Já em 2018, nesta coluna de opinião, chamei a atenção para o quanto práticas como a complexidade obrigatória e a expiração forçada de passwords se tornaram ultrapassadas, promovendo pouca segurança real. No entanto, a resistência à mudança persiste, e muitos departamentos de TI ainda seguem as mesmas regras rígidas de antigamente. Hoje, a NIST (National Institute of Standards and Technology) reforça a sua posição: mais do que recomendar, agora exige que estas práticas sejam deixadas para trás em prol de uma abordagem de segurança mais eficiente e fundamentada.
O que é a NIST e porque seguir suas normas?
A NIST, ou Instituto Nacional de Padrões e Tecnologia dos Estados Unidos, é uma agência do Departamento de Comércio norte-americano, responsável por desenvolver e publicar normas e diretrizes que regulam diversos aspetos da tecnologia e da segurança da informação. Fundada em 1901, a NIST trabalha para melhorar a competitividade da indústria americana, incluindo a área da cibersegurança, com base em pesquisas aprofundadas, estudos científicos e colaborações com especialistas em segurança.
A NIST é amplamente respeitada no setor de TI porque suas diretrizes refletem o mais recente conhecimento técnico e científico sobre segurança digital, sendo adotadas globalmente não só por órgãos governamentais dos Estados Unidos, mas também por empresas privadas, instituições financeiras, de saúde, educação e muitas outras. O seu objetivo é criar padrões que possam ser seguidos por qualquer entidade que lide com dados sensíveis ou segurança cibernética. O rigor e a fundamentação técnica das diretrizes da NIST fazem com que as organizações, mesmo fora dos EUA, considerem estas normas como referências obrigatórias, especialmente em questões tão críticas como a segurança de passwords.
Simplificação e fortalecimento de senhas: uma nova era nas regras da NIST
As novas diretrizes da NIST estabelecem claramente um padrão que, em vez de complicar a vida dos utilizadores, foca-se em simplificar a gestão de passwords, mantendo-as mais robustas. Em vez de combinações complexas e aleatórias, a NIST agora exige passwords longas e intuitivas, estabelecendo um mínimo de oito caracteres e recomendando quinze ou mais, sem limitações quanto ao uso de caracteres especiais ou maiúsculas. A lógica é simples: passwords mais longas são, comprovadamente, mais difíceis de quebrar do que aquelas que utilizam a complexidade extrema e acabam por ser previsíveis.
Além disso, agora há uma preocupação com a inclusão de todos os caracteres ASCII e Unicode, permitindo que até emojis, acentos e espaços possam ser utilizados. Esta abordagem não só aumenta as opções de criação de passwords como elimina a necessidade de truques frustrantes para os utilizadores, que podem escolher frases ou palavras de fácil memorização, mas difíceis de decifrar.
Contra a expiração arbitrária: Só mude de password quando necessário
Durante anos, exigir que os utilizadores alterassem as suas passwords periodicamente foi visto como uma prática padrão de segurança. Contudo, a NIST agora proíbe a expiração periódica, exceto em casos de compromissos de segurança confirmados. Estudos comprovam que a troca forçada leva a escolhas previsíveis, como pequenas variações da password antiga, que reduzem a segurança em vez de a fortalecerem.
Adeus às perguntas de segurança e dicas de password
As questões de segurança e as dicas de password têm sido, há muito, uma vulnerabilidade em potencial. Ao exigir respostas a perguntas como "qual o nome do seu primeiro animal de estimação?" estamos a dar aos atacantes uma ferramenta de engenharia social para ultrapassar uma camada de segurança. Assim, a NIST agora proíbe o uso de perguntas de segurança e o armazenamento de dicas de password. Esta medida elimina uma camada de exposição e força as organizações a focarem-se em métodos de recuperação mais seguros.
Regras de verificação e bloqueio: Mais segurança e menos frustrações
Outro pilar das novas diretrizes está nas regras que os "verificadores" (sistemas de autenticação) e CSPs (prestadores de serviço de autenticação) devem cumprir ao processar e verificar passwords:
Verificação integral e sem truncamentos
Em sistemas antigos, era comum verificar apenas uma parte da password (truncando caracteres) por limitações técnicas. A NIST agora exige que toda a password seja verificada, sem truncamentos, garantindo que a segurança não seja comprometida.
Bloqueio de passwords fracas ou comuns
Uma nova exigência é o uso de uma "blocklist" que impede a utilização de passwords previamente comprometidas ou demasiado comuns. Esta lista deve conter passwords obtidas em bases de dados de ataques anteriores, palavras previsíveis, termos específicos do serviço ou derivados do nome de utilizador. Este bloqueio evita escolhas que facilitam ataques de força bruta e impede que passwords inseguras sejam utilizadas.
Orientação e ajuda na escolha de passwords
A NIST também exige que o sistema forneça orientação útil aos utilizadores, especialmente se uma tentativa de criação de password for rejeitada, desincentivando alterações triviais, como “senha123” para “senha1234”. Esta prática orienta os utilizadores a fazerem escolhas mais seguras.
Limitação de tentativas e autenticação com password managers
Para impedir ataques de força bruta, as diretrizes da NIST determinam que os verificadores devem implementar uma limitação de tentativas, bloqueando o acesso após um número excessivo de falhas (máximo 100). Em paralelo, os verificadores também devem permitir o uso de password managers, que incentivam passwords fortes e facilitam a inserção de passwords através da função "colar".
Normalização de Unicode para Passwords
Caso sejam aceites caracteres Unicode, os verificadores devem normalizá-los (com as formas NFKC ou NFKD), garantindo que a senha seja processada corretamente sem interferências de representações diferentes entre sistemas.
Um Novo Paradigma de Segurança
As exigências da NIST sinalizam a necessidade urgente de abandonar as práticas desatualizadas. As novas diretrizes incentivam métodos cientificamente fundamentados que melhoram a segurança sem comprometer a experiência do utilizador. Permitir passwords longas e evitar expirações desnecessárias, ao mesmo tempo que se usa MFA e se faz o bloqueio de passwords fracas, promove uma segurança real e duradoura.
Os departamentos de TI que resistem a essa mudança precisam perceber que insistir em práticas ultrapassadas significa ignorar os avanços na ciência de segurança e expor as suas organizações a riscos evitáveis. A segurança de passwords agora baseia-se em métodos modernos que, ao contrário da complexidade aleatória e da expiração periódica, focam-se em proteção robusta e adaptada à realidade atual.
Conclusão: Adapte-se às Novas Exigências para uma Segurança Eficaz
A mensagem da NIST é clara: a segurança de passwords precisa evoluir, e a adaptação a estas exigências tornou-se mais que uma recomendação – é uma necessidade. As organizações devem alinhar-se com as diretrizes mais recentes, adotando práticas que promovem uma segurança eficaz, simplificada e centrada no comportamento humano.
Referências:
1. Opinião: P4$$w0rd$. Esqueça as recomendações do passado - Notícias na Cloud (knowledgeinside.pt)
2. National Institute of Standards and Technology (NIST) password guidelines
