book_icon

Forcepoint analisa senhas de acordo com as Diretrizes de Identidade Digital do NIST

Análise do comportamento dos usuários para cadastro de senhas identificou problemas de segurança associados aos registros
Forcepoint analisa senhas de acordo com as Diretrizes de Identidade Digital do NIST

A Forcepoint, por meio de Carl Leonard, analista de segurança, e Margareth Cunningham, cientista de pesquisas de comportamento humano, analisou de forma lógica as atualizações nas Diretrizes de Identidade Digital propostas pelo órgão americano NIST (National Institute of Standards and Technology), que entre outras sugestões recomenda que as frases secretas substituam as senhas. As senhas ou frases secretas memorizadas são definidas como “algo que você sabe”, mas é muito comum as pessoas enfrentarem o mesmo problema quando as senhas são solicitadas: “Hum, eu não lembro da minha senha”.

O número de senhas que as pessoas precisam lembrar para acessar suas contas e dispositivos tornou-se algo difícil de contar. A LastPass publicou recentes descobertas de que as pessoas que usam o serviço de gestão de senhas analisam, em média, 191 senhas.  Em 2017, a Pearman et al. utilizou um software de captura de dados para examinar como as pessoas usam as senhas em suas vidas reais durante um período de 150 dias. Eles descobriram que as pessoas utilizavam senhas em uma média de 26 domínios diferentes, com uma relação  média de domínio/senha de 2,39.  Este estudo também mostrou que as pessoas não só reutilizam senhas exatamente iguais para diversos serviços, mas também as reutilizam parcialmente (por exemplo, senhas muito fáceis como Password123, Pass123!) e, ainda, aproximadamente 40% dos participantes as reutilizam para diversas aplicações e de 80% a 90% reuntizando as mesmas senhas.

De forma geral, os problemas de segurança associados a senhas continuam desafiadores, pois os usuários continuam a criar e reutilizar senhas facilmente exploradas e fáceis de adivinhar, apenas para minimizar a pressão de memorizar tantos “segredos” diferentes.

Em junho de 2017, as Diretrizes de Identidade Digital atualizadas do NIST SP 800-60-3 introduziram alterações significativas nas recomendações anteriores. A força motriz por trás dessas mudanças foi o foco no usuário, uma vez que a experiência do usuário geralmente dita se as pessoas seguirão as regras ou se criarão soluções alternativas que afetem negativamente a segurança.  Vale considerar a frequência com que os usuários podem ter adicionado um ponto de exclamação e um número 1 ao gerar sua nova senha, para evitar que mensagem de aviso informando a sua falta de complexidade. As alterações também refletem uma mudança de responsabilidade dos usuários individuais para as empresas e sistemas que verificam as identidades. No entanto, também destacam a necessidade de definir expectativas realistas para a segurança baseada somente em senha, já que muitas contas, domínios e dispositivos estão passando a exigir a autenticação de dois fatores.

Dicas da Forcepoint para uma melhor gestão de identidades digitais

Sua organização considerou as diretrizes do NIST?  Em caso negativo, por que não discutir isso agora?

  • Revise continuamente as diretrizes de práticas recomendadas para determinar sua aplicabilidade em sua organização, seus dados e seus usuários (seus funcionários, seus colaboradores e seus clientes).
  • A adoção das diretrizes do NIST não deve ser vista como uma bala de prata. Aqueles que interagem com as credenciais e sistemas de autenticação são seres humanos, afinal, e provavelmente cometerão erros ou violarão regras usando soluções alternativas. Da mesma forma, os invasores continuarão a buscar acesso a segredos memorizados, seja senha, frase secreta, PIN, etc.
  • Nem todas as senhas/frases secretas devem ser tratadas igualmente.  Algumas são mais importantes do que outras; como a senha do seu laptop, a senha/PIN de bloqueio de tela do seu celular ou as credenciais para acessar a conta de seu gerenciador de senhas.  Proteja os seus dados, ou o *acesso* a esses dados mais importantes com o nível de segurança mais adequado.
  • Se você adotar senhas ou frases secretas é sensato considerar complementar suas credenciais de login com pelo menos uma autenticação de dois fatores para adicionar “algo que você tem” ao “algo que você sabe”.

Estes temas estimulam e continuarão estimulando o debate e opiniões diversas.  Nem todos irão concordar com as recomendações. Nem todo mundo ajustará seus processos e tecnologias para acomodar as recomendações e as pessoas envolvidas em uma organização (clientes e funcionários) poderão resistir em adotar e seguir as melhores práticas em curto prazo, ou mesmo em longo prazo.

As organizações devem estar cientes de que os usuários podem procurar o caminho de menor esforço criando frases com um caractere de comprimento maior do que o mínimo exigido, ou voltar a praticar a má ideia de armazenar senhas em um arquivo de texto não criptografado para memorizar as frases, em vez de utilizar a tecnologia de gerenciamento de senhas adequada para ajudá-las.

Compreender o comportamento dos seus usuários e o que pode motivar as pessoas a adotar as melhores práticas em relação ao uso de senha/frases, e monitorar o comportamento das credenciais dos usuários uma vez autenticadas pode ser o melhor caminho para equilibrar a visão realista com a ideal quando se trata de implementar diretrizes de identidade digital.

Serviço
Information Security ou Descobertas Recentes LastPass

As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.