Total de visualizações de página

domingo, 28 de abril de 2019

Microsoft irá abandonar exigência de alteração periódica de senhas

= =---____---------   ---------________::_____   _____= =..= = =..= =..= = =____   _____::__________---------   -----------____---= =

Regras da fabricante servem de base em auditorias de empresas e mudança pode favorecer práticas mais efetivas em companhias que adotam a prática.
= =---____---------   ---------________::_____   _____= =..= = =..= =..= = =____   _____::__________---------   -----------____---= =

Por Altieres Rohr
É fundador de um site especializado na defesa contra ataques cibernéticos

Postado em 28 de abril de 2019 às 17h00m 
GIPOPE - GARIBA'S Logística for 2012 - 2013
Recomendação da Microsoft exigia troca de senha a cada 60 dias para empresas. — Foto:  linusb4/Freeimages.com 
Recomendação da Microsoft exigia troca de senha a cada 60 dias para empresas. — Foto: linusb4/Freeimages.com

A Microsoft anunciou algumas modificações para a sua linha de base de segurança do Windows, uma norma que norteia as políticas sugeridas e suas respectivas configurações para redes Windows.

Entre as novidades está uma mudança drástica na questão de alterações periódicas da senha: em vez de exigir a troca de senhas a cada 60 dias, a nova norma abandona completamente a necessidade de trocas periódicas.

Essas recomendações são utilizadas por empresas para decidir estratégias e políticas internas de segurança. Algumas dessas recomendações trazem uma configuração correspondente no Windows, permitindo que o próprio sistema se encarregue de garantir o cumprimento da norma.

Em uma publicação no blog oficial de recomendações de segurança, a Microsoft explica que a alteração periódica de senha é uma prática antiga que, por acaso, pode ser observada com um simples ajuste de configuração.

No entanto, há outros métodos mais efetivos para garantir a segurança da autenticação — como o uso de autenticação de duas etapas e proibição de senhas fracas e comuns.

Uma empresa que adotou todas essas práticas, mas que não exige a troca periódica de suas senhas, poderia ser penalizada por auditores que verificam o cumprimento das normas recomendadas pela Microsoft. Essas outras práticas não podem ser configuradas nas políticas do próprio Windows, então não aparecem nas recomendações específicas da Microsoft para os ajustes do sistema.

As exigências de complexidade, tamanho mínimo e histórico de senhas (que proíbe a reutilização de senhas anteriores) não serão modificadas.

Por que trocar uma senha periodicamente?
O objetivo da troca periódica de senha é expulsar um invasor que já obteve a senha.
Se um hacker obtiver acesso ao e-mail de um funcionário após conseguir a senha dele, a troca periódica vai bloquear os acessos futuros desse hacker.

O problema com essa mentalidade — como explica a própria publicação da Microsoft — é que até uma empresa que segue a recomendação e exige a troca ainda poderia ficar exposta pelos 60 dias até a troca. O ideal, nesses casos, é que a invasão seja detectada e a troca realizada imediatamente.
Uma empresa com boas práticas de segurança acaba ganhando muito pouco com trocas periódicas, mas funcionários perdem muito tempo gerando combinações novas e lidando com senhas esquecidas.
Segundo a Microsoft, estudos científicos recentes deixam dúvidas sobre possíveis ganhos obtidos com trocas regulares de senhas. Esse argumento já vem sendo levantado por especialistas da área há alguns anos, e o instituto que define as normas técnicas para os Estados Unidos (NIST) também removeu a exigência de trocas periódicas, passando a recomendar trocas apenas após atividades fraudulentas.

Embora as recomendações da Microsoft sejam voltadas a empresas, elas também acabam valendo para outros serviços, inclusive no mundo on-line.

Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com

Nenhum comentário:

Postar um comentário