Untitled 1

EUA definem novas regras para senhas. Confira o que muda para você

Avatar de wellington arruda
O National Institute for Standards and Technology – NIST (Instituto Nacional Para Padronizações e Tecnologias, em tradução livre) está reformulando as diretrizes para políticas de senhas que são utilizadas em serviços online, numa tentativa de patronizar e melhorar a segurança das contas. Aliás, boa parte das novidades é bastante sensata. Confira.
.
Em se tratando de senhas, somos mais previsíveis do que imaginamos.

Senhas. Mesmo que existam mais assuntos polêmicos, as senhas sempre estarão entre os principais. Basta lembrar do caso onde Mark Zuckerberg, CEO do Facebook, que usava a senha “dadada” e, claro, de diversos serviços online que foram hackeados recentemente. Nós até fizemos no Showmetech um post explicando como funcionam os conhecidos tokens, métodos de criptografia e outras tecnologias de segurança. Mesmo assim, a senha mais utilizada em 2016 continua sendo “123456”, sequência que historicamente não garante segurança nenhuma às contas.

E, sim, a grande maioria de nós é péssimo com senhas, tanto que o governo dos EUA já percebeu isto e quer aumentar a segurança dos usuários. O National Institute for Standards and Technology – NIST (Instituto Nacional Para Padronizações e Tecnologias, em tradução livre) está reformulando as diretrizes para políticas de senhas que são utilizadas em todo o país, numa tentativa de patronizar e melhorar a segurança de contas e serviços online. Aliás, boa parte das novidades é bastante sensata.

Essas políticas podem, inclusive, ser encontradas publicação intitulada “Digital Identity Guidelines: Public Comment Period“. Mas não se preocupe em ler um texto tão longo, que a gente resume as principais novidades abaixo:

Principais mudanças nas diretrizes

Iphone emoji
Graças à compatibilidade com o UNICODE, os emojis também serão utilizados nas senhas daqui pra frente.

A primeira premissa é tornar a criação de senhas um processo menos complicado, sem abdicar da segurança. Isso inclui diminuir etapas do processo de uso de uma senha, como verificações “robóticas” desnecessárias, reconfirmações, etc.

Outra coisa bacana: as senhas deverão ficar maiores. E isto é ótimo. De acordo com o NIST, as novas diretrizes citam senhas com um mínimo de 8 caracteres e um máximo de até 64 caracteres. Isto já resolve alguns problemas, mas não é tudo. Os serviços e aplicativos também devem permitir caracteres ASCII imprimíveis (como o “espaço” e acentos, por exemplo), e também devem aceitar os caracteres UNICODE. Para quem não está tão familiarizado, isto basicamente quer dizer que os emojis (sim, eles) também poderão ser utilizados.

Este é um passo importante, de fato. Considerando que as senhas deverão seguir o hash, padrão que deixa as senhas “ilegíveis” no servidor graças a uma série de algorítimos, nós teremos mais segurança e menos restrições sobre o comprimento.

Mais praticidade = senhas mais seguras

Confira se a senha que você usa está nessa lista
Esperando menos vazamentos, as senhas perdem alguns recursos, mas ganham dezenas de outros.

Seguindo as novas regras do NIST, serão eliminadas as demais regras de composição de senhas que, atualmente são definidas por cada site ou serviço online de forma independente. Ou seja, nós não teremos mais regras na composição das senhas. Sabe aquele aviso de “A sua senha precisa ter um caractere maiúsculo, um minúsculo, um número, o nome de pelo menos 12 Pokémon…” e por aí vai? Pois é, chega disto. Além de dar mais liberdade aos usuários para escolherem suas próprias senhas, isto faz com que você não precise decorar sequências esquisitas o tempo inteiro.

Outros três pontos que também merecem menção por aqui:

  • Vamos abandonar as sugestões. Elas ajudam, mas também atrapalham pois alguém pode acabar descobrindo a sua senha.
  • Fim das “perguntas secretas” para autenticações. Como assim vocês querem saber quem era o meu amigo de infância? (www.enov8.com)
  • As senhas não vão mais expirar. Este que vos escreve, pelo menos, esquece das novas senhas com frequência exatamente por ter que mudá-las sempre que algum serviço ou plataforma “pede”.

Ter que refazer uma senha porque um aplicativo específico acredita que ela já é usada há tempo demais nem sempre pode ser uma boa escolha. Com mais liberdade para criar e fazer a manutenção das suas senhas, os usuários deixarão de lado pelo menos algumas destas preocupações na hora de criar as combinações.

Diga adeus a autenticação por SMS e futuro das senhas

Novas regras para senhas eliminam sms na verificação, mas melhoram segurança; confira as mudanças
A remoção do SMS na verificação em duas etapas elimina problemas de segurança.

Uma das maiores alterações no relatório do NIST diz respeito ao tradicional SMS utilizado na autenticação em duas etapas. Ele será dispensado e, acredite, o fato primordial por trás disto é a segurança, que por vezes é negligenciada neste formato. Vários ataques às operadoras  de telefonia acabam dando permissões a usuários com más intenções, fazendo com que esse método seja menos seguro do que se pensa. Então, o NIST acredita ser mais prático remover esta opção para não gerar mais problemas futuramente.

Sabemos que os problemas de vazamentos podem diminuir, o que é extremamente positivo. Em 2016, 32 milhões de contas do Twitter foram divulgadas na internet e, provavelmente, teremos mais casos de vazamentos em 2017. O que o governo espera com estas mudanças é que os usuários se protejam sem ter a desnecessária preocupação com senhas complexas demais. É algo como: “Criem suas senhas de modo consciente. Elas estarão seguras nos servidores, mas não facilitem.

Já vimos inúmeros vazamentos ao longo da história e alguns deles foram bem impactantes, como no caso do Yahoo! no final do ano passado. Neste, em específico, mais de 500 milhões de contas foram vazadas. Vamos torcer para que estas políticas nos ajudem no futuro. E, é claro, seguiremos aprendendo e reinventando as nossas senhas até que um dia a biometria passe a ser implementada com mais aptidão.

Via: Naked Security.

Inscreva-se para receber nossas notícias:

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Posts Relacionados