CG One

Blog CG One

Insights valiosos para ajudar a proteger o seu negócio.

Novas diretrizes de senha do NIST: saiba como criar senhas fortes

A segurança de senhas é um dos pilares fundamentais para a proteção de dados e a privacidade online. No entanto, as práticas tradicionais de criação e gerenciamento de senhas muitas vezes se mostram ineficazes ou até mesmo contraproducentes.  

Em resposta a esses desafios, o National Institute of Standards and Technology (NIST), uma das principais autoridades em padrões de segurança cibernética, revisou suas diretrizes para senhas. O objetivo? Criar um equilíbrio entre segurança robusta e usabilidade prática.  

Neste artigo, exploramos as novas recomendações do NIST e como elas estão moldando o futuro da autenticação digital.  

O problema com as práticas tradicionais de senhas

Por anos, as políticas de senhas foram dominadas por regras rígidas: “Use letras maiúsculas, números e caracteres especiais”, “Altere sua senha a cada 90 dias”, “Não reutilize senhas”. Embora bem-intencionadas, essas práticas frequentemente levaram a comportamentos inseguros, como: 

  • Senhas difíceis de lembrar: a complexidade excessiva fazia com que os usuários anotassem senhas ou as reutilizassem em várias contas. 
  • Senhas previsíveis: para atender aos requisitos, muitos escolhiam padrões previsíveis, como “Senha123!” ou “Abcdef1!”. 
  • Fadiga do usuário: a necessidade de alterar senhas regularmente resultava em pequenas modificações (como “Senha1”, “Senha2”), que eram fáceis de adivinhar. 

Esses problemas, combinados com o aumento de vazamentos de dados e ataques cibernéticos, destacaram a necessidade de uma abordagem mais inteligente e eficaz. 

As novas diretrizes de senha do NIST: equilibrando segurança e usabilidade

O NIST revisou suas recomendações no documento SP 800-63B, que trata de diretrizes para autenticação digital. As novas regras são baseadas em pesquisas e análises de comportamento do usuário, focando em práticas que realmente melhoram a segurança sem sacrificar a usabilidade. Aqui estão os principais pontos:

1. Senhas longas são mais seguras do que combinações complexas de caracteres

Senhas longas e fáceis de lembrar, como frases ou combinações de palavras, são preferíveis a sequências complexas e difíceis. Portanto, uma senha deve ter pelo menos 8 caracteres e, de preferência, 15 caracteres. 

2. Use gerenciadores de senha

De acordo com as novas diretrizes, utilizar um gerenciador de senha para criar e armazenar senhas únicas e complexas para cada conta é uma ótima escolha. 

Essas ferramentas ajudam a reduzir a reutilização de senhas e simplificam o gerenciamento de credenciais. Estudos revelaram que o comportamento do usuário desempenha um papel significativo na segurança de senhas.  

Muitas pessoas reciclam senhas fracas, em vez de criar novas senhas que sigam as diretrizes de segurança. Ou seja, reduzir o erro humano é essencial. Os gerenciadores de senhas geram automaticamente combinações fortes e seguras, poupando você do esforço e da preocupação de criá-las manualmente. 

3. Não altere senhas com frequência 

A menos que haja suspeita de comprometimento, exigir que os usuários alterem suas senhas regularmente (como a cada 90 dias) não é mais uma boa ideia, já que isso tende a levar à criação de senhas mais fracas. 

Agora, o NIST sugere redefinições periódicas de senhas apenas quando houver um motivo válido, como um pedido do próprio usuário, evidências concretas de acesso não autorizado ou vazamentos de dados.  

4. Autenticação multifator para todos os usuários

O NIST reforça a importância da autenticação multifator, que combina algo que o usuário sabe (senha) com algo que ele tem (como um token ou código enviado ao celular) ou algo que ele é (biometria). O MFA adiciona uma camada extra de segurança, mesmo que a senha seja comprometida.

5. Explique por que uma senha foi rejeitada

Quando um usuário tenta criar uma senha que não atende aos padrões de segurança, é importante explicar qual regra ela viola.  

Uma opção para fazer isso é utilizar verificadores de robustez de senha. Essas ferramentas indicam aos usuários o nível de segurança da senha escolhida, destacando se ela é forte ou vulnerável. 

Outra estratégia é restringir o número de tentativas de inserção da senha. Isso impede que hackers realizem tentativas ilimitadas de adivinhação. 

Também é recomendável permitir que os usuários visualizem a senha enquanto a digitam, em vez de ocultá-la com pontos ou asteriscos. Essa prática ajuda a identificar e corrigir eventuais erros de digitação, tornando o processo mais eficiente e menos frustrante. 

6. Sem regras estranhas de senha

Regras como “use letras maiúsculas, números e caracteres especiais” não são mais recomendadas. Esses requisitos não aumentam significativamente a segurança e muitas vezes levam a padrões previsíveis. O foco agora está em evitar senhas comuns e fáceis de adivinhar.

Por que essas mudanças são importantes?

As novas diretrizes do NIST representam uma mudança de paradigma na segurança cibernética. Em vez de impor regras rígidas que frequentemente frustram os usuários, o foco agora está em práticas que realmente aprimoram a segurança, como: 

  • Maior adoção de boas práticas: senhas mais fáceis de lembrar e a eliminação de regras excessivamente complexas incentivam os usuários a adotar comportamentos mais seguros. 
  • Redução de riscos: a verificação contra senhas vazadas e a implementação de autenticação multifator (MFA) reduzem de forma significativa o risco de ataques cibernéticos. 
  • Foco na usabilidade: ao remover barreiras desnecessárias, as novas diretrizes tornam a segurança mais acessível, prática e menos intrusiva para os usuários. 

As novas diretrizes do NIST para senhas representam um avanço significativo na segurança cibernética. Ao priorizar a usabilidade e promover práticas baseadas em evidências, essas recomendações contribuem para a construção de um ambiente digital mais seguro, eficiente e acessível para todos. 

Para organizações e indivíduos, adotar essas recomendações não é apenas uma questão de conformidade, mas uma oportunidade de fortalecer a proteção contra ameaças cibernéticas cada vez mais sofisticadas. No fim, a segurança de senhas não precisa ser complicada — ela precisa ser inteligente. 

Sua empresa é madura em relação ao NIST® Cybersecurity Framework 2.0?

Descubra agora com o assessment gratuito da CG One! 

Nosso assessment é uma ferramenta poderosa e gratuita para avaliar seu nível de proteção contra ameaças digitais, comparando suas práticas atuais com as diretrizes das 6 frentes do framework: identificar, proteger, detectar, responder, recuperar e governar. 

Preencha agora e receba um diagnóstico personalizado com o nível de maturidade da sua empresa em relação ao NIST.  

  

Acesse também nossas redes sociais: 

Leia outros artigos