Não é um segredo. Nós realmente escolhemos mal nossas senhas. Mesmo sabendo disso, este cenário não irá mudar. Com tantos websites e aplicativos pedindo a criação de uma conta, pensar em senhas com pressa nos obriga a ignorar os conselhos dos especialistas em segurança da informação.
Sim, comecei com más notícias, mas sempre há luz no fim do túnel. Não é necessário ser tão difícil quando normalmente nos é pedido senhas alfanuméricas, incluindo maiúsculas e minúsculas, caracteres especiais, etc, e o governo dos Estados Unidos está disposto a ajudar. Isso mesmo. O United States National Institute for Standards and Technology (NIST) está formulando novas regras para políticas de senhas que serão usadas em todos os setores públicos do país.
E por que isso seria importante para os usuários brasileiros? Porque as políticas são critérios públicos e é sempre bom ter ótimos exemplos para usarmos em nossas organizações e programas de desenvolvimento de aplicações. Na prática, quais são as principais diferenças entre as informações atuais sobre “senhas seguras” e o que o NIST está recomendando?
Começaremos com as coisas que você deve fazer:
- Favorecer o usuário. Para começar, torne suas políticas de senha amigáveis ao usuário e coloque a carga sobre o verificador quando possível. Em outras palavras, precisamos parar de pedir aos usuários que façam coisas que na verdade não estão melhorando a segurança.
- Tamanho importa. Pelo menos quando se tratam de senhas. As novas diretrizes do NIST dizem que você precisa de um mínimo de 8 caracteres. (Isso não é um mínimo máximo – você pode aumentar o comprimento mínimo da senha para contas mais sensíveis).
Melhor ainda, o NIST diz que você deve permitir um comprimento máximo de pelo menos 64, então chega de “Desculpe, sua senha não pode ter mais de 16 caracteres”. Além disso, os aplicativos devem permitir todos os caracteres de um código padrão imprimíveis, incluindo espaços, caracteres Unicode, incluindo até Emoji!
Este é um ótimo conselho e considerando que as senhas devem ser compridas quando armazenadas, não deve haver restrições desnecessárias ao seu tamanho. Muitas vezes, recomendamos que as pessoas usem frases de acesso, então eles devem ter permissão para usar todos os caracteres de pontuação e qualquer idioma para melhorar a usabilidade e aumentar a variedade.
Não faça isso
Não há regras de composição. O que isso significa é que não há mais regras que obriguem o usuário a escolher caracteres ou combinações particulares, como aquelas que dizem: “Sua senha deve conter uma minúscula, uma maiúscula, número e símbolos”. Deixe as pessoas escolherem livremente e incentive frases mais longas em vez de senhas difíceis de lembrar ou de complexidade ilusória, como pA55w + rd.
- Sem dicas de senha. Nenhuma. Se eu quisesse que as pessoas tivessem mais chances de adivinhar minhas senhas, as deixaria em um post-it no monitor.
- A autenticação baseada em conhecimento (KBA) está fora. KBA é quando um site diz: “Escolha de uma lista de perguntas – Onde você frequentou o Ensino Médio? – e nos fala a resposta, para que possamos verificar se é você.
- Não há mais validade sem motivo. Este é o meu conselho favorito: se queremos que os usuários cumpram e escolham senhas longas e difíceis de adivinhar, não devemos fazê-las alterar essas senhas desnecessariamente.
- O único momento em que as senhas devem ser redefinidas é quando elas são esquecidas ou se você achar (ou souber) que seu banco de dados foi roubado e, portanto, pode ser submetido a um ataque.
O NIST também fornece alguns outros conselhos muito valiosos. Todas as senhas devem ser compridas e criativas, como explico neste artigo. Como armazenar a senha de seus usuários com segurança. Os “entusiastas de senhas” provavelmente estão se perguntando: E quanto ao bcrypt e ao scripts? Recomendamos o PBKDF2 aqui porque é baseado em primitivas de hashing que satisfazem padrões globais. NIST seguiu o mesmo raciocínio.
Além disso – esta é uma grande mudança: o SMS não deve mais ser usado na autenticação de dois fatores (2FA). Há muitos problemas com a segurança da entrega de SMS, incluindo o malware que pode redirecionar mensagens de texto; ataques contra a rede celular (como o chamado Jack SS7); e portabilidade do celular. Em muitos países, infelizmente, é muito fácil para os criminosos convencer a loja de telefonia celular a transferir o número de alguém para um novo cartão SIM e, portanto, sequestrar todas as suas mensagens de texto.
O que é a tendência?
Esta é apenas a ponta do iceberg, mas certamente alguns dos bits mais importantes. As políticas de senha precisam evoluir à medida que aprendemos mais sobre como as pessoas usam e abusam delas.
Infelizmente, há brechas suficientes para vermos os impactos de certos tipos de políticas, como a evidência mostrada acima do hacker do Adobe em 2013 sobre o perigo de dicas de senha.
O objetivo do NIST é conseguir que nos protejamos de forma confiável sem uma complexidade desnecessária, porque a complexidade funciona contra a segurança. Qual é a sua opinião sobre essas mudanças? Você irá implementar na sua empresa?
* Marcos Tabajara é gerente geral da Sophos no Brasil