Ainda é uma boa ideia exigir que os usuários alterem suas senhas periodicamente?

Desde que a TI corporativa existe, os usuários são obrigados a alterar suas senhas periodicamente. Na verdade, a necessidade de alterações programadas de senha pode ser uma das práticas recomendadas de TI mais antigas.

ti corporativa alterar suas senhas periodicamente

Recentemente, no entanto, as coisas começaram a mudar. A Microsoft reverteu o curso sobre as práticas recomendadas que vinham em vigor há décadas e não recomenda mais que as organizações exijam que os usuários alterem as senhas periodicamente. As organizações estão sendo forçadas a considerar, talvez pela primeira vez, se é uma boa ideia exigir ou não mudanças periódicas de senha.

Recomendações de redefinição de senha da Microsoft

De acordo com a Microsoft, exigir que os usuários alterem suas chaves de acesso frequentemente causa mais danos do que benefícios.

Os humanos são notoriamente resistentes a mudanças. Quando um usuário é forçado a alterar sua senha, geralmente surge uma nova palavra chave baseada na senha anterior. Um usuário pode, por exemplo, acrescentar um número ao final de sua senha e, em seguida, incrementar esse número cada vez que uma nova troca for solicitada. Da mesma forma, se forem necessárias alterações mensais, um usuário pode incorporar o nome de um mês na senha e, em seguida, alterar o mês toda vez que uma alteração for necessária (por exemplo, Minh@Senh@deMarç0).

O que é ainda mais preocupante é que estudos provaram que muitas vezes é possível adivinhar a senha atual de um usuário se você souber a senha anterior. Em um desses estudos, os pesquisadores descobriram que eram capazes de adivinhar 41% das senhas atuais do usuário em três segundos se soubessem a senha anterior do usuário.

Embora as alterações forçadas de senha possam causar problemas, não exigir que os usuários alterem suas senhas também pode causar problemas. Do jeito que está hoje, uma organização leva, em média, 207 dias para identificar uma violação (Ponemon Institute, 2020). Com isso em mente, considere quanto tempo pode levar para identificar uma violação se os usuários não precisarem alterar suas senhas.

No caso de não se alterar a senha, um cibercriminoso que obteve acesso a um sistema por meio de uma senha roubada pode permanecer no sistema e evitar a detecção indefinidamente.

Em vez de simplesmente abandonar a prática de exigir alterações periódicas de senha, é melhor resolver os problemas subjacentes que tendem a enfraquecer a segurança de uma organização.

O maior problema relacionado às alterações de senha exigidas é que as expirações frequentes de senha levam os usuários a escolherem senhas fracas ou senhas que estão de alguma forma relacionadas à senha anterior. Uma maneira de evitar esse problema é recompensar os usuários por escolherem senhas fortes.

Algumas ferramentas de gerenciamento de senha de terceiros, por exemplo, Specops Password Policy, são capazes de basear a freqüência de redefinição de senha de um usuário no comprimento e complexidade de sua senha. Conseqüentemente, os usuários que escolherem senhas fortes não terão que alterá-las com a mesma frequência que um usuário que escolhe uma senha mais fraca.

Além disso, as organizações devem procurar uma solução de gerenciamento de senhas que lhes dê a capacidade de impedir que os usuários usem senhas sabidamente comprometidas. Senhas comprometidas são senhas que foram misturadas e adicionadas a tabelas rainbow ou bancos de dados semelhantes, tornando extremamente fácil para um invasor quebrar a senha, independentemente de sua complexidade.

Embora existam fornecedores terceirizados que mantêm listas baseadas na nuvem de senhas que são sabidamente comprometidas, é importante entender que a Lista Global de Senhas Banidas da Microsoft não é uma lista de senhas vazadas e não atende às recomendações de conformidade para uma negação de senha Lista.

Um segundo problema frequentemente atribuído aos requisitos de alteração de senha é que os usuários que são forçados a alterar suas senhas com frequência têm maior probabilidade de esquecê-las. Isso leva a bloqueios de contas e chamadas para o helpdesk. A melhor maneira de evitar esse problema (e diminuir os custos de helpdesk no processo) é adotar uma solução de redefinição de senha de autoatendimento que permita aos usuários redefinir suas próprias senhas de maneira segura.

No futuro, as organizações que desejam exigir alterações de senha podem ter pouca escolha a não ser adotar uma solução de gerenciamento de senha de terceiros. A Microsoft está removendo suas configurações de política de expiração de senha do Windows, a partir da versão 1903.

Apesar das recomendações em contrário, há vantagens de segurança em exigir que os usuários alterem suas senhas periodicamente. A chave, no entanto, é implementar esse requisito de uma maneira que não enfraqueça inadvertidamente a segurança de uma organização. Com a solução de senha da Specops Software, as organizações podem bloquear mais de 2 bilhões de senhas violadas. A solução pode ajudar as organizações a proteger as senhas quando expirações frequentes de senha são impostas.

Posts relacionados: Criando um ambiente cibernético seguro em casa / Dicas de segurança para proteção de dispositivos móveis e Ataques de phishing: defendendo a sua organização

Informações obtidas/adaptadas de Is it still a good idea to require users to change their passwords?