Home > Notícias

TI deve rejeitar práticas de redefinição de senha obsoleta

Microsoft alerta que forçar os usuários a redefinir as senhas em intervalos de tempo pré-definidos não funciona tão bem quanto outras outras opções

Gregg Keizer, da CIO (EUA)

04/05/2019 às 12h41

Foto: Shutterstock

A Microsoft recomendou na semana passada que as organizações não obriguem mais os funcionários a criarem novas senhas a cada 60 dias. A empresa chamou a prática – outrora um pilar fundamental do gerenciamento de identidades corporativas – de “antiga e obsoleta”, como dizia aos administradores de TI que outras abordagens são muito mais eficazes para manter os usuários seguros.

“A expiração periódica de senha é uma mitigação antiga e obsoleta de valor muito baixo, e não acreditamos que valha a pena para nossa linha de base impor qualquer valor específico”, escreveu Aaron Margosis, principal consultor da Microsoft, em um post para um blog da empresa.

Na mais recente definição de base de configuração de segurança para o Windows 10 – um rascunho para a ainda não liberada de modo geral “Atualização de maio de 2019”, também conhecido como 1903 –, a Microsoft abandonou a ideia de que as senhas deveriam ser alteradas com frequência.

A linha de base da configuração de segurança do Windows é uma coleção enorme de políticas de grupo recomendadas e suas configurações, acompanhadas de relatórios, scripts e analisadores. Linhas de base anteriores haviam aconselhado empresas e outras organizações a exigir uma alteração de senha a cada 60 dias. (E isso diminuiu no máximo em 90 dias). Não mais.

Margosis reconheceu que as políticas para expirar automaticamente as senhas – e outras políticas de grupo que estabelecem padrões de segurança – são muitas vezes equivocadas. “O pequeno conjunto de antigas políticas de senha aplicáveis por meio dos modelos de segurança do Windows não é e não pode ser uma estratégia de segurança completa para o gerenciamento de credenciais do usuário”, disse ele. “Melhores práticas, no entanto, não podem ser expressas por um valor definido em uma política de grupo e codificadas em um modelo.”

Entre essas outras práticas recomendadas, Margosis mencionou a autenticação multifator – também conhecida como autenticação de dois fatores – e baniu as senhas fracas, vulneráveis, fáceis de adivinhar ou frequentemente reveladas.

A Microsoft não é a primeira a duvidar da convenção.

Dois anos atrás, o Instituto Nacional de Padrões e Tecnologia (NIST), um braço do Departamento de Comércio dos EUA, apresentou argumentos semelhantes ao rebaixar a substituição regular de senhas. “Os verificadores NÃO DEVEM exigir que as segredos memorizados sejam alterados arbitrariamente (por exemplo, periodicamente)”, disse o NIST em uma FAQ que acompanhou a versão de junho de 2017 da SP 800-63, a “Digital Identity Guidelines” usa o termo “segredos memorizados” no lugar de “senhas”.

Em seguida, o instituto explicou por que as mudanças obrigatórias de senha eram uma má ideia: “os usuários tendem a escolher segredos memorizados mais fracos quando sabem que precisarão mudá-los em um futuro próximo. Quando essas mudanças ocorrem, eles geralmente selecionam segredo que é semelhante ao seu antigo segredo memorizado, aplicando um conjunto de transformações comuns, como o aumento de um número na senha”.

Tanto o NIST quanto a Microsoft pediram que as organizações exigissem redefinições de senha quando houvesse evidência de que as senhas haviam sido roubadas ou comprometidas. E se eles não forem tocados? “Se uma senha nunca for roubada, não há necessidade de expirá-la”, disse Margosis, da Microsoft.

“Eu concordo 100% com a lógica da Microsoft para empresas, que são quem usa [políticas de grupo]”, disse John Pescatore, diretor de tendências de segurança emergentes do Instituto SANS. “Forçar todos os funcionários a alterar senhas em algum período quase invariavelmente faz com que mais vulnerabilidades apareçam no processo de redefinição de senha (porque agora há picos frequentes de usuários esquecendo suas senhas), o que aumenta o risco mais do que a redefinição forçada de senhas”.

Como a Microsoft e o NIST, Pescatore achava que redefinições periódicas de senha eram os duelos das mentes pequenas. “Ter [isso] como parte da linha de base torna mais fácil para as equipes de segurança reivindicarem conformidade, porque os auditores estão felizes”, disse Pescatore. “Concentrar-se na conformidade com a redefinição de senha foi uma grande parte de todo o dinheiro desperdiçado nas auditorias da Sarbanes-Oxley há 15 anos. Grande exemplo de como a conformidade não * é igual à segurança”*.

Em outro lugar na linha de base do rascunho do Windows 10 1903, a Microsoft também descartou as políticas para o método de criptografia de unidade do BitLocker e sua força de criptografia. A recomendação anterior era usar a criptografia mais forte disponível no BitLocker, mas isso, segundo a Microsoft, era exagerado: (“Nossos especialistas em criptografia nos dizem que não há perigo conhecido de [criptografia de 128 bits] ser quebrado no futuro previsível”, alegou Margosis, da Microsoft). E poderia facilmente degradar o desempenho do dispositivo.

A Microsoft também pediu feedback sobre outra mudança proposta que deixaria a desativação forçada das contas internas Guest e Administrador do Windows. “Remover essas configurações da linha de base não significa que recomendamos que essas contas sejam ativadas, nem remover essas configurações significa que as contas serão ativadas”, disse Margosis. “Remover as configurações das linhas de base significaria simplesmente que os administradores agora poderiam escolher habilitar essas contas conforme necessário”.

O rascunho da linha de base pode ser baixada do site da Microsoft como um arquivo .zip arquivado.

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail