O que é uma senha segura que nos faz pensar que é seguro?

Tradicionalmente, para as empresas, há coisas como complexidade, duração mínima, evitar senhas conhecidas e com que frequência as senhas são alteradas para compensar a possibilidade de comprometimento não detectado.

E, no entanto, recentemente, o último desses pilares – expiração de senha – começou a ser demolida.

Em 2016, o influente Instituto Nacional de Padrões e Tecnologia (NIST) dos EUA rompeu com gerações de sabedoria recebida, recomendando que a mudança de senha agendada deveria ser descartada da lista de boas práticas, pois agora faz mais mal do que bem.

Esta semana, a poderosa Microsoft juntou-se a eles em termos inequívocos em um blog explicando as linhas de base de segurança da empresa para a próxima versão do Windows 10, 1903, prevista para maio. Aaron Margosis, da Microsoft, não mediu suas palavras:

A expiração periódica de senha é uma mitigação antiga e obsoleta, e não acreditamos que valha a pena para nossa linha de base impor qualquer valor específico.

As linhas de base do Windows não são apenas um conjunto de recomendações escritas em algum lugar que ninguém lê, definindo como o sistema operacional corporativo mais popular do mundo deve ser protegido por empresas.

Na última contagem, o Windows 10 tinha 3.000 deles (incluindo muitos não relacionados à segurança) implementados como Objetos de Diretiva de Grupo. Ter esses parâmetros configurados significa que a equipe de TI não precisa configurar tudo do zero, além de ajudar na provação da conformidade.

Se o NIST rebaixando a importância da expiração da senha era um grande marcador, a Microsoft fazia os mesmos sinais de que a mudança está realmente chegando no mundo real.

Por que a expiração da senha não ajuda

À primeira vista, a expiração de senhas parece sensata porque, como muitos comprometimentos de segurança demonstram, as senhas hoje em dia são frequentemente roubadas e maltratadas muito antes de seus proprietários perceberem.

Logicamente, então, alterá-los em um cronograma deve minimizar o risco, reduzindo a duração do comprometimento possível para um período definido de semanas ou meses.

No espaço do consumidor, tornou-se parte tão aceita da segurança que os gerentes de senhas pedem aos usuários que atualizem suas senhas regularmente e ofereçam mecanismos para automatizá-los em grandes sites da Internet.

O problema é que isso pode ter conseqüências não intencionais, o que pode tornar o esforço inútil. Como Margosis da Microsoft escreve:

Quando os usuários são forçados a mudar suas senhas, muitas vezes eles fazem uma pequena e previsível alteração em suas senhas existentes e / ou esquecem suas novas senhas.

Com efeito, os usuários não estão realmente alterando suas senhas, apenas aprimorando-as para facilitar o lembrete. Na pior das hipóteses, isso pode incluir o uso da mesma senha ajustada em vários sites, um hábito que alimenta ataques de preenchimento de senhas.

Observe que, embora a Microsoft não recomende mais um valor de expiração de senha específico, não há nada que impeça que as organizações implementem uma, se quiserem.

Pode ser que a angústia da Microsoft sobre sua linha de base esteja, na verdade, fazendo uma pergunta mais profunda – as linhas de base e a conformidade interminável que se segue em seu rastro devem ser tão importantes assim mesmo? Margosis novamente:

Remover uma configuração de baixo valor de nossa linha de base e não compensar com outra coisa na linha de base não significa que estamos reduzindo os padrões de segurança. Simplesmente reforça que a segurança não pode ser alcançada inteiramente com linhas de base.

Como os anúncios recentes da Microsoft deixaram claro, todos fariam melhor em mudar para formas mais sofisticadas de autenticação.

Com informações do blog Naked Security, da Sophos.