No universo da segurança da informação, o assunto senhas está presente no nosso dia a dia. Atualmente nossa vida está cercada de senhas: correio eletrônico, bancos, redes sociais, dentre outros. A maioria dos serviços que utilizamos nos obrigam a registrar uma senha. A autenticação por senha é amplamente utilizada no nosso dia a dia e devemos ter uma atenção especial ao formulá-la.
Esse assunto é muito debatido e de certa forma simples de ser entendido e implementado. A pergunta que gostaríamos de chamar a atenção é: sendo um assunto tão básico, por que continua presente no dia a dia do tratamento de incidentes de segurança da informação?
Esse artigo é para chamar a SUA atenção, administrador de sistemas, para o seguinte questionamento: o mecanismo de autenticação utilizado no ambiente computacional sob sua responsabilidade exige, no mínimo, uma regra de formação de senha forte e mantém um histórico do que já foi utilizado impedindo a repetição?
A responsabilidade de exigir a formação de senhas fortes é uma tarefa do administrador de sistemas. Não estamos incentivando o uso de senhas longas e difíceis de serem gravadas. O ideal é conduzir o usuário a criar senhas fortes e exigir a mistura de letras maiúsculas e minusculas, números e caracteres especiais. É importante que seja exigido pelo menos 3 combinações das citadas anteriormente. Além disso, as boas práticas recomendam que seja possível que o usuário utilize passphrase e que as senhas tenham tamanho mínimo de 8 caracteres, com tamanho máximo de até 128 caracteres.
Por mais que o usuário reclame é importante conscientizá-lo sobre a responsabilidade de acesso que a sua credencial tem e que, se por algum motivo for descoberta, pode causar sérios danos à Instituição.
Uma outra característica importante de ser implementada é a criação de histórico de senhas. Devem ser definidas regras para que o usuário troque pelo menos 3 ou 4 caracteres da senha anterior. Não devemos permitir que ele utilize a mesma combinação de strings e só altere um número. Por exemplo: batata01, batata02, batata03, etc. É recomendado um histórico mínimo das ultimas 10 senhas utilizadas impedindo assim a sua reutilização.
Portanto, mãos à obra e implemente as dicas citadas acima para melhorar o mecanismo de autenticação do ambiente computacional sob sua responsabilidade.
Agradecimento: Adriano Rodrigues Paganotto
Maiores informações consulte em: