Os usuários devem ser forçados a redefinir suas senhas regularmente?

Um dos conselhos comuns sobre segurança de contas é que os usuários devem alterar suas senhas regularmente. O raciocínio por trás dessa abordagem é minimizar o tempo de validade de qualquer senha, caso ela seja comprometida. Toda essa estratégia é baseada em conselhos históricos dos principais grupos de segurança cibernética, como o American NIST ou National Institute of Standards and Technology.

Por décadas, governos e empresas seguiram esse conselho e forçaram seus usuários a redefinir as senhas regularmente, normalmente a cada 90 dias. Com o tempo, no entanto, a pesquisa mostrou que essa abordagem não estava funcionando conforme o esperado e em 2017, o NIST, juntamente com o NCSC do Reino Unido , ou National Cyber ​​Security Center, mudou seu conselho para exigir alterações de senha apenas quando houver suspeita razoável de comprometimento.

Por que o conselho foi mudado?

O conselho para alterar regularmente as senhas foi implementado originalmente para ajudar a aumentar a segurança. De uma perspectiva puramente lógica, o conselho para atualizar as senhas regularmente faz sentido. A experiência no mundo real é um pouco diferente. A pesquisa mostrou que forçar os usuários a alterar regularmente suas senhas os tornou significativamente mais propensos a começar a usar uma senha semelhante que eles poderiam simplesmente incrementar. Por exemplo, em vez de escolher senhas como “9L = Xk & 2>”, os usuários usariam senhas como “Spring2019!”.

Acontece que, quando forçadas a inventar e lembrar várias senhas e, em seguida, alterá-las regularmente, as pessoas usam consistentemente senhas fáceis de lembrar que são mais inseguras. O problema com senhas incrementais como “Spring2019!” é que eles são facilmente adivinhados e facilitam a previsão de mudanças futuras também. Combinado, isso significa que forçar redefinições de senha força os usuários a escolherem senhas mais fáceis de lembrar e, portanto, mais fracas, o que normalmente prejudica ativamente o benefício pretendido de redução de riscos futuros.

Por exemplo, na pior das hipóteses, um hacker pode comprometer a senha “Spring2019!” poucos meses após sua validade. Nesse ponto, eles podem tentar variantes com “Outono” em vez de “Primavera” e provavelmente obterão acesso. Se a empresa detectar essa violação de segurança e, em seguida, forçar os usuários a alterar suas senhas, é bastante provável que o usuário afetado apenas altere sua senha para “Winter2019!” e acho que eles estão seguros. O hacker, conhecendo o padrão, pode muito bem tentar fazer isso se conseguir obter acesso novamente. Dependendo de quanto tempo um usuário permanece com esse padrão, um invasor pode usar isso para acesso por vários anos, enquanto o usuário se sente seguro porque está alterando sua senha regularmente.

Qual é o novo conselho?

Para ajudar a incentivar os usuários a evitar senhas estereotipadas, o conselho agora é apenas redefinir as senhas quando houver uma suspeita razoável de que elas foram comprometidas. Por não forçar os usuários a lembrar regularmente de uma nova senha, é mais provável que eles escolham uma senha forte em primeiro lugar.

Combinado com isso, há uma série de outras recomendações destinadas a encorajar a criação de senhas mais fortes. Isso inclui garantir que todas as senhas tenham pelo menos oito caracteres no mínimo absoluto e que a contagem máxima de caracteres seja de pelo menos 64 caracteres. Também recomendou que as empresas comecem a se afastar das regras de complexidade para o uso de listas de bloqueio usando dicionários de senhas fracas, como “ChangeMe!” e “Password1” que atendem a muitos requisitos de complexidade.

A comunidade de segurança cibernética concorda quase que unanimemente que as senhas não devem expirar automaticamente.

Nota: Infelizmente, em alguns cenários, ainda pode ser necessário fazê-lo, pois alguns governos ainda não mudaram as leis que exigem a expiração de senha para sistemas confidenciais ou classificados.