X-Labs
Setembro 6, 2018

SENHAS, CONTRASSENHAS OU "EU VOU PASSAR" DE ACORDO COM AS DIRETRIZES DE IDENTIDADE DIGITAL DO NIST

Carl Leonard Principal Security Analyst
Dr. Margaret Cunningham Principal Research Scientist

Passwords, or memorized secrets, are defined as “something you know," [1] but people often encounter the same aggravating problem when asked to fill in their password: “ugh, I don’t know my password.”

In this blog we shall explore the burden of password management as it relates to users and those seeking to authenticate a user’s digital identity and then we shall go on to take a close look at NIST’s updated Digital Identity Guidelines which proposes, among other suggestions, that passphrases replace passwords.

[1] NIST SP 800-63B, Section 5.1.1. https://doi.org/10.6028/NIST.SP.800-63b

 

O número de senhas que as pessoas precisam lembrar para acessar suas contas e dispositivos tornou-se algo difícil de contar, mas a LastPass publicou recentes descobertas de que as pessoas que usam o serviço de gestão de senhas gerenciam, em média, 191 senhas.  Em 2017, a Pearman et al. utilizou um software de captura de dados para examinar como as pessoas usam senhas em suas vidas reais durante um período de 150 dias. Eles descobriram que as pessoas usavam senhas em uma média de 26 domínios diferentes, com uma relação  média de domínio/senha de 2,39.  Este estudo também mostrou que as pessoas não só reutilizam senhas exatamente iguais, mas também as reutilizam parcialmente (por exemplo, Password123, Pass123!), com aproximadamente 40% dos participantes reutilizando, ou parcialmente reutilizando, de 80 a 90% de suas senhas.

De forma geral, os problemas de segurança associados a senhas continuam desafiadores, pois os usuários continuam a criar e reutilizar senhas facilmente exploradas e fáceis de adivinhar para minimizar a pressão de memorizar tantos “segredos” diferentes.

Em junho de 2017, as Diretrizes de Identidade Digital atualizadas do NIST(NIST SP 800-60-3) introduziram alterações significativas nas recomendações anteriores. A força motriz por trás dessas mudanças foi o foco no usuário, uma vez que a experiência do usuário geralmente dita se as pessoas seguirão as regras ou se eles criarão soluções alternativas que afetem negativamente a segurança.  Considere a frequência com que os usuários podem ter adicionado um ponto de exclamação e um número 1 ao gerar sua nova senha para evitar uma mensagem de aviso informando a sua falta de complexidade.  As mudanças também refletem uma mudança de responsabilidade dos usuários individuais para as empresas e sistemas que verificam as identidades. No entanto, também destacam a necessidade de definir expectativas realistas para a segurança baseada somente em senha, já que muitas contas, domínios e dispositivos estão passando a exigir a autenticação de dois fatores.. 

Diretrizes de Identidade Digital do NIST – um resumo das alterações

A tabela 1 fornece um resumo de alto nível das alterações, com base na apresentação BSidesLV 2016 do consultor do NIST, Jim Fenton:

Descrição

Lógica

A remoção dos requisitos relativos à composição das senhas é recomendada.  Isso inclui critérios de composição como "a senha deve incluir letras maiúsculas e minúsculas, 2 dígitos e pelo menos um caractere especial, como $, # ou &."

As regras de composição de senhas criam desafios na experiência do usuário e não fornecem tanto valor quanto o pretendido.

Os usuários criam soluções alternativas (como por exemplo, adicionar "1!" ao final de senhas simples).

É necessário removeras dicas de senha e a autenticação baseada em conhecimento (por exemplo, qual foi a marca do seu primeiro veículo?)

O conhecimento de detalhes pessoais associados a dicas ou solicitações de senhas pode estar acessível a alguém que não seja o proprietário da senha, o que enfraquece muito os esforços de autenticação.  Isso fica claro com a popularidade das redes sociais e o exagero nos compartilhamentos.

remoção da expiração de senha rotineira ou baseada em tempo é recomendada.

A expiração das senhas geralmente resulta em usuários criando senhas simples, ou reutilizando senhas, devido a pressões de tempo ou a necessidade de não interromper o trabalho.

As alterações de senha devem ser solicitadas em casos de evidência de comprometimento de uma conta através de ferramentas como UEBA (User Entity and Behavorial Analytics).

adição de um requisito mínimo de 8 caracteres para senhas geradas pelo usuário e um máximo de 64 caracteres (sem truncamento).

O aumento no número mínimo de caracteres, que antes era de 6, ajuda a prevenir especialmente ataques online.

O comprimento máximo oferece a oportunidade para que os usuários criem frases secretas em vez de senhas. As frases secretas podem ser mais fáceis de memorizar do que senhas que têm requisitos em sua composição. 

adição de um requisito para comparar as senhas do usuário com um dicionário de senhas comumente usadas para bloquear o uso de senhas comprometidas ou fracas.

O uso de um dicionário irá incentivar os usuários a criar senhas mais fortes e exclusivas. Criar dicionários através do uso de recursos como a lista de senhas comprometidas de Burnett de 2015 pode ser uma estratégia útil – no entanto, os dicionários mal elaborados podem ser muito pequenos (ineficazes) ou muito grandes (criando problemas semelhantes ao de regras de composição muito extensas). 

adição de uma recomendação para permitir todos os caracteres imprimíveis e Unicode, bem como espaços.

