Senhas, contrassenhas ou “eu vou passar” de acordo com as diretrizes de identidade digital do NIST

Por Carl Leonard e Margaret Cunningham, da Forcepoint

As senhas ou frases secretas memorizadas são definidas como “algo que você sabe” [1], mas é muito comum as pessoas enfrentarem o mesmo problema quando as senhas são solicitadas: “Hum, eu não lembro da minha senha.”

Neste post exploramos o fardo do gerenciamento de senhas no que se refere aos usuários e àqueles que buscam autenticar a identidade digital de um usuário. Em seguida, damos uma olhada de perto nas atualizações das Diretrizes de Identidade Digital propostas pelo órgão americano NIST (National Institute of Standards and Technology), que entre outras sugestões recomenda que as frases secretas substituam as senhas.

[1] NIST SP 800-63B, Sección 5.1.1. https://doi.org/10.6028/NIST.SP.800-63b

O número de senhas que as pessoas precisam lembrar para acessar suas contas e dispositivos tornou-se algo difícil de contar, mas a LastPass publicou recentes descobertas de que as pessoas que usam o serviço de gestão de senhas gerenciam, em média, 191 senhas.  Em 2017, a Pearman et al. utilizou um software de captura de dados para examinar como as pessoas usam senhas em suas vidas reais durante um período de 150 dias. Eles descobriram que as pessoas usavam senhas em uma média de 26 domínios diferentes, com uma relação  média de domínio/senha de 2,39.  Este estudo também mostrou que as pessoas não só reutilizam senhas exatamente iguais, mas também as reutilizam parcialmente (por exemplo, Password123, Pass123!), com aproximadamente 40% dos participantes reutilizando, ou parcialmente reutilizando, de 80 a 90% de suas senhas.

De forma geral, os problemas de segurança associados a senhas continuam desafiadores, pois os usuários continuam a criar e reutilizar senhas facilmente exploradas e fáceis de adivinhar para minimizar a pressão de memorizar tantos “segredos” diferentes.

Em junho de 2017, as Diretrizes de Identidade Digital atualizadas do NIST (NIST SP 800-60-3) introduziram alterações significativas nas recomendações anteriores. A força motriz por trás dessas mudanças foi o foco no usuário, uma vez que a experiência do usuário geralmente dita se as pessoas seguirão as regras ou se eles criarão soluções alternativas que afetem negativamente a segurança.  Considere a frequência com que os usuários podem ter adicionado um ponto de exclamação e um número 1 ao gerar sua nova senha para evitar uma mensagem de aviso informando a sua falta de complexidade.  As mudanças também refletem uma mudança de responsabilidade dos usuários individuais para as empresas e sistemas que verificam as identidades. No entanto, também destacam a necessidade de definir expectativas realistas para a segurança baseada somente em senha, já que muitas contas, domínios e dispositivos estão passando a exigir a autenticação de dois fatores..

Diretrizes de Identidade Digital do NIST – um resumo das alterações

A tabela 1 fornece um resumo de alto nível das alterações, com base na apresentação BSidesLV 2016 do consultor do NIST, Jim Fenton:

 

Descrição Lógica
A remoção dos requisitos relativos à composição das senhas é recomendada.  Isso inclui critérios de composição como “a senha deve incluir letras maiúsculas e minúsculas, 2 dígitos e pelo menos um caractere especial, como $, # ou &.” As regras de composição de senhas criam desafios na experiência do usuário e não fornecem tanto valor quanto o pretendido.

Os usuários criam soluções alternativas (como por exemplo, adicionar “1!” ao final de senhas simples).

É necessário remover as dicas de senha e a autenticação baseada em conhecimento (por exemplo, qual foi a marca do seu primeiro veículo?) O conhecimento de detalhes pessoais associados a dicas ou solicitações de senhas pode estar acessível a alguém que não seja o proprietário da senha, o que enfraquece muito os esforços de autenticação.  Isso fica claro com a popularidade das redes sociais e o exagero nos compartilhamentos.
A remoção da expiração de senha rotineira ou baseada em tempo é recomendada.

 

 

A expiração das senhas geralmente resulta em usuários criando senhas simples, ou reutilizando senhas, devido a pressões de tempo ou a necessidade de não interromper o trabalho.

As alterações de senha devem ser solicitadas em casos de evidência de comprometimento de uma conta através de ferramentas como UEBA (User Entity and Behavorial Analytics).

A adição de um requisito mínimo de 8 caracteres para senhas geradas pelo usuário e um máximo de 64 caracteres (sem truncamento).

