{"id":2432,"date":"2023-05-16T14:48:48","date_gmt":"2023-05-16T17:48:48","guid":{"rendered":"https:\/\/aiqon.com.br\/blog\/?p=2432"},"modified":"2023-05-16T14:48:48","modified_gmt":"2023-05-16T17:48:48","slug":"quais-sao-as-diretrizes-de-senha-do-nist","status":"publish","type":"post","link":"https:\/\/aiqon.com.br\/blog\/quais-sao-as-diretrizes-de-senha-do-nist\/","title":{"rendered":"Quais s\u00e3o as diretrizes de senha do NIST?"},"content":{"rendered":"<div id=\"bsf_rt_marker\"><\/div><p>Diretrizes de senha do NIST e seguran\u00e7a cibern\u00e9tica: fortale\u00e7a o gerenciamento de identidades digitais com as recomenda\u00e7\u00f5es de conformidade<\/p><div id=\"ez-toc-container\" class=\"ez-toc-v2_0_85 ez-toc-wrap-left counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Nesse Artigo<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Alternar tabela de conte\u00fado\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/aiqon.com.br\/blog\/quais-sao-as-diretrizes-de-senha-do-nist\/#Lista_rapida_de_diretrizes_de_senha_do_NIST\" >Lista r\u00e1pida de diretrizes de senha do NIST<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/aiqon.com.br\/blog\/quais-sao-as-diretrizes-de-senha-do-nist\/#Diretrizes_do_NIST\" >Diretrizes do NIST<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/aiqon.com.br\/blog\/quais-sao-as-diretrizes-de-senha-do-nist\/#Como_a_AIQON_pode_ajudar\" >Como a AIQON pode ajudar<\/a><\/li><\/ul><\/nav><\/div>\n\n<p>Desde 2014, o Instituto Nacional de Padr\u00f5es e Tecnologia (NIST), uma ag\u00eancia federal dos EUA, emitiu diretrizes para o gerenciamento de identidades digitais por meio da <a href=\"https:\/\/pages.nist.gov\/800-63-3\/sp800-63b.html\">Publica\u00e7\u00e3o Especial 800-63B<\/a>. A <a href=\"https:\/\/csrc.nist.gov\/publications\/detail\/sp\/800-63\/3\/final\">revis\u00e3o mais recente<\/a> (rev. 3) foi lan\u00e7ada em 2017 e foi atualizada em 2020. A revis\u00e3o 4 foi disponibilizada para coment\u00e1rios e revis\u00f5es; no entanto, a revis\u00e3o 3 ainda \u00e9 o padr\u00e3o no momento desta postagem do blog.<\/p>\n<p><a href=\"https:\/\/pages.nist.gov\/800-63-3\/sp800-63b.html#sec5\">A Se\u00e7\u00e3o 5.1.1 \u2013 Segredos memorizados<\/a> fornece recomenda\u00e7\u00f5es para requisitos sobre como os usu\u00e1rios podem criar novas senhas ou fazer altera\u00e7\u00f5es de senha, incluindo diretrizes sobre quest\u00f5es como a for\u00e7a da senha. A Publica\u00e7\u00e3o Especial 800-63B tamb\u00e9m abrange verificadores (software, sites, servi\u00e7os de diret\u00f3rio de rede, etc.) que validam e manipulam senhas durante a autentica\u00e7\u00e3o e outros processos.<\/p>\n<p>Nem todas as organiza\u00e7\u00f5es devem aderir \u00e0s diretrizes do NIST. No entanto, muitos seguem as recomenda\u00e7\u00f5es de pol\u00edtica de senha do NIST, mesmo que n\u00e3o sejam necess\u00e1rias, porque fornecem uma boa base para um gerenciamento s\u00f3lido de identidade digital. De fato, a seguran\u00e7a de senha forte ajuda as empresas a bloquear muitos ataques de seguran\u00e7a cibern\u00e9tica, incluindo hackers, ataques de for\u00e7a bruta, como preenchimento de credenciais e ataques de dicion\u00e1rio. Al\u00e9m disso, reduzir os riscos de seguran\u00e7a relacionados \u00e0 identidade ajuda as organiza\u00e7\u00f5es a garantir a conformidade com uma ampla gama de regulamenta\u00e7\u00f5es, como HIPAA, FISMA e SOX.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Lista_rapida_de_diretrizes_de_senha_do_NIST\"><\/span>Lista r\u00e1pida de diretrizes de senha do NIST<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<ul>\n<li>As senhas geradas pelo usu\u00e1rio devem ter pelo menos 8 caracteres.<\/li>\n<li>As senhas geradas por m\u00e1quina devem ter pelo menos 6 caracteres.<\/li>\n<li>Os usu\u00e1rios devem ser capazes de criar senhas com pelo menos 64 caracteres.<\/li>\n<li>Todos os caracteres ASCII\/Unicode devem ser permitidos, incluindo emojis e espa\u00e7os.<\/li>\n<li>As senhas armazenadas devem ter hash e salt, e nunca truncadas.<\/li>\n<li>As senhas em potencial devem ser comparadas com os bancos de dados de viola\u00e7\u00e3o de senha e rejeitadas se houver correspond\u00eancia.<\/li>\n<li>As senhas n\u00e3o devem expirar.<\/li>\n<li>Os usu\u00e1rios devem ser impedidos de usar caracteres sequenciais (por exemplo, \u201c1234\u201d) ou caracteres repetidos (por exemplo, \u201caaaa\u201d).