Segundo o Relatório de Investigações de Violações de Dados da Verizon, as passwords comprometidas são responsáveis por mais de 81% das violações de cibersegurança nas organizações. Isto significa que uma parte fundamental da segurança da informação das organizações deve ser proteger as passwords dos utilizadores.
Entretanto, embora existam muitas práticas convencionais de segurança de passwords que parecem intuitivas, muitas delas são enganosas, desactualizadas ou, pior, mesmo contraproducentes.
É aí que entram as diretrizes de senhas do Instituto Nacional de Padrões e Tecnologia (NIST) (também conhecidas como Publicação Especial 800-63B do NIST). Embora sejam exigidas apenas para agências federais dos EUA, são consideradas o padrão ouro para a segurança de passwords por muitos especialistas internacionais devido à pesquisa abrangente, validação e aplicabilidade ampla no sector privado e em outros países do mundo e, designadamente, em Portugal.
O NIST, ou Instituto Nacional de Padrões e Tecnologia (em inglês, National Institute of Standards and Technology), é uma agência do governo dos EUA que tem uma ampla gama de responsabilidades, incluindo o desenvolvimento e a promoção de padrões e directrizes para várias áreas, como tecnologia da informação, medição e testes, segurança cibernética, manucfatura avançada, entre outras. No contexto de segurança de informações, o NIST é conhecido pelas suas directrizes e padrões, incluindo as directrizes para práticas de segurança de passwords mencionadas anteriormente.
De facto, muitas equipas de cibersegurança corporativa já utilizam as directrizes do NIST como referência para fornecer algo ainda mais poderoso do que políticas: credibilidade. Portanto, se procura o que realmente funciona para a segurança de senhas em 2023, aqui está o que o NIST recomenda (em linguagem simples).
1. Novas Directrizes para Criação de Passwords:
A segurança de passwords começa pela criação da password. No entanto, não é apenas responsabilidade dos utilizadores garantir que as suas passwords estejam adequadas – cabe à área de TI das organizações pública e privadas portuguesas garantir que as passwords sejam suficientemente fortes.
Aqui estão as recomendações do NIST para incluir na política de passwords da sua organização.
1. Comprimento > Complexidade:
A sabedoria convencional diz que uma password complexa é mais segura. Mas, na realidade, o comprimento da password é um fator muito mais importante, porque uma password mais longa é mais difícil de descriptografar se for furtada.
Por exemplo, muitas organizações exigem que os utilizadores incluam caracteres especiais, como um número, símbolo ou letra maiúscula, nas suas passwords para torná-las mais difíceis de descriptografar.
Infelizmente, muitos utilizadores adicionam complexidade às suas senhas simplesmente capitalizando a primeira letra da senha ou adicionando um “1” ou “!” ao final. Em vez de forçar os utilizadores a criarem passwords mais complexas, determinem que estes criem passwords mais longas para melhorar a segurança.
O NIST recomenda usar “frases chaves” em vez de “palavras chave”.
2. Eliminar as Redefinições Periódicas:
Muitas organizações pedem aos utilizadores que redefinam as suas passwords a cada poucos meses, pensando que qualquer pessoa não autorizada que tenha obtido a password de um utilizador será logo bloqueada. No entanto, alterações frequentes de passwords podem, na prática, piorar a segurança da organização.
É difícil lembrar uma boa password por ano, e os utilizadores muitas vezes recorrem a padrões previsíveis ao alterar suas passwords, como adicionar um único caracter ao final da password anterior ou substituir uma letra por um símbolo semelhante (como $ no lugar de S).
Se um invasor já conhece a password anterior de um utilizador, não será difícil descobrir a nova. As directrizes do NIST afirmam que os requisitos de alteração periódica de password devem ser removidos por esse motivo.
Directrizes de Autenticação de Passwords:
A maneira como se autentica uma password quando um utilizador faz login pode ter um impacto massivo em tudo relacionado à segurança de senhas (incluindo a criação de passwords). Eis o que o NIST recomenda em relação à entrada e verificação reais de passwords.
1. Activar “Mostrar Password ao Digitar” em todas as aplicações em sistemas onde isso seja opcional:
Os erros de digitação são comuns ao escrever passwords, e quando os caracteres se tornam pontos assim que são digitados, é difícil identificar onde se cometeu o erro. Activar a opção para mostrar a password durante a digitação permite que os utilizadores escolham passwords mais longas, que eles têm uma possibilidade muito melhor de inserir correctamente à primeira tentativa.
