Título: A Política de Senhas que Expiram: Necessária ou Obsoleta?
Uma recente discussão sobre as políticas de expiração de senha vem ressaltando o dilema enfrentado por organizações em busca de equilíbrio entre a segurança cibernética e o fardo operacional que acompanha as redefinições de senha. Tradicionalmente, senhas são configuradas para expirar a cada 90 dias – uma medida de precaução contra ataques de força bruta, onde os invasores tentam adivinhar as senhas aplicando diferentes combinações em um algoritmo de hash até achar a correta.
Contudo, o desenvolvimento da capacidade computacional tornou possível quebrar senhas em um tempo muito menor do que no passado, questionando a eficácia de tal política. Ao mesmo tempo, estudos da Gartner e da Forrester apontam para o alto custo de redefinições de senha, que representam entre 20 a 50% das chamadas para help desks, custando cerca de US$ 70 por redefinição em termos de mão-de-obra. Isso levou algumas organizações a optar por senhas “que nunca expiram” a fim de reduzir custos e trabalho manual.
Essa prática, no entanto, envolve riscos significativos. Um relatório da Specops Software revelou que 83% das senhas comprometidas atendiam aos padrões de comprimento e complexidade, desmentindo a noção de que uma senha forte é segura indefinidamente. Vulnerabilidades podem surgir devido a phishing, violações de dados ou outros incidentes de segurança, sem que o usuário esteja ciente. Além disso, o Report Ponemon Institute indicou que o período médio para uma organização identificar uma violação é de 207 dias, um prazo suficiente para que um invasor explore as credenciais comprometidas mesmo se as senhas estivessem programadas para expirar.
Como alternativa, o NIST e outros órgãos recomendam expirações de senha somente quando mecanismos de detecção de contas comprometidas estão em vigor. Além disso, recomenda-se uma abordagem de estratégia de senha abrangente, incluindo a educação de usuários para criar frases-senha fortes e um envelhecimento baseado em comprimento, permitindo o uso de senhas mais robustas por períodos mais longos.
Para auxiliar na detecção proativa de senhas comprometidas, o Specops Password Policy oferece um serviço de Proteção contra Senhas Comprometidas, capaz de bloquear o uso de mais de 4 bilhões de senhas comprometidas conhecidas. Com uma interface integrada ao Active Directory, representa uma medida de segurança adicional para organizações interessadas em reforçar suas políticas de senha.
Siga-nos no Twitter e LinkedIn para mais conteúdo sobre segurança cibernética e práticas recomendadas de TI.