O relatório sobre vazamentos de dados de 2023 do site especializado Verizon revela que mais da metade dos crimes contra a identidade tiveram a mesma origem: senhas comprometidas. Esse cenário não passou despercebido pelo Instituto Nacional de Padrões e Tecnologia, mais conhecido como NIST, que não apenas desenvolve padrões e diretrizes para melhorar a tecnologia e a cibersegurança, mas, ao longo dos anos, se tornou um dos principais referenciais no campo da segurança digital.

Recentemente, o instituto compartilhou novas regras para a criação de senhas muito mais robustas e seguras: desde a recomendação de trocar senhas periodicamente até a necessidade de desabilitar a opção de uso de credenciais mais comuns. A seguir, apresentamos as principais diretrizes e recomendações.

Senhas mais longas e sem imposições

Uma das grandes mudanças propostas pelo NIST, em relação aos padrões anteriores, é incentivar o uso de frases como senhas, entendendo que elas são mais fáceis de lembrar.

O NIST recomenda que não seja obrigatório incluir letras maiúsculas, minúsculas, números e caracteres especiais. Isso ocorre porque, embora a combinação de diferentes tipos de caracteres possa aumentar a complexidade de uma senha, ela também pode gerar padrões previsíveis que acabam enfraquecendo a segurança da senha.

Nessa linha, as diretrizes de segurança de senhas atualizadas do NIST (SP-800-63-4) recomendam que os fornecedores de serviços em nuvem e os verificadores exijam senhas com um comprimento mínimo de 8 caracteres, sendo o ideal pelo menos 15 caracteres, e o máximo de 64 caracteres.
Além disso, o NIST também sugere que todos os caracteres ASCII imprimíveis, caracteres Unicode e o espaço possam ser utilizados nas senhas.

Adeus às mudanças periódicas e às perguntas baseadas em conhecimento prévio

Em outro ponto importante de suas novas diretrizes, o NIST sugere não exigir mudanças periódicas obrigatórias de senhas. Isso ocorre porque, quanto maior a frequência com que os usuários são solicitados a trocar suas senhas, mais fracas elas tendem a se tornar. Eles esclarecem que a atualização obrigatória deve ocorrer quando houver evidências de que a credencial foi comprometida.

Além disso, o NIST recomenda eliminar o uso de perguntas baseadas em conhecimento prévio, como o nome de um animal de estimação ou o sobrenome de nossa mãe, como mecanismo de autenticação. O motivo? Simples: essas informações podem ser facilmente obtidas por meio de engenharia social.

Blacklist para senhas fracas e mais comuns

Outra recomendação destacada do NIST é a criação de uma blacklist que inclua senhas fracas e de uso comum, para que não possam ser utilizadas. E, claro, enfatizam a importância de implementar uma camada adicional de segurança, como a autenticação de dois fatores, sempre que possível.

Considerações finais

O NIST divulgou suas novas diretrizes com o objetivo de tornar as senhas mais seguras e robustas, sem comprometer a facilidade de implementação para os usuários. Dessa forma, busca-se evitar que exigências desnecessárias levem à criação de credenciais mais frágeis. Manter-se atualizado com essas orientações é essencial, pois o cenário das ameaças cibernéticas está em constante evolução, representando um risco crescente para nossas informações e sistemas confidenciais.