O uso de todos os caracteres ASCII imprimíveis expande o conjunto de caracteres e alivia os problemas específicos de sites associados à restrição de caracteres especiais;

Permitir espaços torna as frases mais naturais na digitação.

adição de uma recomendação para exibir uma senha em vez de obscurecer a senha com pontos ou asteriscos.  As senhas exibidas devem estar ocultas após um tempo predeterminado.

A capacidade de ver uma senha durante a digitação ajuda a aumentar a precisão, o que melhora a experiência do usuário. Isso é especialmente vantajoso quando se considera o uso de frases secretas mais longas.

Nenhuma alteração nas regras de throttling, mantendo o limite de falhas de autenticação em 100 por um período de 30 dias por conta.  O uso de CAPTCHAs, atrasos ou listas de IP permitidos são aprovados.

Colocar demasiada ênfase em throttling baseado no endereço IP de origem não é eficaz na melhora da segurança, pois os atacantes podem tipicamente tentar a força bruta através de um intervalo amplo de endereços IP.

Principais dicas para uma melhor gestão de identidades digitais

Sua organização considerou as diretrizes do NIST? Em caso negativo, por que não discutir isso agora?

Revise continuamente as diretrizes de práticas recomendadas para determinar sua aplicabilidade em sua organização, seus dados e seus usuários (seus funcionários, seus contratados e seus clientes).

A adoção das diretrizes do NIST não deve ser vista como uma bala de prata. Aqueles que interagem com as credenciais e sistemas de autenticação são seres humanos, afinal, e provavelmente cometerão erros ou violarão regras usando soluções alternativas. Da mesma forma, os invasores continuarão a buscar acesso a segredos memorizados, seja senha, frase secreta, PIN, etc.

Nem todas as senhas/frases secretas devem ser tratadas igualmente.  Algumas são mais importantes do que outras; como a senha do seu laptop, a senha/PIN de bloqueio de tela do seu celular ou as credenciais para acessar a conta de seu gerenciador de senhas.  Proteja os seus dados, ou o *acesso* a esses dados mais importantes com o nível de segurança mais adequado.

Se você adotar senhas ou frases secretas é sensato considerar complementar suas credenciais de login com pelo menos uma autenticação de dois fatores para adicionar "algo que você tem" ao "algo que você sabe".

Conclusão

Os temas abordados acima estimulam e continuarão a estimular o debate e opiniões diversas.  Nem todos irão concordar com as recomendações. Nem todo mundo ajustará seus processos e tecnologias para acomodar as recomendações, e as pessoas envolvidas com sua organização (clientes e funcionários) poderão resistir em adotar e seguir as melhores práticas no curto prazo, ou mesmo no longo prazo.

As organizações devem estar cientes de que os usuários podem procurar o caminho de menor esforço criando frases com um caractere de comprimento maior do que o mínimo exigido, ou voltar a praticar a má ideia de armazenar senhas em um arquivo de texto não criptografado para memorizar as frases, em vez de utilizar a tecnologia de gerenciamento de senhas adequada para ajudá-los. 

Compreender o comportamento dos seus usuários e o que pode motivar as pessoas a adotar as melhores práticas em relação ao uso de senha/frases, e monitorar o comportamento das credenciais dos usuários uma vez autenticadas pode ser o melhor caminho para equilibrar a visão realista com a ideal quando se trata de implementar diretrizes de identidade digital.

Sobre a Forcepoint

A Forcepoint é uma empresa global de cibersegurança centrada no ser humano que transforma as companhias digitais ao adaptar continuamente a resposta de segurança ao risco dinâmico representado por usuários individuais e máquinas. O Human Point System da Forcepoint oferece proteção adaptável aos riscos para garantir o uso confiável de dados e sistemas. Sediada em Austin, Texas, a Forcepoint protege o ponto humano de milhares de clientes corporativos e governamentais em mais de 150 países. www.forcepoint.com

 

Junte-se à Forcepoint nas redes sociais

LinkedIn:https://www.linkedin.com/company/forcepoint
Twitter: https://www.twitter.com/forcepointsec
Facebook: https://www.facebook.com/ForcepointLLC/
Instagram: https://www.instagram.com/forcepoint

Sobre a Forcepoint

A Forcepoint é líder em cibersegurança para proteção de usuários e dados, com a missão de proteger as organizações ao impulsionar o crescimento e a transformação digital. Nossas soluções adaptam-se em tempo real à forma como as pessoas interagem com dados, fornecendo acesso seguro e habilitando os funcionários a criar valor.

Carl Leonard

Principal Security Analyst

Carl Leonard is a Principal Security Analyst within Forcepoint X-Labs. He is responsible for enhancing threat protection and threat monitoring technologies at Forcepoint, in collaboration with the company’s global Labs teams. Focusing on protecting companies against the latest cyberattacks that...

Read more articles by Carl Leonard

Dr. Margaret Cunningham

Principal Research Scientist

Dr. Margaret Cunningham is Principal Research Scientist for Human Behavior within our Global Government and Critical Infrastructure (G2CI) group, focused on establishing a human-centric model for improving cybersecurity. Previously, Cunningham supported technology acquisition, research and...

Read more articles by Dr. Margaret Cunningham