Novas diretrizes do NIST: Repensar a gestão de passwords
O National Institute of Standards and Technology (NIST) emitiu uma nova perspetiva sobre as políticas de gestão de passwords, reconhecendo que muitas das práticas tradicionais utilizadas para garantir a segurança das credenciais de início de sessão já não são eficazes.
As práticas sugeridas a eliminar incluem a não exigência de alterações periódicas das passwords, a redução das restrições aos caracteres especiais e a interrupção da utilização de perguntas de segurança para a recuperação de contas.
Esta mudança de abordagem resulta da constatação de que as credenciais complexas nem sempre garantem a segurança. De facto, a complexidade faz com que os utilizadores optem por passwords previsíveis e fáceis de adivinhar, quer escrevendo-as em locais inacessíveis, quer reutilizando-as em diferentes contas. O NIST ajustou a sua estratégia em conformidade, dando agora prioridade ao comprimento das credenciais. As passwords mais longas são mais difíceis de decifrar através de ataques de força bruta e, muitas vezes, mais fáceis de memorizar sem se tornarem previsíveis.
Credenciais mais simples para uma melhor adoção pelos utilizadores
A recomendação é que os fornecedores de serviços de credenciais (CSPs) devem agora exigir passwords com um mínimo de oito caracteres, embora mencione que o ideal é ter uma com mínimo 15 caracteres.
Estas alterações marcam o início de uma nova mentalidade na gestão de credenciais, em que a simplicidade e a facilidade de utilização têm prioridade sobre a complexidade desnecessária. Em vez de sobrecarregar o utilizador com regras complicadas, o objetivo é reduzir os erros comuns e promover uma segurança mais acessível. Esta nova abordagem destaca a forma como uma boa estratégia de segurança pode complementar uma experiência de utilizador mais simples e eficiente.
Seguindo esta nova mentalidade de simplicidade e eficiência desta gestão, é essencial procurar soluções que reforcem a segurança e minimizem a fricção do utilizador. As passwords, embora continuem a ser um componente fundamental, já não podem servir como única defesa num ambiente em que as ameaças são cada vez mais sofisticadas. Esta mudança de abordagem leva-nos a considerar tecnologias que fornecem uma camada adicional de proteção sem complicar a experiência do utilizador.
Uma dessas tecnologias é a monitorização de credenciais comprometidas. Esta solução identifica quando as passwords ou os dados sensíveis foram expostos na dark web e alerta os administradores ou os utilizadores afetados, permitindo-lhes tomar medidas rápidas, como a alteração imediata das credenciais comprometidas.
A autenticação multifatorial (MFA), por sua vez, acrescenta uma camada adicional de proteção para além das credenciais, combinando métodos de verificação como passwords de uso único, biometria ou notificações push para impedir o acesso não autorizado, mesmo que uma password seja comprometida. As soluções avançadas em MFA permitem a integração com dispositivos móveis, facilitando a verificação segura com um clique e reduzindo as barreiras de acesso sem comprometer a segurança.
Ao combinar passwords, monitorização de credenciais e MFA, a proteção das identidades digitais é significativamente melhorada, tudo isto sem aumentar a complexidade da experiência do utilizador.
O panorama da cibersegurança continua a evoluir para uma abordagem mais prática, em que a proteção das identidades digitais não envolve uma complexidade desnecessária. As novas diretrizes do NIST são um exemplo claro desta mudança. As tecnologias que combinam simplicidade e robustez demonstram que é possível manter elevados padrões de segurança sem afetar a experiência do utilizador. À medida que as ameaças continuam a aumentar, estas soluções serão a chave para garantir que a segurança não se torna um obstáculo e que tanto as empresas como os ind
