Na sequência das recomendações actualizadas da Microsoft para as palavras-passe, o National Institute for Standards and Technology (NIST) publicou as suas próprias directrizes actualizadas para as palavras-passe. Estas recomendações são paralelas a muitas das recomendações da Microsoft, o que lhes confere uma credibilidade extra; em algumas áreas, vão mais longe. Quando dois grandes influenciadores da indústria da segurança chegam, de forma independente, a conclusões tão semelhantes, é um forte sinal de que as empresas devem analisar cuidadosamente as suas políticas de palavras-passe - tanto para os seus sistemas internos como para os seus serviços externos que têm um armazenamento de identidade.
Porque é que o documento do NIST é importante
O que é esta nova publicação do NIST? O SP 800-63-3 intitula-se "Digital Authentication Guideline" (Directrizes de autenticação digital) e define requisitos para satisfazer quatro níveis de garantia (LOAs - o grau em que se tem a certeza de que uma entidade é o que ou quem afirma ser). Um dos documentos, o SP 600-63-3B, intitula-se "Authentication & Lifecycle Management" (Autenticação e gestão do ciclo de vida) e centra-se na orientação para palavras-passe.
Porque é que este documento é tão importante? Uma das muitas funções do NIST é fornecer directrizes para o sector público, ou seja, para todas as aplicações do governo federal. Muitas das directrizes são apenas recomendações, mas algumas delas são requisitos que todas as aplicações devem seguir. Trata-se de um amplo alcance de influência - mas é ainda mais amplo do que isso, porque muitas outras indústrias e empresas seguem estas directrizes.
Vejamos as recomendações do NIST, como se comparam com as recomendações da Microsoft e onde o NIST vai mais longe. Um tema comum em ambos os conjuntos de recomendações é uma maior facilidade de utilização, especialmente quando as recomendações melhoram a segurança ou quando as políticas existentes não são amigáveis e não a melhoram. A investigação demonstrou que quanto mais rígidas forem as políticas de palavras-passe, maior é a probabilidade de os utilizadores fazerem batota ou utilizarem um método previsível (1, 2, etc.) que é facilmente pirateado.
O NIST incentiva a utilização de frases-passe fáceis de memorizar
O NIST exige agora um mínimo de 8 caracteres, o que não é radical, mas também exige agora um máximo de 64 caracteres para incentivar as frases-passe. Este é um dos temas do documento: reforçar os sistemas para que possam lidar com palavras-passe mais fortes de uma forma que seja mais fácil para o utilizador lembrar-se. Por outras palavras, colocar o ónus nos sistemas - não nos utilizadores. Juntamente com a Microsoft, também recomendam um dicionário de palavras-passe comuns que pode ser utilizado para não permitir palavras-passe fracas (por exemplo, "passw0rd!") quando o utilizador as tenta definir.
Outro requisito que todos ficaremos satisfeitos em ver é a permissão de espaços, todos os caracteres ASCII e até potencialmente caracteres Unicode (como emoji) nas palavras-passe. Conseguem imaginar a utilização de emojis nas vossas palavras-passe? Alguém tem de me mostrar alguns atalhos de teclado antes de eu tentar fazer isso! Os espaços podem causar problemas porque é difícil distinguir um ou dois espaços, mas isso é um pouco mais fácil com outra nova recomendação de que o utilizador possa mostrar a palavra-passe que introduziu, desde que esta se esconda novamente após um determinado período de tempo. Temos visto esta capacidade a tornar-se mais comum, e fico contente por isso.
Parar de expirar as palavras-passe
Tanto a Microsoft como o NIST abordam a expiração de palavras-passe e ambos recomendam que as palavras-passe não devem ser expiradas arbitrariamente após um determinado intervalo, a menos que haja provas de comprometimento. Em contraste com os sistemas de identidade locais, como o Active Directory, a maioria dos sítios Web sempre seguiu esta regra. No entanto, não estou a dar-lhes crédito por serem inovadores nas suas políticas de palavras-passe; apenas não queriam os problemas que a expiração de palavras-passe causaria aos seus serviços de assistência e aos seus clientes.
O NIST está a rejeitar a autenticação baseada no conhecimento (dicas) que pode ser descoberta, ou forçada por um atacante. Sejamos realistas, a maioria dos bandidos já sabe o nome de solteira da sua mãe. Também recomendam a não utilização de regras de composição porque é demasiado difícil para o utilizador e não oferecem tanta segurança como se pensava inicialmente.
É altura de começar a afastar-se dos SMS
Uma grande mudança, e que causou muitos comentários, é a depreciação ("não vamos rejeitá-la já, mas não vamos melhorá-la mais") da utilização de SMS como segundo factor de autenticação. E rejeita liminarmente a utilização de um número VoIP (por exemplo, Google Voice) para a autenticação por SMS porque não é realmente um segundo factor: não é algo que se tenha. A sua preocupação com o SMS em geral é que o serviço não é tão seguro como deveria ser, porque não foi concebido para este tipo de utilização. Os criminosos criaram malware que pode redireccionar as mensagens SMS, e a troca de SIM permite que um criminoso sequestre as mensagens de um utilizador.
Infelizmente, se estiver numa indústria que tem de seguir políticas de conformidade, como a HIPAA, não pode simplesmente implementar estas novas recomendações nos casos em que estas não estão de acordo com as políticas. Terá de esperar, possivelmente anos, até que as políticas estejam à altura das recomendações.
Não concorda com alguma destas novas directrizes? Trata-se de um projecto de especificação e o NIST encoraja vivamente a participação e o feedback no Github.
