Sean Deuby

Com base na investigação recolhida a partir de literalmente milhares de milhões de tentativas de início de sessão no seu serviço de nuvem Azure, a Microsoft actualiza as suas recomendações de palavras-passe - e elimina várias práticas recomendadas de longa data da indústria.

A Microsoft publicou recentemente um livro branco, "Orientação para palavras-passe da Microsoft" que explica as suas novas orientações sobre palavras-passe, com base na enorme quantidade de dados que estão a recolher no início de sessão do Azure AD. (Eles vêem mais de 10 milhões de ataques de nome de utilizador/palavra-passe todos os dias.) Alguns destes dados são o que se poderia pensar... mas outros desafiam a sabedoria convencional das palavras-passe.

A autora (Robyn Hicock, da equipa de protecção de identidade da Microsoft, com uma longa lista de colaboradores dos seus colegas de equipa, da Microsoft Research e da Microsoft IT) afirma que as práticas de palavras-passe há muito utilizadas caem por terra face aos modernos ataques orientados para as credenciais. Além disso, algumas destas políticas aumentam a facilidade com que as palavras-passe podem ser comprometidas e, por isso, devem ser alteradas ou abandonadas.

A Microsoft recomenda sete acções para fornecer a máxima protecção de identidade baseada em palavras-passe:

  • Manter um requisito de comprimento mínimo de 8 caracteres (e mais longo não é necessariamente melhor).
  • Eliminar os requisitos de composição de caracteres.
  • Eliminar as reinicializações periódicas obrigatórias da palavra-passe para as contas de utilizador.
  • Banir as palavras-passe comuns, para manter as palavras-passe mais vulneráveis fora do seu sistema.
  • Instrua os seus utilizadores a não reutilizarem a sua palavra-passe para fins não relacionados com o trabalho.
  • Impor o registo para autenticação multi-factor.
  • Permitir desafios de autenticação multi-factor baseados no risco.

Vejamos as recomendações mais invulgares que afectam directamente a forma como uma organização pode definir a sua política de palavras-passe de domínio.

Eliminar antipadrões

Manter um requisito de comprimento mínimo de 8 caracteres. A Microsoft Research descobriu que as palavras-passe longas e complexas da Web são um fardo para os utilizadores (o que não é de admirar), mas que a sua eficácia é limitada por várias razões. A força da palavra-passe é irrelevante se o utilizador for apanhado num ataque de phishing e a fornecer, ou se tiver malware de keylogger no seu sistema. Estes são os ataques mais comuns, de acordo com os autores. A palavra-passe só precisa de ser suficientemente forte para resistir a uma regra de bloqueio do tipo "three strikes". Note-se que, embora este estudo se refira a palavras-passe da Web, não há razão para que não se aplique também a palavras-passe do Active Directory (e à sua própria política de bloqueio).

Eliminar os requisitos de composição de caracteres. Esta é uma boa ideia em abstracto, mas a Microsoft e outros (Bruce Schneier(Bruce Schneier, por exemplo) descobriram que, quando confrontadas com requisitos de complexidade de senhas, as pessoas caem em alguns padrões reconhecíveis que os programas de cracking de senhas exploram. Por exemplo, verifica-se que uma palavra-passe típica consiste numa raiz que é normalmente algo pronunciável mais um sufixo, como um número. E sim, eles sabem que está a usar "$" para "s", "!" para "i", etc!

Eliminar a obrigatoriedade de reposição periódica da palavra-passe das contas de utilizador. As alterações periódicas da palavra-passe, mais uma vez uma boa ideia em princípio, falham quando são analisadas pelo cérebro humano. Porquê? Porque as pessoas tendem a criar a sua nova palavra-passe com base na anterior, de uma forma muito previsível. Além disso, uma vez que os criminosos utilizam as palavras-passe assim que as comprometem, não há qualquer vantagem na contenção (ou seja, os avisos "Fomos comprometidos; por favor, altere a sua palavra-passe para evitar que a sua conta seja pirateada" são demasiado tardios).

