A Informação é um dos ativos mais importantes para qualquer organização, fundamental para o desenvolvimento da atividade de negócio.

Dada a sua importância, a Informação é frequentemente comprometida por ataques de roubo de credenciais de acesso através de técnicas de keyloggers, phishing ou outras de engenharia social. 

Neste sentido, torna-se vital a implementação de medidas que visem proteger a confidencialidade, integridade e disponibilidade da Informação, garantindo que o acesso à mesma não é comprometido. 

Umas das medidas concretas é a implementação de mecanismos robustos de autenticação, capazes de promover o acesso aos sistemas via identificação do utilizador e palavra-passe, esta devidamente revestida por uma sólida política de gestão de palavras-passe. 

No ambiente corporativo, é comum considerar como robusta uma parametrização de palavras-passe com as seguintes características: 

  • Comprimento mínimo de 8 carateres;
  • Complexidade alfanumérica;
  • Bloqueio de conta após 3 tentativas de autenticação;
  • Impossibilidade de reutilizar as últimas 5 palavras-passe;
  • Expiração da palavra-passe, forçando regularmente a alteração da palavra. 

Mas será que todas estas caraterísticas permitem garantir a definição de uma palavra-passe forte e inquebrável? 

Forçar, regularmente, a alteração da palavra-passe pode tornar-se contraproducente. 

O benefício de alterar, com regularidade, a palavra-passe surge pelo facto desta não poder provocar danos durante um longo período de tempo. No entanto, tipicamente, um hacker não quer manter a palavra-passe durante um período extenso, apenas pretende provocar danos imediatos.

[Caso pretenda descobrir se a sua palavra-passe faz parte de uma lista com mais de 500 milhões de palavras-passe comprometidas em roubo de credenciais, faça o teste aqui

Embora seja capaz de prevenir danos por um período mais extenso, forçar a alteração da palavra-passe tem vários impactos, nomeadamente:

  • A inconveniência, para o utilizador, de estar constantemente a lembrar-se de uma nova palavra-passe, o que representa um enorme fardo cognitivo para o mesmo; 
  • A definição da mesma palavra-passe para contas organizacionais e pessoais; 
  • O encorajamento sobre o utilizador de colocar palavras-passe mais fracas, alterando apenas um ou dois caracteres;
  • O encorajamento sobre o utilizador de escrever a palavra-passe num post-it e colá-la no monitor ou debaixo da mesa, para não se esquecer da mesma.

Por estas razões, estamos perante um dilema sobre como equilibrar as medidas de segurança e a experiência do utilizador, levando à questão: 

É mais importante alterar regularmente as palavras-passe ou definir palavras-passe fortes e únicas? 

Do ponto de vista da Microsoft, não. A Microsoft retirou, recentemente, das suas orientações de segurança para o Windows 10, a necessidade de alteração da palavra-passe após um determinado período de tempo, referindo que o utilizador comum tem uma palavra-passe fácil de digitar e, mesmo que tenha um comprimento de 8 caracteres, é fácil para um computador moderno decifrá-la. 

A Microsoft acredita que o risco introduzido pela prática de palavras-passe inadequadas é maior que o risco mitigado pelas políticas de expiração de senha, que forçam o utilizador a alterar a sua password a cada 42 dias. 

As organizações estão preparadas para eliminar esta política? 

Neste momento, a estratégia da maioria das organizações não deve passar por desativar todas as políticas de expiração de palavras-passe, mas por alterar o paradigma dos mecanismos de autenticação. 

É necessário implementar mecanismos que, complementarmente às palavras-chave, possam garantir uma segurança mais robusta no processo de autenticação, nomeadamente: 

  • Two-factor-authentication, prevenir que alguém aceda aos serviços, mesmo que a palavra-passe tenha sido comprometida, ao escolher dois dos seguintes fatores:

   - algo que o utilizador sabe (e.g. palavra-passe, pin);

   - algo que utilizador tem (e.g. cartão de cidadão, token) ou;

   - algo que o utilizador é – fator biométrico (e.g. impressão digital, reconhecimento facial).

  • Soluções de password management – implementar ferramentas que permitem criar e armazenar palavras-chave únicas e fortes.
  • Confronto com listas negras de credenciais inaceitáveis – não permitir a definição de palavras-chave que estejam em base de dados comprometidas, palavras do dicionário, ou palavras-chave comuns.
  • Limitação de acesso – providenciar ao utilizador o acesso a dados que necessita para desempenhar a sua função. 
  • Análise comportamental – detetar quando um acesso foi comprometido, com base nos desvios de atividade de autenticação e acesso a dados. 

Por fim, é de salientar que esta alteração de paradigma numa organização requer uma gestão da mudança eficaz, de modo a garantir a aculturação dos colaboradores às novas práticas e funcionalidades. 

Gostava de saber se a sua informação encontra-se segura?

Palavras-ChaveSecurityPassword

Partilhar