Política de uso de senhas (parte 1)

No universo da segurança da informação, o assunto senhas está presente no nosso dia a dia. Atualmente nossa vida está cercada de senhas: correio eletrônico, bancos, redes sociais, dentre outros. A maioria dos serviços que utilizamos nos obrigam a registrar uma senha. A autenticação por senha é amplamente utilizada no nosso dia a dia e devemos ter uma atenção especial ao formulá-la.

Esse assunto é muito debatido e de certa forma simples de ser entendido e implementado. A pergunta que gostaríamos de chamar a atenção é: sendo um assunto tão básico, por que continua presente no dia a dia do tratamento de incidentes  de segurança da informação?

Esse artigo é para chamar a SUA atenção, administrador de sistemas, para o seguinte questionamento:  o mecanismo de autenticação utilizado no ambiente computacional sob sua responsabilidade exige, no mínimo, uma regra de formação de senha forte e mantém um histórico do que já foi utilizado impedindo a repetição?

A responsabilidade de exigir a formação de senhas fortes é uma tarefa do administrador de sistemas. Não estamos  incentivando o uso de senhas longas e difíceis de serem gravadas. O ideal é conduzir o usuário a criar senhas fortes e exigir a mistura de letras maiúsculas e minusculas, números e caracteres especiais. É importante que seja exigido pelo menos 3 combinações das citadas anteriormente. Além disso, as boas práticas recomendam que seja possível que o usuário utilize passphrase e que as senhas tenham tamanho mínimo de 8 caracteres, com tamanho máximo de até 128 caracteres. 

Por mais que o usuário reclame é importante conscientizá-lo sobre a responsabilidade de acesso que a sua credencial tem e que, se por algum motivo for descoberta, pode causar sérios danos à Instituição. 

Uma outra característica importante de ser implementada é a criação de histórico de senhas. Devem ser definidas regras para que o usuário troque pelo menos 3 ou 4 caracteres da senha anterior. Não devemos permitir que ele utilize a mesma  combinação de strings e só altere um número. Por exemplo: batata01, batata02, batata03, etc. É recomendado um histórico mínimo das ultimas 10 senhas utilizadas impedindo assim a sua reutilização.

Portanto, mãos à obra e implemente as dicas citadas acima para melhorar o mecanismo de autenticação do ambiente  computacional sob sua responsabilidade.

 

Agradecimento: Adriano Rodrigues Paganotto

 

Maiores informações consulte em:

Cartilha CERT.br

http://cartilha.cert.br/senhas