Se existe uma grande dor de cabeça para os especialistas em TI, que precisam garantir a proteção dos sistemas (e das aplicações & serviços) em que eles são responsáveis pelo funcionamento, esta é a gestão de credenciais e o controle de acesso. Dentre os principais mecanismos utilizados para isto estão as senhas, que apesar das suas fragilidades e limitações, continuam sendo bastante usadas em vista da sua fácil implementação. Mas infelizmente, são os usuários os responsáveis pela gestão das suas senhas pessoais e em virtude dos seus limitados conhecimentos técnicos (a maioria é leiga), eles geralmente não adotam os mecanismos necessários para garantir a sua privacidade e segurança…
“The National Institute of Standards and Technology (NIST) has proposed new credential standards it wishes to adopt. The second draft of Special Publication 800-63-4 is posted to the NIST website, awaiting public feedback on the suggested password and authentication guidelines. The outline of standards is no-nonsense but flies in the face of the annoying password regimen many companies and agencies employ. Some examples include mandating password resets, limiting character usage, requiring certain character combinations, and using security questions. These requirements are largely unnecessary…”
— by TechSpot.
Por isto, faz-se necessário adotar uma série de mecanismos para que as senhas sejam criadas com todos os requisitos necessários para a sua proteção, além de garantir que elas sejam utilizadas de modo adequado e por fim, obrigar os usuários a trocá-las de forma periódica. Mas na prática, tais ações também acabam trazendo uma série de inconvenientes e não raro, trazendo mais problemas de segurança. Por isto, o Instituto Nacional de Padrões e Tecnologia (NIST) resolveu promover a adoção de novos padrões para a gestão de credenciais, liberando um rascunho da Publicação Especial 800-63-4, para que seja avaliado pelo público geral e este pessoal, possa dar o seu retorno (feedback).
A nova PE se destaca pelo fato dela ser mais prática e intuitiva, indo contra as práticas tradicionais empregadas para a sua gestão, como a obrigatoriedade de redefinições de senhas, a limitação do uso de caracteres, a exigência de certas combinações de caracteres e o uso de perguntas de segurança. Na visão do NIST, estes requisitos são amplamente desnecessários, já que eles são considerados “relíquias desatualizadas, vindas de uma época em que a internet ainda era nova e a maioria das pessoas não entendia a higiene de segurança adequada”. Será? Como instrutor de TI e com ampla experiência em ministrar cursos voltados para os fundamentos de Informática, sugiro o NIST rever os seus conceitos…
De qualquer forma, não deixem de conferir os seus requisitos e sugestões.
Sim, já havia me dado conta disso (há tempos)! Inclusive, já estava planejando o desenvolvimento de um projeto intitulado “Quebra-nozes”, que consistia em um algoritmo (escrito em Python) que calculava as probabilidades de uma determinada senha ser quebrada, mesmo que esta seja construída com base nas melhores práticas de criação de senhas (letras maiúsculas e minúsculas, composição alfa-numérica, caracteres especiais, etc). Pelo fato de muitos usuários seguirem à risca as regras exibidas pelos sistemas, eles acabavam criando senhas com base em padrões previsíveis, o que facilitaria bastante um ataque de força-bruta.
Mas com a publicação do NIST, o conceito deixou de ser algo inédito… &;-D