Skip to content
senha do NIST

Quais são as diretrizes de senha do NIST?

Diretrizes de senha do NIST e segurança cibernética: fortaleça o gerenciamento de identidades digitais com as recomendações de conformidade

Desde 2014, o Instituto Nacional de Padrões e Tecnologia (NIST), uma agência federal dos EUA, emitiu diretrizes para o gerenciamento de identidades digitais por meio da Publicação Especial 800-63B. A revisão mais recente (rev. 3) foi lançada em 2017 e foi atualizada em 2020. A revisão 4 foi disponibilizada para comentários e revisões; no entanto, a revisão 3 ainda é o padrão no momento desta postagem do blog.

A Seção 5.1.1 – Segredos memorizados fornece recomendações para requisitos sobre como os usuários podem criar novas senhas ou fazer alterações de senha, incluindo diretrizes sobre questões como a força da senha. A Publicação Especial 800-63B também abrange verificadores (software, sites, serviços de diretório de rede, etc.) que validam e manipulam senhas durante a autenticação e outros processos.

Nem todas as organizações devem aderir às diretrizes do NIST. No entanto, muitos seguem as recomendações de política de senha do NIST, mesmo que não sejam necessárias, porque fornecem uma boa base para um gerenciamento sólido de identidade digital. De fato, a segurança de senha forte ajuda as empresas a bloquear muitos ataques de segurança cibernética, incluindo hackers, ataques de força bruta, como preenchimento de credenciais e ataques de dicionário. Além disso, reduzir os riscos de segurança relacionados à identidade ajuda as organizações a garantir a conformidade com uma ampla gama de regulamentações, como HIPAA, FISMA e SOX.

Lista rápida de diretrizes de senha do NIST

  • As senhas geradas pelo usuário devem ter pelo menos 8 caracteres.
  • As senhas geradas por máquina devem ter pelo menos 6 caracteres.
  • Os usuários devem ser capazes de criar senhas com pelo menos 64 caracteres.
  • Todos os caracteres ASCII/Unicode devem ser permitidos, incluindo emojis e espaços.
  • As senhas armazenadas devem ter hash e salt, e nunca truncadas.
  • As senhas em potencial devem ser comparadas com os bancos de dados de violação de senha e rejeitadas se houver correspondência.
  • As senhas não devem expirar.
  • Os usuários devem ser impedidos de usar caracteres sequenciais (por exemplo, “1234”) ou caracteres repetidos (por exemplo, “aaaa”).
  • A autenticação de dois fatores (2FA) não deve usar SMS para códigos.
  • A autenticação baseada em conhecimento (KBA), como “Qual era o nome do seu primeiro animal de estimação?”, não deve ser usada.
  • Os usuários devem ter permissão para 10 tentativas de senha com falha antes de serem bloqueados em um sistema ou serviço.
  • As senhas não devem ter dicas.
  • Requisitos de complexidade — como exigir caracteres especiais, números ou letras maiúsculas — não devem ser usados.
  • Palavras específicas do contexto, como o nome do serviço ou o nome de usuário do indivíduo, não devem ser permitidas.
Leia também:  Aprimorando as suas habilidades de segurança cibernética

Você provavelmente notou que algumas dessas recomendações representam um afastamento das suposições e padrões anteriores. Por exemplo, o NIST removeu requisitos de complexidade como caracteres especiais em senhas; essa alteração foi feita em parte porque os usuários encontram maneiras de contornar requisitos de complexidade rigorosos. Em vez de se esforçar para lembrar senhas complexas e correr o risco de serem bloqueados, eles podem escrever suas senhas e deixá-las perto de computadores físicos ou servidores. Ou simplesmente reciclam senhas antigas com base em palavras do dicionário, fazendo alterações mínimas durante a criação da senha, como incrementar um número no final.

Diretrizes do NIST

Agora vamos explorar as diretrizes do NIST com mais detalhes.

