Gestão de senhas: A importância de aderir às melhores práticas

As ameaças cibernéticas crescem consistentemente e uma gestão de senhas eficaz é um controle fundamental na defesa de contas e acessos. Apesar disso, muitas organizações ainda implementam políticas de senhas pouco eficientes, sob o falso pretexto de seguir as melhores práticas. Mas será que estas práticas estão atualizadas? Exigir senhas muito complexas, com tamanho limitado e mudanças frequentes pode, por outro lado, diminuir a segurança ao encorajar comportamentos de risco entre os usuários.

A complexidade das senhas é assunto de discussão há décadas, afinal, trata-se de um controle visto como escudo contra acessos indevidos. No entanto, senhas que exigem uma combinação de caracteres especiais, números e letras maiúsculas, além de serem trocadas frequentemente, podem ser difíceis de lembrar para o usuário final.

Para contornar essa dificuldade, alguns usuários recorrem a atalhos previsíveis, como a adição de informações fáceis de lembrar, dados pessoais, informações sobre a empresa onde trabalham, caracteres repetidos e outros que acabam sendo exploradas por ataques de força bruta baseados em dicionário. Este comportamento vai contra o propósito das políticas de senhas, expondo a empresa a riscos desnecessários. 

Possíveis soluções

Uma alternativa eficaz para este contraponto é a utilização de senhas frase. Diferente das senhas tradicionais, as senhas frase consistem em uma sequência de palavras que formam uma frase completa, tornando-as mais fáceis de memorizar e, ao mesmo tempo, suficientemente longas e complexas para resistir a ataques de força bruta.

Por exemplo, uma frase como "1OvoPara200Gr.DeFarinha" é mais fácil de lembrar e oferece uma segurança significativamente maior do que uma senha curta e complexa. Inclusive, o  National Institute of Standards and Technology (NIST), dos Estados Unidos, em sua publicação 800-63-3 "Digital Identity Guidelines”, recomenda a utilização de senhas frases. 

Ainda neste sentido, e observando o fator humano relacionado à gestão de senhas, o NIST recomenda que as senhas sejam trocadas apenas quando houver uma evidência de comprometimento. Este é um conceito inovador, na medida que os profissionais de tecnologia e segurança estão acostumados com a suposta verdade absoluta de que todas as senhas devem ser trocadas frequentemente.

A justificativa no NIST é que a troca regular resulta na utilização de técnicas evasivas por parte do usuário como a adição ou troca de um único caractere. Contudo, essa recomendação, embora seja embasada em estudos técnicos, esbarra em questões de conformidade de órgãos reguladores de mercado. 

Passwordless, uma alternativa sem senhas 

Além das senhas frase e sem frequência predefinida de troca, métodos passwordless (sem senha) estão ganhando destaque como uma solução moderna e segura e é assunto de exploração nos principais fóruns mundiais de segurança. Tecnologias como autenticação biométrica e tokens de segurança eliminam a necessidade de memorização de senhas, oferecendo uma camada de segurança menos vulnerável a ataques comuns. Estes métodos não só aumentam a segurança, mas também melhoram a experiência do usuário, reduzindo o atrito associado à gestão de senhas. 

Em resumo, a gestão de senhas é um componente crítico da segurança cibernética, e a adesão às melhores práticas pode fazer a diferença. Ao substituir senhas complexas e de troca frequente por alternativas como senhas frase e métodos passwordless, as empresas podem reduzir significativamente o risco de comprometimento de contas, melhorar a experiência do usuário e promover uma cultura de segurança mais robusta. 

Como a Grant Thornton Brasil pode te ajudar?

Conte com nossos especialistas para obter mais informações e orientações sobre as medidas que sua organização deve tomar para mitigar riscos e lidar com ameaças digitais.

Entre em contato conosco!