Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
Considerações sobre alterações de senha agendadas (não as chame de rotações!)
Ainda estamos usando senhas em muitas, talvez na maioria, de nossas contas, porque ainda estamos usando muitos serviços online que não oferecem nenhum outro tipo de sistema de login.
Hoje mesmo, por exemplo, paguei as taxas de associação a um grupo relacionado ao ciclismo que pediu meu endereço postal para que pudesse me enviar meu cartão de associação, o que achei uma maneira deliciosamente simples e tradicional de permitir que eu recuperasse meu número de associação. no futuro enquanto estiver na estrada.
No tipo de clima frio e encharcado que você encontra durante a maior parte do ano na Inglaterra, desenterrando um telefone celular, esperando por um sinal, tirando as luvas (elas não são muito divertidas de colocar de volta quando você está no inverno). encharcado) e mexendo em aplicativos, sites, senhas, códigos 2FA e muito mais…
… bem, não é tão fácil quanto encontrar um cartão de plástico à prova d'água, à prova de choque e sem necessidade de pilhas com seus detalhes básicos.
Mas junto com minha confirmação de pagamento, informando que meu cartão de membro estava a caminho, havia um lembrete de que, se eu quisesse renovar minha assinatura ou solicitar um cartão de plástico à prova d'água, à prova de choque, sem necessidade de baterias, substituto (infelizmente, eles não são à prova de perda), eu precisaria criar uma conta no site do grupo, então por que não escolher uma senha agora?
Simplificando, para evitar a necessidade de uma senha em primeiro lugar, eu precisaria criar uma em segundo lugar.
E sempre que as senhas surgem, uma pergunta de longa data também surge:
Você deve alterar todas as suas senhas o tempo todo para torná-las alvos rápidos para os cibercriminosos ou bloquear senhas realmente complexas para começar e depois deixá-las em paz?
De fato, esse foi o problema enfrentado por um leitor de longa data do Naked Security nesta mesma manhã, cuja própria equipe de TI estava no centro desse mesmo dilema, possivelmente por causa de um quase acidente de ciberinsegurança que eles acabaram de experimentar em primeira mão.
Qual é melhor?
Senhas ou frases secretas complexas que podem não ser alteradas com frequência ou senhas mal escolhidas que são alteradas regularmente?
Nossos pensamentos sobre o assunto são os seguintes:
Mudar sua senha regularmente não a torna magicamente uma senha melhor.
Apenas escolher uma senha melhor em primeiro lugar a torna uma senha melhor! (É aqui que os gerenciadores de senhas podem ajudar.)
Naked Security Live – E se meu gerenciador de senhas for invadido?
Em outras palavras, sugerimos que você primeiro resolva o problema de ajudar seus usuários a escolher senhas decentes, para depois incentivá-los a reconhecer os casos em que devem alterar suas senhas imediatamente, sem precisar de um cronograma para instruí-los a fazer isso…
…e só então você deve se preocupar se realmente precisa de uma política de senha "alterações regulares independentemente".
Exigir alterações de senha todos os meses quando você simplesmente não precisa é apenas convidar as pessoas a salvar suas novas senhas de forma insegura, ou escolher novas senhas de forma descuidada, ou alternar entre uma sequência repetida de N senhas relacionadas, ou apenas atualizar suas senhas a cada 30 dias, mesmo em emergências.
Dito isso, bloquear usuários que não acessaram contas específicas da empresa por um certo tempo é uma boa ideia. (Isso também protege modestamente contra contas esquecidas, porque elas eventualmente expiram automaticamente.)
Bloquear usuários por inatividade é mais intrusivo do que simplesmente forçá-los a redefinir suas senhas regularmente e, portanto, impopular.
Mas se alguém tiver um login de conta corporativa que não está usando, por que não pressioná-lo a justificar pessoalmente por que ainda precisa dele depois de não usá-lo por, digamos, seis meses ou um ano?
Afinal, se for um login para um produto ou serviço que cobra uma taxa por usuário… você pode até economizar no custo da assinatura.
E se eles realmente não precisarem mais da conta, você os ajudará a evitar problemas, evitando que bandidos e cibercriminosos façam coisas ruins em seu nome.