<\/li>\n<li>A autentica\u00e7\u00e3o de dois fatores (2FA) n\u00e3o deve usar SMS para c\u00f3digos.<\/li>\n<li>A autentica\u00e7\u00e3o baseada em conhecimento (KBA), como \u201cQual era o nome do seu primeiro animal de estima\u00e7\u00e3o?\u201d, n\u00e3o deve ser usada.<\/li>\n<li>Os usu\u00e1rios devem ter permiss\u00e3o para 10 tentativas de senha com falha antes de serem bloqueados em um sistema ou servi\u00e7o.<\/li>\n<li>As senhas n\u00e3o devem ter dicas.<\/li>\n<li>Requisitos de complexidade \u2014 como exigir caracteres especiais, n\u00fameros ou letras mai\u00fasculas \u2014 n\u00e3o devem ser usados.<\/li>\n<li>Palavras espec\u00edficas do contexto, como o nome do servi\u00e7o ou o nome de usu\u00e1rio do indiv\u00edduo, n\u00e3o devem ser permitidas.<\/li>\n<\/ul>\n<p>Voc\u00ea provavelmente notou que algumas dessas recomenda\u00e7\u00f5es representam um afastamento das suposi\u00e7\u00f5es e padr\u00f5es anteriores. Por exemplo, o NIST removeu requisitos de complexidade como caracteres especiais em senhas; essa altera\u00e7\u00e3o foi feita em parte porque os usu\u00e1rios encontram maneiras de contornar requisitos de complexidade rigorosos. Em vez de se esfor\u00e7ar para lembrar senhas complexas e correr o risco de serem bloqueados, eles podem escrever suas senhas e deix\u00e1-las perto de computadores f\u00edsicos ou servidores. Ou simplesmente reciclam senhas antigas com base em palavras do dicion\u00e1rio, fazendo altera\u00e7\u00f5es m\u00ednimas durante a cria\u00e7\u00e3o da senha, como incrementar um n\u00famero no final.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Diretrizes_do_NIST\"><\/span>Diretrizes do NIST<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Agora vamos explorar as diretrizes do NIST com mais detalhes.<\/p>\n<h3>Comprimento e processamento da senha<\/h3>\n<p>O comprimento tem sido considerado um fator crucial para a seguran\u00e7a da senha. O NIST agora recomenda uma pol\u00edtica de senha que exige que todas as senhas criadas pelo usu\u00e1rio tenham pelo menos 8 caracteres e todas as senhas geradas por m\u00e1quina tenham pelo menos 6 caracteres. Al\u00e9m disso, \u00e9 recomend\u00e1vel permitir que as senhas tenham pelo menos 64 caracteres como comprimento m\u00e1ximo.<\/p>\n<p>Os verificadores n\u00e3o devem mais truncar nenhuma senha durante o processamento. As senhas devem ser hash, com o hash de senha completo armazenado.<\/p>\n<p>Al\u00e9m disso, a pol\u00edtica de bloqueio de conta NIST recomendada \u00e9 permitir aos usu\u00e1rios pelo menos 10 tentativas de inserir sua senha antes de serem bloqueados.<\/p>\n<h3>Caracteres aceitos<\/h3>\n<p>Todos os caracteres ASCII, incluindo o caractere de espa\u00e7o, devem ser suportados em senhas. O NIST especifica que caracteres Unicode, como emojis, tamb\u00e9m devem ser aceitos.<\/p>\n<p>Os usu\u00e1rios devem ser impedidos de usar caracteres sequenciais (por exemplo, \u201c1234\u201d), caracteres repetidos (por exemplo, \u201caaaa\u201d) e palavras simples do dicion\u00e1rio.<\/p>\n<h3>Senhas comumente usadas e violadas<\/h3>\n<p>Senhas comumente usadas ou comprometidas n\u00e3o devem ser permitidas. Por exemplo, voc\u00ea deve proibir senhas em listas de viola\u00e7\u00f5es (como o banco de dados <a href=\"https:\/\/haveibeenpwned.com\/Passwords\">Have I Been Pwned?<\/a>, que cont\u00e9m mais de 570 milh\u00f5es de senhas de viola\u00e7\u00f5es), senhas usadas anteriormente, senhas conhecidas comumente usadas e senhas espec\u00edficas do contexto (por exemplo, , o nome do servi\u00e7o).<\/p>\n<p>Quando um usu\u00e1rio tenta usar uma senha que falha nessa verifica\u00e7\u00e3o, uma mensagem deve ser exibida solicitando uma senha diferente e fornecendo uma explica\u00e7\u00e3o de por que sua entrada anterior foi rejeitada.<\/p>\n<h3>Complexidade reduzida e expira\u00e7\u00e3o de senha<\/h3>\n<p>Conforme explicado anteriormente no blog, os requisitos anteriores de complexidade de senha levaram a um comportamento humano menos seguro, em vez do efeito pretendido de aumentar a seguran\u00e7a. Com isso em mente, o NIST recomenda requisitos de complexidade reduzida, o que inclui a remo\u00e7\u00e3o de requisitos para caracteres especiais, n\u00fameros, caracteres mai\u00fasculos, etc.<\/p>\n<p>Uma recomenda\u00e7\u00e3o relacionada para reduzir o comportamento humano inseguro \u00e9 eliminar a expira\u00e7\u00e3o da senha.