O Instituto Nacional de Padrões e Tecnologia (NIST), um laboratório de ciências físicas e uma agência não reguladora do Departamento de Comércio dos Estados Unidos, divulgou recentemente suas diretrizes para segurança de senha. Algumas delas são contrárias ao que acreditamos serem boas políticas de senha. Entenda melhor quais são esses aspectos:
Primeiro, o comprimento da senha. As diretrizes do NIST dizem que as senhas-frase são recomendadas, pois são mais seguras do que senhas complexas. Por exemplo, “ThisIsNotAGoodPasswordExample” seria mais difícil de decifrar do que “B@dex@mp1E”. O NIST agora recomenda que usemos strings mais longas com 15 ou mais caracteres de comprimento, mas não requer complexidades como maiúsculas ou caracteres especiais.
Em seguida, vem a política de expiração de senha. Essa é uma das políticas com as quais os funcionários estão frustrados há muito tempo e agora podem dar um suspiro de alívio. Estudos mostraram que a mudança frequente de senhas não aumenta a segurança de uma organização. O NIST não recomenda mais a expiração de senha e, em vez disso, sugere a alteração de senhas somente quando necessário.
Ele também recomenda que as senhas dos funcionários sejam rastreadas em relação a uma lista de senhas comumente usadas ou comprometidas anteriormente. Isso é para evitar que os funcionários usem senhas vulneráveis que podem ser um gateway para invasores entrarem em sua organização.
Além disso, ele também desencoraja o uso de dicas de senha. Essas dicas facilitam a adivinhação da senha de um usuário. Com a abundância de informações que compartilhamos online, não é difícil encontrar a resposta para uma pergunta como: “Qual é a sua cor favorita?”
Além dessas diretrizes, o NIST recomenda várias outras práticas que são surpreendentemente fáceis de implementar em sua organização.
Quer saber mais sobre como garantir senhas seguras? Confira nosso outro post sobre estratégias de segurança para proteger senhas. Para gerenciar suas políticas de senha e manter seu ambiente seguro, conheça mais sobre as soluções da ManageEngine que podem ajudar.