As senhas são a forma de autenticação mais usada em todo o mundo e servem como a primeira linha de defesa para sistemas, aplicações e dados críticos. Na última década, no entanto, eles atraíram a ira de especialistas em segurança de TI por sua ineficácia para impedir os hackers.

De acordo com o Credential Spill Report de 2018, 2,3 bilhões de credenciais foram roubadas em 2017. Para proteger as senhas de ataques, o Instituto Nacional de Padrões e Tecnologia (NIST) publica diretrizes que cobrem detalhadamente os requisitos de segurança das senhas. Embora destinadas a agências federais, essas diretrizes podem ajudar todos os tipos de organizações a implementar políticas de senha forte sem afetar a experiência do usuário final.

O relatório NIST Special Publication 800-63B, publicado recentemente, define os padrões para autenticação e gerenciamento do ciclo de vida da identidade. A seção 5.1.1 deste relatório abrange as diretrizes relacionadas à segurança de senha e fala sobre o que pode ser feito para garantir a segurança ideal.

Diretrizes de senha do NIST: os prós e contras

O que você deveria fazer:

  • Exigir senhas mais longas (até 64 caracteres); o comprimento da senha deve ser definido em um mínimo de 8 caracteres.

  • Permitir o uso de caracteres ASCII imprimíveis, caracteres Unicode e espaços.

  • Blacklist de palavras comumente usadas, palavras de dicionário e senhas violadas, como password1, qwerty123, etc.

  • Restrinja o uso de caracteres repetitivos ou sequenciais, como aaaa1234, 123456, etc.

  • Ofereça orientação, como um medidor de força de senha, para ajudar os usuários a escolher uma senha forte.

  • Impor bloqueios de conta após um certo número de tentativas de autenticação com falha.

  • Permita o uso da funcionalidade de colar ao inserir senhas.

  • Aplique a autenticação de dois fatores (2FA), que adiciona uma camada adicional de autenticação além das senhas.

O que você não deve fazer:

  • Habilitar requisitos de complexidade de senha, ou seja, exigir que uma senha tenha um certo número de caracteres maiúsculos, minúsculos, caracteres especiais e dígitos.

  • Habilitar a expiração da senha.

  • Usar perguntas de segurança que envolvam informações pessoais do usuário.

  • Usar dicas para ajudar os usuários a lembrar suas senhas.

Algumas dessas diretrizes são muito diferentes das tradicionalmente consideradas práticas recomendadas de segurança de senha. Por exemplo, o NIST recomenda que os requisitos de complexidade de senha, que foram considerados uma das configurações mais importantes para garantir senhas mais fortes, sejam desabilitados.

De acordo com o NIST, quando as regras de complexidade são impostas, os usuários respondem de maneira previsível e escolhem senhas comuns, como password1!, ou as anotam em algum lugar. A expiração da senha, outra configuração considerada uma prática recomendada de segurança, também foi desaconselhada nessas diretrizes. A Microsoft também anunciou recentemente que as configurações de expiração de senha no Windows serão eliminadas no recurso próximo.

Como aplicar as diretrizes do NIST no Active Directory (AD)

Para a maioria das organizações, o AD funciona como o repositório de identidades onde os usuários são autenticados antes de terem permissão para acessar os recursos da rede. Infelizmente, não é possível implementar as diretrizes do NIST usando as configurações de política de senha de domínio no AD, pois faltam muitos dos recursos recomendados pelo NIST. Por exemplo, não há como colocar palavras de dicionário na blacklist ou exibir um medidor de força de senha para ajudar os usuários a escolher uma senha forte.

Como o ADSelfService Plus pode ajudar na conformidade com NIST

ManageEngine ADSelfService Plus é uma solução integrada de gerenciamento de senhas de autoatendimento do Active Directory e de logon único. O recurso Password Policy Enforcer no ADSelfService Plus oferece suporte a configurações avançadas de política de senha, incluindo regra de dicionário, verificador de padrões, uma opção para impor o uso de caracteres Unicode, uma opção para restringir o uso de caracteres repetitivos e muito mais.

Você pode configurar um arquivo contendo uma lista de todas as senhas vazadas no ADSelfService Plus e impedir que os usuários usem essas senhas. A solução também exibe um medidor de força de senha quando os usuários alteram ou redefinem sua senha de domínio usando seu portal de autoatendimento.

Fig 1. Configurações de política de senha disponíveis no ADSelfService Plus

Além disso, você pode criar várias políticas de senha com diferentes níveis de complexidade e aplicá-las granularmente com base nas UOs e grupos no AD. Dessa forma, você pode garantir que os usuários com privilégios mais altos usem senhas fortes, enquanto outros usuários têm uma complexidade de senha relativamente branda para cumprir. O ADSelfService Plus também oferece suporte a 2FA para Windows (logons locais e remotos na área de trabalho) e aplicativos em nuvem por meio de logon único.

O cenário de ameaças cibernéticas está em constante evolução, portanto, mesmo as diretrizes do NIST não podem ser consideradas a solução principal e final. Embora essas diretrizes forneçam um ponto de partida básico, você deve considerar os requisitos de segurança de sua empresa, as leis de conformidade de TI (por exemplo, o PCI DSS tem seu próprio conjunto de diretrizes de senha) e outros fatores antes de elaborar suas políticas de senha.

Mais importante ainda, é hora de entrar no movimento 2FA e habilitá-lo para todos os sistemas e aplicações em sua organização. Quaisquer que sejam seus requisitos, uma ferramenta como o ADSelfService Plus pode ajudá-lo a fazer a transição para uma melhor segurança. Comece imediatamente baixando uma avaliação gratuita de 30 dias do ADSelfService Plus.