O que é mais irritante do que alterar sua senha regularmente? Por exemplo, se você trabalha para uma empresa americana, a empresa exige que você altere sua senha a cada três meses. Além disso, eles também regulam o que sua senha pode ou não conter. O regulador das normas declarou agora que a maioria das regras dos vouchers estão desatualizadas e desnecessárias.

O Instituto Nacional de Padrões e Tecnologia (NIST) propôs um novo padrão de credencial que espera adotar. Um segundo rascunho da Publicação Especial 800-63-4 foi publicado no site do NIST, aguardando feedback do público sobre a senha proposta e orientação de autenticação.

O esboço padrão é conciso e direto ao ponto, mas vai contra os irritantes regimes de criptografia adotados por muitas empresas e instituições. Alguns exemplos incluem forçar redefinições de senha, limitar o uso de caracteres, exigir combinações específicas de caracteres e usar perguntas de segurança. Esses requisitos são em grande parte desnecessários. Eles são uma relíquia desatualizada de uma época em que a Internet era nova e a maioria das pessoas não entendia a higiene adequada.

Como a Microsoft aponta em sua Linha de Base de Segurança de 2019, muitas dessas regras, na verdade, promovem maus hábitos de segurança. Por exemplo, exigir que os funcionários alterem suas senhas frequentemente os incentiva a usar senhas mais fracas, mais fáceis de lembrar ou criar e, portanto, mais fáceis de decifrar. A Comissão Federal de Comércio dos EUA concorda.

O mesmo vale para regras que exigem caracteres específicos, como “As senhas devem conter pelo menos oito caracteres, incluindo pelo menos uma letra maiúscula e minúscula, um símbolo especial (como pontuação) e pelo menos um número”. Essas restrições estritas geralmente levam as pessoas a usar senhas como BigToe@1 (um ex-colega realmente usou essa senha).

Embora qualquer pessoa seja livre para ler e comentar o SP800-63-4, é uma leitura desafiadora devido a todo o jargão burocrático e longas explicações. A organização considera necessário ter uma seção que defina o significado de “deve, não deve”, “deve”, “não deve” e outros termos simples. O documento resume-se essencialmente a nove requisitos e recomendações.

Validador de senha ou provedor de serviços de verificação:

  • As senhas devem ter pelo menos 8 caracteres, mas devem ter pelo menos 15 caracteres.

  • Deve ser permitido um comprimento máximo de senha de pelo menos 64 caracteres.

  • Todos os caracteres ASCII e caracteres de espaço devem ser permitidos nas senhas.

  • Caracteres Unicode em senhas devem ser aceitos. Ao avaliar o comprimento da senha, cada ponto de código Unicode deve ser contado como um caractere.

  • Nenhuma outra regra de composição pode ser imposta às senhas (como exigir uma mistura de diferentes tipos de caracteres).

  • Os usuários não devem ser obrigados a alterar suas senhas regularmente. Porém, se houver evidências de que o validador foi comprometido, o verificador deverá forçar uma alteração de senha.

  • Os usuários não devem ter permissão para armazenar dicas que sejam acessíveis a candidatos não certificados.

  • Os usuários não devem ser solicitados a usar a autenticação baseada em conhecimento (KBA) (como "Qual era o nome do seu primeiro animal de estimação?") ou perguntas de segurança ao selecionar uma senha.

  • Toda a senha enviada deve ser verificada (ou seja, a senha não está truncada).

    • A regra oito faz todo o sentido, considerando a suposição absurda de que não há como um hacker saber ou descobrir o mascote da escola ou o nome de solteira do alvo. No entanto, a regra sete parece ser uma “autocontradição”. Você só verá a solicitação de senha se estiver autenticado, mas se não conseguir lembrar sua senha sem a solicitação de senha, não será possível autenticar. Caso contrário, estas orientações parecem ser de bom senso, o que considero que geralmente falta.

    O NIST gerencia padrões dentro do governo e não tem autoridade de fiscalização sobre empresas privadas. Por exemplo, garante que todos os hidrantes utilizem acessórios padronizados e forneçam a mesma quantidade de água, independentemente de onde vão, ao mesmo tempo que garante padrões de manutenção.

    De modo geral, apenas agências governamentais e empresas ou organizações que lidam diretamente com o governo podem cumprir estas regras. Por exemplo, o IRS deve adotar as diretrizes do NIST, mas o Meta pode ignorá-las. Ainda assim, muitos padrões do NIST chegam a organizações privadas em setores onde as regras se aplicam. A Estrutura de Segurança Cibernética do NIST é um bom exemplo.