O conselho actualizado de Schneier e da Microsoft é que, a menos que pense que a sua palavra-passe pode estar comprometida, não a altere. Eu alteraria esta recomendação para dizer que reforce as suas palavras-passe ao longo do tempo, mas não tente controlá-las você mesmo: faça uma vénia aos nossos mestres robóticos e utilize um utilitário como o LastPass para gerar palavras-passe longas, complexas e não memorizáveis e armazená-las no seu cofre encriptado. Assim, só precisa de se lembrar de uma palavra-passe complexa - a palavra-passe mestra do seu cofre. Depois de ceder a gestão a um utilitário deste tipo, é realmente bastante libertador; pode criar instantaneamente uma palavra-passe de 18 caracteres como "wO2AECJ^OZhbXwY#0Y" para um site e ter a certeza de que é praticamente indecifrável.

Aplicar padrões de sucesso

Banir as palavras-passe comuns. A Microsoft acredita que o passo mais importante que pode dar para a segurança é banir uma lista de palavras-passe fracas conhecidas (por exemplo, abcdefg, passw0rd, etc.) do seu sistema para o reforçar contra ataques de força bruta. A Microsoft descobriu que banir estas palavras-passe (o que faz para o Azure AD) é altamente eficaz na remoção de palavras-passe fracas do sistema.

Se está a ler isto numa empresa tradicional, deve estar a pensar: "Isto é tudo muito bonito, mas como é que implemento uma política destas no meu ambiente Active Directory local?" Se é um utilizador do AD como eu, sabe que isto requer um filtro de palavras-passe personalizado que tem de ser instalado em todos os controladores de domínio do AD, e a Microsoft não fornece capacidades de proibição de palavras-passe prontas a utilizar.

Existem produtos de terceiros, tais como Anixis Password Policy Enforcer ou nFront Password Filter que fornecem essa capacidade. A Microsoft está a trabalhar no seu próprio suporte para esta capacidade; no seu feed do twitter, a autora diz "Temos algo em preparação para isto. Fique ligado", mas é claro que não há como saber quando esse recurso estará disponível. Como esse recurso precisaria ser integrado ao Active Directory do Windows Server, o tempo que levará depende de como o recurso será implementado. Se fizer parte do Active Directory, o tempo para ser profundamente integrado no Windows Server 2016 já passou - o que significa uma espera de dois anos até que a próxima versão do Windows Server seja lançada. Um filtro de senha atualizado (passfilt.dll) pode ser disponibilizado como um download a qualquer momento.

Ensine os seus utilizadores a não reutilizarem a sua palavra-passe para fins não relacionados com o trabalho. Não é difícil supor que, uma vez que um utilizador tenha escolhido o que considera uma boa palavra-passe para o trabalho, a utilizaria novamente para outros sítios. Infelizmente, trata-se de uma prática tão comum que os criminosos tentam sempre utilizar credenciais comprometidas em muitos sítios; a Microsoft vê 12 milhões de credenciais com fugas de informação (a Microsoft mantém uma grande lista de credenciais comprometidas) testadas diariamente nos seus sistemas.

Este é um padrão muito difícil de aplicar, porque só é possível fazê-lo através da educação dos utilizadores. E é uma batalha difícil, porque torna as coisas mais difíceis para os utilizadores.

Impor o registo para autenticação multi-factor. A autenticação multifactor (MFA) está a ser rapidamente adoptada por empresas e grandes fornecedores de SaaS. Ter um segundo conjunto de informações de segurança (como um endereço de correio electrónico alternativo ou um número de telemóvel) que pode ser verificado fora da banda melhora drasticamente a segurança. Active a MFA sempre que puder! Sim, pode ser um pequeno incómodo - mas é de longe menos incómodo do que uma conta comprometida.

Activar desafios de autenticação multi-factor baseados no risco. Este padrão leva a MFA para o nível seguinte, accionando uma solicitação de MFA quando é detectada actividade suspeita (como um endereço IP geograficamente diferente daquele com que o utilizador iniciou sessão anteriormente). Isto requer, obviamente, que a capacidade esteja disponível no seu sistema de segurança de início de sessão.

Tenha em atenção que, se a sua empresa tiver requisitos de conformidade, poderá não ser possível implementar algumas ou todas estas sugestões. No entanto, é sempre bom estar a par do que está a acontecer no mundo real. E não há mundo mais real do que os dados de um local com 10 milhões de ataques por dia.