Se a politica de segurança da sua organização obriga a que as passwords sejam alteradas a cada 90 dias e compostas por letras maiúsculas e minúsculas, pelo menos um numero e um caractere especial, fique a saber que afinal, toda esta inconveniência para os utilizadores está na realidade a enfraquecer a segurança.
As ultimas recomendações do National Institute of Standards and Technology (NIST), entidade que regula os organismos públicos dos EUA e que serve de orientação a muitas organizações por todo o mundo, são claras: O documento publicado pelo próprio Instituto em 2003 e que servia de orientação para a definição de politica de passwords está a fazer com que as passwords sejam de facto mais fracas.
O Instituto decidiu redefinir a politica partindo do zero, seguindo aliás uma linha idêntica à da Microsoft que se antecipou e em 2016, escreveu um “Password Guidance” que está totalmente enquadrado com as novas diretrizes do NIST.
Mas afinal o que estava errado? Apesar de todos os controlos impostos serem tecnicamente válidos, o facto de obrigarem a passwords bastante difíceis de definir e lembrar, acrescido da obrigatoriedade de as alterar com frequência, causou o inesperado: nós (humanos), começámos a criar passwords previsíveis e fáceis de adivinhar. A análise a milhares de passwords complexas revelou que:
- A maiúscula está normalmente no primeiro caractere.
- O número está quase sempre no inicio ou no fim da password.
- Os caracteres especiais são usados em substituições previsíveis como “$” por “a”, “4” ou “@” por “a”, “!” por i, etc.
Os password crackers sabem deste padrão e usam-no nos seus algoritmos para acelerar o processo de adivinhar as passwords, o que na prática torna o requisito de complexidade contraproducente.
Alterar as passwords com regularidade ainda piora o problema, pois se já é difícil definir uma password com estes requisitos, a obrigatoriedade de redefinição vai fazer com que, não só cada nova password seja tendencialmente mais fraca que a anterior, como que aumenta a probabilidade da password estar armazenada em locais pouco seguros (post-it, etc.)
Assim quer a NIST quer a Microsoft decidiram quebrar os padrões e apresentar recomendações mais a favor do utilizador e da segurança.
Das recomendações publicadas, destaco:
- Mínimo de 8 caracteres e máximo de 64, autorizando carateres unicode e espaços (encorajar passphrases).
- Eliminar o requisito da complexidade.
- Eliminar a obrigatoriedade de redefinir a password periodicamente. Sugerindo a alteração apenas caso se suspeite que a password possa ter sido comprometida.
- Proibir passwords comuns (por exemplo: passw0rd).
- Proibir “knowledge-based authentication”, ou seja, definir uma pergunta e resposta para restabelecer uma password.
- Obrigar os utilizadores a registarem um segundo fator de autenticação
- Utilizar autenticação multi-fator em função do risco.
- Não reutilizar passwords, principalmente para sistemas críticos, tais como o nosso e-mail pessoal, redes sociais e a conta da empresa.
- Utilizar um password manager
Dentro das novas medidas, é muito bem-vinda a restrição ao uso de passwords comuns e a possibilidade de usar passphrases com espaços. A recomendação para um sistema multi-fator (algo que eu sei e algo que eu tenho), não sendo propriamente novidade, está agora caracterizada como a medida a implementar quando o ativo é sensível ou existe risco.
A NIST na sua publicação define ainda o conceito de “Authenticator Assurance Level” (AAL) em três níveis: AAL1, AAL2 e AAL3. Cada AAL define o processo de autenticação, sendo o AAL1 o menos exigente e o AAL3 o mais exigente. Os métodos devem ser usados em função do ativo que é acedido. Por exemplo, a partir de AAL2 é exigido um sistema multi-fator e a NIST é bastante clara ao exigir este método quando estão envolvidos dados que identifiquem um individuo. Quer isto dizer que pelo menos todas as entidades publicas americanas vão utilizar um sistema multi-fator quando estiver em causa dados pessoais.
Apesar de esta ser uma norma americana que não tem qualquer obrigação junto dos organismos europeus, não deixo de destacar que com o RGPD, esta pode ser uma questão a avaliar para a conformidade. Isto porque é um facto que passwords ou passphrases são muito fracas como garantia da proteção de um ativo sensível. Por mais que as tornemos seguras, nunca deixarão de ser estáticas e conhecidas, o que significa que, poderão sempre ser guardadas em algum local e sujeitas a roubo.
Na realidade não posso deixar de esboçar um sorriso quando observo as novas recomendações da NIST e Microsoft. Quem já me ouviu falar sobre este tema sabe qual a razão. Há mais de 10 anos que insisto em deixar cair todas as recomendações clássicas e basear a politica num conceito base: utilizar passphrases em vez passwords. Mais recentemente e devido à sua generalização, aconselho sempre os clientes a adotar, quando possível, um segundo fator de autenticação para proteger ativos críticos.
Microsoft Password guidance: https://www.microsoft.com/en-us/research/wp-content/uploads/2016/06/Microsoft_Password_Guidance-1.pdf
NIST Digital Identity Guidelines: https://pages.nist.gov/800-63-3/sp800-63b.html