Diversas pesquisas estão sendo desenvolvidas com o objetivo de identificar alternativas às senhas, que embora sejam amplamente utilizadas como informação de autenticação, oferecem um nível de proteção aquém do desejado para fazer frente as inúmeras ameaças existentes. Algumas dessas pesquisas indicam que as ondas cerebrais podem, em um futuro próximo, substituir as senhas. Nesse caso bastaria pensar para desbloquear o smartphone, acessar aplicativos ou mesmo os sistemas de informação da sua empresa.
Enquanto não podemos contar com alternativas como essa, temos que conviver com as senhas e, portanto, é melhor que o façamos com inteligência e responsabilidade. Recentemente o United States National Institute for Standards and Technology (NIST) atualizou as diretrizes para o gerenciamento de senhas (SP 800-63). Entre as principais orientações estão:
- Permita que os usuários escolham as suas senhas sem a rigidez de regras como: “utilize pelo menos 2 caracteres especiais, 4 letras maiúsculas, duas minúsculas e 5 números”. Estimule os usuários a utilizar sentenças mais longas, frases que tenham um sentido individual;
- Evite implementar mecanismos de lembrete ou de recuperação de senhas como aqueles que solicitam aos usuários para responder questões como: nome da mãe, idade do filho, time do coração ou nome do cachorro – todas informações facilmente descobertas via redes sociais;
- Não troque a senha periodicamente, pelo menos não de forma desnecessária, ou seja, se a senha é forte porque trocar a cada 3 meses? Esse tipo de política fragiliza o controle, pois faz com que o usuário opte por padrões mais simples ou anote a senha por aí.
Outras recomendações do NIST apontam para cuidados com o armazenamento das senhas (pois de nada adianta armazenar uma senha forte em texto claro), uso de todos os caracteres ASCII, isso inclui espaços e os caracteres UNICODE, tais como emojis – símbolos que representam uma ideia, palavra ou frase completa, 👍.
Ao revisar a política e os procedimentos para gestão de senhas é recomendado que as organizações considerem a utilização de tokens, armazenamento seguro, uso de autenticação baseada em dois fatores, e demais controles disponíveis. Por exemplo, a implementação de mecanismos de Single Sign On (SSO); que embora melhorem a eficácia das senhas, podem resultar no aumento do impacto de um vazamento dessas informações, uma vez que o usuário utiliza uma única senha para acesso a diversos sistemas.
Por fim, não negligencie a importância de uma análise periódica como o objetivo de verificar a qualidade das senhas, testes que contemplem diferentes métodos e técnicas podem surpreender tanto pelo percentual de senhas identificadas quanto pela (falta) de criatividade dos usuários ao definir as suas senhas, que muitas vezes são utilizadas tanto para fins pessoais quanto profissionais – algo a ser evitado.
* Leonardo Lemes Fagundes, CEO da Defenda Business Protection Services & Solutions
