Últimas notícias

Fique informado

Senhas, contrassenhas ou “eu vou passar” de acordo com as diretrizes de identidade digital do NIST

19 de dezembro de 2018

As senhas ou frases secretas memorizadas são definidas como “algo que você sabe”, mas é muito comum as pessoas enfrentarem o mesmo problema quando as senhas são solicitadas: “Hum, eu não lembro da minha senha.”

Por: Carl Leonard e Margaret Cunningham

Neste post exploramos o fardo do gerenciamento de senhas no que se refere aos usuários e àqueles que buscam autenticar a identidade digital de um usuário.

Em seguida, damos uma olhada de perto nas atualizações das Diretrizes de Identidade Digital propostas pelo órgão americano NIST (National Institute of Standards and Technology), que entre outras sugestões recomenda que as frases secretas substituam as senhas.

O número de senhas que as pessoas precisam lembrar para acessar suas contas e dispositivos tornou-se algo difícil de contar, mas a LastPass publicou recentes descobertas de que as pessoas que usam o serviço de gestão de senhas gerenciam, em média, 191 senhas.

Em 2017, a Pearman et al. utilizou um software de captura de dados para examinar como as pessoas usam senhas em suas vidas reais durante um período de 150 dias.

Eles descobriram que as pessoas usavam senhas em uma média de 26 domínios diferentes, com uma relação  média de domínio/senha de 2,39.

Este estudo também mostrou que as pessoas não só reutilizam senhas exatamente iguais, mas também as reutilizam parcialmente (por exemplo, Password123, Pass123!), com aproximadamente 40% dos participantes reutilizando, ou parcialmente reutilizando, de 80 a 90% de suas senhas.

De forma geral, os problemas de segurança associados a senhas continuam desafiadores, pois os usuários continuam a criar e reutilizar senhas facilmente exploradas e fáceis de adivinhar para minimizar a pressão de memorizar tantos “segredos” diferentes.

Em junho de 2017, as Diretrizes de Identidade Digital atualizadas do NIST (NIST SP 800-60-3) introduziram alterações significativas nas recomendações anteriores.

A força motriz por trás dessas mudanças foi o foco no usuário, uma vez que a experiência do usuário geralmente dita se as pessoas seguirão as regras ou se eles criarão soluções alternativas que afetem negativamente a segurança.

Considere a frequência com que os usuários podem ter adicionado um ponto de exclamação e um número 1 ao gerar sua nova senha para evitar uma mensagem de aviso informando a sua falta de complexidade.

As mudanças também refletem uma mudança de responsabilidade dos usuários individuais para as empresas e sistemas que verificam as identidades.

No entanto, também destacam a necessidade de definir expectativas realistas para a segurança baseada somente em senha, já que muitas contas, domínios e dispositivos estão passando a exigir a autenticação de dois fatores.

Diretrizes de Identidade Digital do NIST – um resumo das alterações

A tabela 1 fornece um resumo de alto nível das alterações, com base na apresentação BSidesLV 2016 do consultor do NIST, Jim Fenton:

 

Principais dicas para uma melhor gestão de identidades digitais

Sua organização considerou as diretrizes do NIST?  Em caso negativo, por que não discutir isso agora?

  • Revise continuamente as diretrizes de práticas recomendadas para determinar sua aplicabilidade em sua organização, seus dados e seus usuários (seus funcionários, seus contratados e seus clientes).
  • A adoção das diretrizes do NIST não deve ser vista como uma bala de prata. Aqueles que interagem com as credenciais e sistemas de autenticação são seres humanos, afinal, e provavelmente cometerão erros ou violarão regras usando soluções alternativas. Da mesma forma, os invasores continuarão a buscar acesso a segredos memorizados, seja senha, frase secreta, PIN, etc.
  • Nem todas as senhas/frases secretas devem ser tratadas igualmente.  Algumas são mais importantes do que outras; como a senha do seu laptop, a senha/PIN de bloqueio de tela do seu celular ou as credenciais para acessar a conta de seu gerenciador de senhas.  Proteja os seus dados, ou o *acesso* a esses dados mais importantes com o nível de segurança mais adequado.
  • Se você adotar senhas ou frases secretas é sensato considerar complementar suas credenciais de login com pelo menos uma autenticação de dois fatores para adicionar “algo que você tem” ao “algo que você sabe”.

Conclusão

Os temas abordados acima estimulam e continuarão a estimular o debate e opiniões diversas.  Nem todos irão concordar com as recomendações.

Nem todo mundo ajustará seus processos e tecnologias para acomodar as recomendações, e as pessoas envolvidas com sua organização (clientes e funcionários) poderão resistir em adotar e seguir as melhores práticas no curto prazo, ou mesmo no longo prazo.

As organizações devem estar cientes de que os usuários podem procurar o caminho de menor esforço criando frases com um caractere de comprimento maior do que o mínimo exigido, ou voltar a praticar a má ideia de armazenar senhas em um arquivo de texto não criptografado para memorizar as frases, em vez de utilizar a tecnologia de gerenciamento de senhas adequada para ajudá-los.

Compreender o comportamento dos seus usuários e o que pode motivar as pessoas a adotar as melhores práticas em relação ao uso de senha/frases, e monitorar o comportamento das credenciais dos usuários uma vez autenticadas pode ser o melhor caminho para equilibrar a visão realista com a ideal quando se trata de implementar diretrizes de identidade digital.