Comprimento e processamento da senha

O comprimento tem sido considerado um fator crucial para a segurança da senha. O NIST agora recomenda uma política de senha que exige que todas as senhas criadas pelo usuário tenham pelo menos 8 caracteres e todas as senhas geradas por máquina tenham pelo menos 6 caracteres. Além disso, é recomendável permitir que as senhas tenham pelo menos 64 caracteres como comprimento máximo.

Os verificadores não devem mais truncar nenhuma senha durante o processamento. As senhas devem ser hash, com o hash de senha completo armazenado.

Além disso, a política de bloqueio de conta NIST recomendada é permitir aos usuários pelo menos 10 tentativas de inserir sua senha antes de serem bloqueados.

Caracteres aceitos

Todos os caracteres ASCII, incluindo o caractere de espaço, devem ser suportados em senhas. O NIST especifica que caracteres Unicode, como emojis, também devem ser aceitos.

Os usuários devem ser impedidos de usar caracteres sequenciais (por exemplo, “1234”), caracteres repetidos (por exemplo, “aaaa”) e palavras simples do dicionário.

Senhas comumente usadas e violadas

Senhas comumente usadas ou comprometidas não devem ser permitidas. Por exemplo, você deve proibir senhas em listas de violações (como o banco de dados Have I Been Pwned?, que contém mais de 570 milhões de senhas de violações), senhas usadas anteriormente, senhas conhecidas comumente usadas e senhas específicas do contexto (por exemplo, , o nome do serviço).

Leia também:  Scan de Vulnerabilidade vs Pentest: Qual a Diferença?

Quando um usuário tenta usar uma senha que falha nessa verificação, uma mensagem deve ser exibida solicitando uma senha diferente e fornecendo uma explicação de por que sua entrada anterior foi rejeitada.

Complexidade reduzida e expiração de senha

Conforme explicado anteriormente no blog, os requisitos anteriores de complexidade de senha levaram a um comportamento humano menos seguro, em vez do efeito pretendido de aumentar a segurança. Com isso em mente, o NIST recomenda requisitos de complexidade reduzida, o que inclui a remoção de requisitos para caracteres especiais, números, caracteres maiúsculos, etc.

Uma recomendação relacionada para reduzir o comportamento humano inseguro é eliminar a expiração da senha.

Chega de dicas ou autenticação baseada em conhecimento (KBA)

Embora as dicas de senha tenham como objetivo ajudar os usuários a criar senhas mais complexas, os usuários geralmente escolhem dicas que praticamente entregam suas senhas. Assim, o NIST recomenda não permitir dicas de senha.

O NIST também recomenda não usar autenticação baseada em conhecimento (KBA), como perguntas como “Qual era o nome do seu primeiro animal de estimação?”

Gerenciadores de senhas e autenticação de dois fatores (2FA)

Para dar conta da crescente popularidade dos gerenciadores de senhas, os usuários devem ser capazes de colar senhas.

O SMS não é mais considerado uma opção segura para 2FA. Em vez disso, deve ser usado um provedor de código único, como Google Authenticator ou Okta Verify.

senha do NIST

Como a AIQON pode ajudar

A AIQON oferece várias soluções especificamente projetadas para agilizar e fortalecer o gerenciamento de acessos e senhas:

  • O Netwrix Password Policy Enforcer facilita a criação de políticas de senha fortes e flexíveis que melhoram a segurança e a conformidade sem prejudicar a produtividade do usuário ou sobrecarregar as equipes de helpdesk e TI.
  • O Netwrix Password Reset permite que os usuários desbloqueiem com segurança suas próprias contas e redefinam ou alterem suas próprias senhas, diretamente do navegador da web. Essa funcionalidade de autoatendimento reduz drasticamente a frustração do usuário e as perdas de produtividade, ao mesmo tempo em que reduz o volume de chamadas do helpdesk.

Comente o que achou do artigo