Os usuários devem ser forçados a redefinir suas senhas regularmente?

Um dos conselhos de segurança de conta comuns é que os usuários devem alterar suas senhas regularmente. O raciocínio por trás dessa abordagem é minimizar o tempo de validade de qualquer senha, caso ela seja comprometida. Toda essa estratégia é baseada em conselhos históricos dos principais grupos de segurança cibernética, como o American NIST ou National Institute of Standards and Technology.

Por décadas, governos e empresas seguiram esse conselho e forçaram seus usuários a redefinir as senhas regularmente, normalmente a cada 90 dias. Com o tempo, no entanto, a pesquisa mostrou que essa abordagem não estava funcionando como o esperado e em 2017 NIST junto com o do Reino Unido NCSC, ou National Cyber ​​Security Center, mudou seu conselho para exigir alterações de senha apenas quando houver suspeita razoável de comprometimento.

Por que o conselho foi mudado?

O conselho para alterar regularmente as senhas foi implementado originalmente para ajudar a aumentar a segurança. De uma perspectiva puramente lógica, o conselho para atualizar as senhas regularmente faz sentido. A experiência no mundo real é um pouco diferente. A pesquisa mostrou que forçar os usuários a alterar regularmente suas senhas os tornou significativamente mais propensos a começar a usar uma senha semelhante que eles poderiam simplesmente incrementar. Por exemplo, em vez de escolher senhas como “9L = Xk & 2>”, os usuários usariam senhas como “Spring2019!”.

Acontece que, quando forçadas a inventar e lembrar várias senhas e, em seguida, alterá-las regularmente, as pessoas usam consistentemente senhas fáceis de lembrar que são mais inseguras. O problema com senhas incrementais como “Spring2019!” é que eles são facilmente adivinhados e facilitam a previsão de mudanças futuras. Combinado, isso significa que forçar redefinições de senha leva os usuários a escolherem mais fácil de lembrar e portanto, senhas mais fracas, que normalmente prejudicam ativamente o benefício pretendido de reduzir o futuro risco.

Por exemplo, na pior das hipóteses, um hacker pode comprometer a senha “Spring2019!” poucos meses após sua validade. Nesse ponto, eles podem tentar variantes com “Outono” em vez de “Primavera” e provavelmente obterão acesso. Se a empresa detectar essa violação de segurança e, em seguida, forçar os usuários a alterar suas senhas, é justo provável que o usuário afetado apenas altere sua senha para “Winter2019!” e acho que eles são seguro. O hacker, conhecendo o padrão, pode tentar fazer isso se conseguir obter acesso novamente. Dependendo de quanto tempo um usuário permanece com esse padrão, um invasor pode usar isso para acesso por vários anos, enquanto o usuário se sente seguro porque muda regularmente sua senha.

Qual é o novo conselho?

Para ajudar a incentivar os usuários a evitar senhas estereotipadas, o conselho agora é apenas redefinir as senhas quando houver uma suspeita razoável de que elas foram comprometidas. Por não forçar os usuários a lembrar regularmente de uma nova senha, é mais provável que eles escolham uma senha forte em primeiro lugar.

Combinado com isso, há uma série de outras recomendações destinadas a encorajar a criação de senhas mais fortes. Isso inclui garantir que todas as senhas tenham pelo menos oito caracteres no mínimo absoluto e que a contagem máxima de caracteres seja de pelo menos 64 caracteres. Também recomendou que as empresas comecem a se afastar das regras de complexidade para o uso de listas de bloqueio usando dicionários de senhas fracas, como “ChangeMe!” e “Password1” que atendem a muitas complexidades requisitos.

A comunidade de segurança cibernética concorda quase que unanimemente que as senhas não devem expirar automaticamente.

Nota: Infelizmente, em alguns cenários, ainda pode ser necessário fazer isso, pois alguns governos ainda não mudaram as leis que exigem a expiração de senha para sistemas confidenciais ou classificados.