2. Usar a Protecção contra Passwords Comprometidas:
As directrizes de passwords do NIST exigem que cada nova password seja verificada na “lista negra” em https://haveibeenpwned.com/Passwords que inclui palavras de dicionário, sequências repetitivas ou sequenciais, passwords usadas em violações de segurança anteriores, variações do nome do site ou do nome (ou nomes) da organização, frases comuns e outros padrões que cibercriminosos provavelmente adivinharão.
3. Não Usar “Dicas de Passwords”:
Algumas aplicações tentam ajudar os utilizadores a lembrar senhas complexas oferecendo uma dica ou exigindo que respondam a uma pergunta pessoal. No entanto, com a constante disseminação de informações pessoais nas redes sociais ou por meio de engenharia social, as respostas a essas dicas são fáceis de encontrar, tornando fácil para os invasores aceder às contas dos utilizadores. Essa prática é agora proibida pelas diretrizes do NIST.
4. Limitar as Tentativas de Password:
Muitos invasores tentarão aceder a uma conta fazendo login repetidamente até descobrirem a password correta (ataque de força bruta). Limitar o número de tentativas de login permitidas antes de bloquear a conta é uma óptima maneira de evitar esses tipos de ataques.
5. Usar Autenticação Multifactor (MFA)
A autenticação multifactor (MFA), também conhecida como autenticação de dois factores (2FA), exige que os utilizadores demonstrem pelo menos dois dos seguintes itens para fazer login:
“algo que sabe” (como uma senha)
“algo que tem” (como um telefone)
“algo que é” (como uma impressão digital)
As directrizes do NIST agora exigem o uso de autenticação multifactor para proteger qualquer informação pessoal que esteja disponível online.
Contudo, há que ter em contar as legítimas preocupações em relação à autenticação por SMS, dado que os canais SMS podem ser atacados por malware e hacks no protocolo SS7. Apesar disso, o SMS ainda é considerado um canal de 2FA seguro, desde que certas precauções sejam tomadas. Se assim for a password pode ser enviada por telegram, whatsapp ou através de um pastebin que se apaga logo que é lido e não tem informação sobre o username a que se refere a password.
Directrizes NIST para Armazenamento de Senhas:
Muitos ataques de segurança não têm nada a ver com passwords fracas e tudo a ver com o armazenamento de passwords pelos autenticadores. Eis as recomendações do NIST para garantir que as passwords sejam armazenadas com segurança.
1. Proteja as Suas Bases de Dados
As passwords dos seus utilizadores serão armazenadas numa base de dados (ou várias). Portanto, para protegê-las, é importante limitar o acesso a essas bases de dados apenas a pessoal essencial.
Além disso, qualquer credencial de autenticação usada pelos administradores desses sistemas deve seguir as directrizes do NIST, uma vez que é assim que os invasores geralmente obtêm acesso.
2. Faça Hash das Senhas dos Utilizadores
Violações de bases de dados com passwords vão, mais cedo ou mais tarde, acontecer. No entanto, é possível proteger os seus utilizadores caso isso ocorra, fazendo hash das suas passwords antes de armazená-las. As directrizes do NIST exigem que as passwords sejam encriptadas com pelo menos 32 bits de dados e hashadas com uma função de derivação de chave unidirecional, como a Função de Derivação de Chave Baseada em Senha 2 (PBKDF2) ou Balloon.
Além disso, recomenda-se um hash adicional armazenado separadamente da password hashada. Dessa forma, mesmo que as passwords hashadas sejam roubadas, ataques de força bruta seriam impraticáveis.
3. Foco na Experiência do Utilizador para Melhorar a Segurança de Passwords:
A cibersegurança e a experiência do utilizador frequentemente estão em desacordo. No entanto, as directrizes de passwords do NIST são bastante claras: uma segurança forte de passwords está enraizada numa experiência do utilizador simplificada. Se os responsáveis de TI das organizações criarem uma experiência do utilizador que usa essa tendência para incentivar comportamentos seguros, esta ajudará a manter os dados da organização mais seguros.
Fonte principal:
https://pages.nist.gov/800-63-FAQ/
Iniciativa CpC: Cidadãos pela Cibersegurança 