ponto de vista de TI.”
Essas senhas devem ser monitoradas continuamente e caso seja comprometida, as organizações podem forçar uma redefinição de senha no próximo login ou encerrar o acesso completamente até que a equipe de TI investigue o vazamento.
Embora as diretrizes do NIST frequentemente recomendem as melhores práticas em todo o setor de segurança, em última análise, cabe aos líderes de segurança determinar o que funciona melhor para sua empresa e adaptar suas estratégias.
(*) Rafael Campos é especialista em Segurança Cibernética na AuditSafe.
