Executando verificação de segurança...
3
NewsletterOficial
2 min de leitura ·

Instituto Nacional de Padrões e Tecnologia dos EUA propõe revisão de regras de senhas

O objetivo é simplificar exigências que, segundo o órgão, não contribuem para a segurança e podem até enfraquecê-la.

Entre as mudanças sugeridas está a eliminação da obrigatoriedade de redefinir senhas periodicamente, além da dispensa de regras que exijam ou restrinjam o uso de determinados caracteres, como números, caracteres especiais, letras maiúsculas e minúsculas.

O NIST argumenta que senhas longas e aleatórias são mais eficazes, e que tais exigências acabam incentivando a criação de senhas mais fracas, por serem mais fáceis de memorizar.

A instituição também propõe o fim das perguntas de segurança, por considerá-las uma vulnerabilidade adicional.

Embora as novas diretrizes não sejam de adoção obrigatória, elas fornecem argumentos sólidos para repensar práticas consideradas excessivamente rígidas e ineficazes.

Outras exigências são:

  1. Verificadores e CSPs DEVEM exigir que senhas tenham no mínimo oito caracteres e DEVERIAM exigir que tenham no mínimo 15.
  2. Verificadores e CSPs DEVERIAM permitir um comprimento máximo de senha de pelo menos 64 caracteres.
  3. Verificadores e CSPs DEVERIAM aceitar todos os caracteres ASCII imprimíveis [RFC20] e o caractere de espaço nas senhas.
  4. Verificadores e CSPs DEVERIAM aceitar caracteres Unicode [ISO/ISC 10646] nas senhas. Cada ponto de código Unicode DEVE ser contado como um único caractere ao avaliar o comprimento da senha.
  5. Verificadores e CSPs NÃO DEVEM impor outras regras de composição (como exigir misturas de diferentes tipos de caracteres) para senhas.
  6. Verificadores e CSPs NÃO DEVEM exigir que os usuários mudem senhas periodicamente. No entanto, os verificadores DEVEM forçar a troca se houver evidência de comprometimento do autenticador.
  7. Verificadores e CSPs NÃO DEVEM permitir que o assinante armazene dicas de senha acessíveis a uma pessoa não autenticada.
  8. Verificadores e CSPs NÃO DEVEM solicitar que assinantes usem autenticação baseada em conhecimento (KBA), como perguntas de segurança (por exemplo, "Qual era o nome do seu primeiro animal de estimação?").
  9. Verificadores DEVEM verificar a senha completa submetida (ou seja, não truncá-la).

Fonte: https://arstechnica.com/security/2024/09/nist-proposes-barring-some-of-the-most-nonsensical-password-rules/

Carregando publicação patrocinada...