<\/p>\n<h3>Chega de dicas ou autentica\u00e7\u00e3o baseada em conhecimento (KBA)<\/h3>\n<p>Embora as dicas de senha tenham como objetivo ajudar os usu\u00e1rios a criar senhas mais complexas, os usu\u00e1rios geralmente escolhem dicas que praticamente entregam suas senhas. Assim, o NIST recomenda n\u00e3o permitir dicas de senha.<\/p>\n<p>O NIST tamb\u00e9m recomenda n\u00e3o usar autentica\u00e7\u00e3o baseada em conhecimento (KBA), como perguntas como \u201cQual era o nome do seu primeiro animal de estima\u00e7\u00e3o?\u201d<\/p>\n<h3>Gerenciadores de senhas e autentica\u00e7\u00e3o de dois fatores (2FA)<\/h3>\n<p>Para dar conta da crescente popularidade dos gerenciadores de senhas, os usu\u00e1rios devem ser capazes de colar senhas.<\/p>\n<p>O SMS n\u00e3o \u00e9 mais considerado uma op\u00e7\u00e3o segura para 2FA. Em vez disso, deve ser usado um provedor de c\u00f3digo \u00fanico, como Google Authenticator ou Okta Verify.<\/p>\n<p><a href=\"https:\/\/aiqon.com.br\/policy-enforcer\/\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-2437 size-full\" src=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2023\/05\/Netwrix-Password-Policy-Enforcer.png\" alt=\"senha do NIST\" width=\"1000\" height=\"300\" srcset=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2023\/05\/Netwrix-Password-Policy-Enforcer.png 1000w, https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2023\/05\/Netwrix-Password-Policy-Enforcer-300x90.png 300w, https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2023\/05\/Netwrix-Password-Policy-Enforcer-768x230.png 768w\" sizes=\"auto, (max-width: 1000px) 100vw, 1000px\" \/><\/a><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Como_a_AIQON_pode_ajudar\"><\/span>Como a AIQON pode ajudar<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>A AIQON oferece v\u00e1rias solu\u00e7\u00f5es especificamente projetadas para agilizar e fortalecer o gerenciamento de acessos e senhas:<\/p>\n<ul>\n<li>O <a href=\"https:\/\/aiqon.com.br\/policy-enforcer\/\">Netwrix Password Policy Enforcer<\/a> facilita a cria\u00e7\u00e3o de pol\u00edticas de senha fortes e flex\u00edveis que melhoram a seguran\u00e7a e a conformidade sem prejudicar a produtividade do usu\u00e1rio ou sobrecarregar as equipes de helpdesk e TI.<\/li>\n<li>O <a href=\"https:\/\/aiqon.com.br\/password-reset\/\">Netwrix Password Reset<\/a> permite que os usu\u00e1rios desbloqueiem com seguran\u00e7a suas pr\u00f3prias contas e redefinam ou alterem suas pr\u00f3prias senhas, diretamente do navegador da web. Essa funcionalidade de autoatendimento reduz drasticamente a frustra\u00e7\u00e3o do usu\u00e1rio e as perdas de produtividade, ao mesmo tempo em que reduz o volume de chamadas do helpdesk.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Diretrizes de senha do NIST e seguran\u00e7a cibern\u00e9tica: fortale\u00e7a o gerenciamento de identidades digitais com as recomenda\u00e7\u00f5es de conformidade Desde 2014, o Instituto Nacional de Padr\u00f5es e Tecnologia (NIST), uma ag\u00eancia federal dos EUA, emitiu diretrizes para o gerenciamento de identidades digitais por meio da Publica\u00e7\u00e3o Especial 800-63B. A revis\u00e3o mais recente (rev. 3) foi [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":2436,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_feature_clip_id":0,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_post_was_ever_published":false},"categories":[113],"tags":[251,252,254,253],"class_list":["post-2432","post","type-post","status-publish","format-standard","has-post-thumbnail","category-cybersecurity","tag-autenticacao-de-dois-fatores-2fa","tag-gerenciamento-de-identidades","tag-password","tag-politicas-de-senha","czr-hentry"],"jetpack_featured_media_url":"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2023\/05\/NIST-PASSWORD.png","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/2432","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/comments?post=2432"}],"version-history":[{"count":2,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/2432\/revisions"}],"predecessor-version":[{"id":2438,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/2432\/revisions\/2438"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/media\/2436"}],"wp:attachment":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/media?parent=2432"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/categories?post=2432"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/tags?post=2432"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}