 

 

O aumento no número mínimo de caracteres, que antes era de 6, ajuda a prevenir especialmente ataques online.

O comprimento máximo oferece a oportunidade para que os usuários criem frases secretas em vez de senhas. As frases secretas podem ser mais fáceis de memorizar do que senhas que têm requisitos em sua composição.

A adição de um requisito para comparar as senhas do usuário com um dicionário de senhas comumente usadas para bloquear o uso de senhas comprometidas ou fracas.

 

 

O uso de um dicionário irá incentivar os usuários a criar senhas mais fortes e exclusivas. Criar dicionários através do uso de recursos como a lista de senhas comprometidas de Burnett de 2015 pode ser uma estratégia útil – no entanto, os dicionários mal elaborados podem ser muito pequenos (ineficazes) ou muito grandes (criando problemas semelhantes ao de regras de composição muito extensas).
A adição de uma recomendação para permitir todos os caracteres imprimíveis e Unicode, bem como espaços.

 

 

O uso de todos os caracteres ASCII imprimíveis expande o conjunto de caracteres e alivia os problemas específicos de sites associados à restrição de caracteres especiais;

Permitir espaços torna as frases mais naturais na digitação.

A adição de uma recomendação para exibir uma senha em vez de obscurecer a senha com pontos ou asteriscos.  As senhas exibidas devem estar ocultas após um tempo predeterminado.

 

A capacidade de ver uma senha durante a digitação ajuda a aumentar a precisão, o que melhora a experiência do usuário. Isso é especialmente vantajoso quando se considera o uso de frases secretas mais longas.
Nenhuma alteração nas regras de throttling, mantendo o limite de falhas de autenticação em 100 por um período de 30 dias por conta.  O uso de CAPTCHAs, atrasos ou listas de IP permitidos são aprovados.

 

Colocar demasiada ênfase em throttling baseado no endereço IP de origem não é eficaz na melhora da segurança, pois os atacantes podem tipicamente tentar a força bruta através de um intervalo amplo de endereços IP.

 

Principais dicas para uma melhor gestão de identidades digitais

Sua organização considerou as diretrizes do NIST?  Em caso negativo, por que não discutir isso agora?

  • Revise continuamente as diretrizes de práticas recomendadas para determinar sua aplicabilidade em sua organização, seus dados e seus usuários (seus funcionários, seus contratados e seus clientes).
  • A adoção das diretrizes do NIST não deve ser vista como uma bala de prata. Aqueles que interagem com as credenciais e sistemas de autenticação são seres humanos, afinal, e provavelmente cometerão erros ou violarão regras usando soluções alternativas. Da mesma forma, os invasores continuarão a buscar acesso a segredos memorizados, seja senha, frase secreta, PIN, etc.
  • Nem todas as senhas/frases secretas devem ser tratadas igualmente.  Algumas são mais importantes do que outras; como a senha do seu laptop, a senha/PIN de bloqueio de tela do seu celular ou as credenciais para acessar a conta de seu gerenciador de senhas.  Proteja os seus dados, ou o *acesso* a esses dados mais importantes com o nível de segurança mais adequado.
  • Se você adotar senhas ou frases secretas é sensato considerar complementar suas credenciais de login com pelo menos uma autenticação de dois fatores para adicionar “algo que você tem” ao “algo que você sabe”.
Conclusão

Os temas abordados acima estimulam e continuarão a estimular o debate e opiniões diversas.  Nem todos irão concordar com as recomendações. Nem todo mundo ajustará seus processos e tecnologias para acomodar as recomendações, e as pessoas envolvidas com sua organização (clientes e funcionários) poderão resistir em adotar e seguir as melhores práticas no curto prazo, ou mesmo no longo prazo.

As organizações devem estar cientes de que os usuários podem procurar o caminho de menor esforço criando frases com um caractere de comprimento maior do que o mínimo exigido, ou voltar a praticar a má ideia de armazenar senhas em um arquivo de texto não criptografado para memorizar as frases, em vez de utilizar a tecnologia de gerenciamento de senhas adequada para ajudá-los.

Compreender o comportamento dos seus usuários e o que pode motivar as pessoas a adotar as melhores práticas em relação ao uso de senha/frases, e monitorar o comportamento das credenciais dos usuários uma vez autenticadas pode ser o melhor caminho para equilibrar a visão realista com a ideal quando se trata de implementar diretrizes de identidade digital.

LEAVE A REPLY

Please enter your comment!
Please enter your name here