A Política de Password

os componentes típicos de uma política de password incluem:

Comprimento da Password e formationEdit

Ver também: força da Password

muitas políticas requerem um comprimento mínimo da password. Oito caracteres é típico, mas pode não ser apropriado. As senhas mais longas são geralmente mais seguras, mas alguns sistemas impõem um comprimento máximo para a compatibilidade com os sistemas antigos.

algumas políticas sugerem ou impõem requisitos sobre que tipo de senha um usuário pode escolher, tais como:

  • o uso de ambas maiúsculas e minúsculas (case sensitivity)
  • inclusão de um ou mais dígitos numéricos
  • inclusão de caracteres especiais, tais como @, #, $
  • proibição de palavras encontradas em uma palavra-passe de lista de bloqueios de
  • proibição de palavras encontradas nas informações pessoais do usuário
  • proibição do uso do nome da empresa ou uma abreviação
  • proibição de senhas, que corresponde ao formato de calendário de datas, números de matrícula, números de telefone, ou outros números comuns

Outros sistemas criar um senha inicial para o usuário; mas, em seguida, precisa alterá-lo para uma de sua própria escolha dentro de um curto intervalo.

Listedit de bloco de senha

as listas de blocos de senha são listas de senhas que são sempre bloqueadas do uso. As listas de blocos contêm senhas construídas de combinações de caracteres que, de outro modo, atendem à política da empresa, mas não devem mais ser usadas porque elas foram consideradas inseguras por uma ou mais razões, como serem facilmente adivinhadas, seguindo um padrão comum, ou a divulgação pública de violações de dados anteriores. Exemplos comuns são Password1, Qwerty123, ou Qaz123wsx.

Durationedit

algumas políticas exigem que os usuários mudem senhas periodicamente, muitas vezes a cada 90 ou 180 dias. O benefício da validade da senha, no entanto, é discutível. Sistemas que implementam tais políticas às vezes impedem os usuários de escolher uma senha muito perto de uma seleção anterior.

esta política pode muitas vezes falhar. Alguns usuários acham difícil conceber senhas “boas” que também são fáceis de lembrar, então se as pessoas são obrigadas a escolher muitas senhas porque elas têm que mudá-las muitas vezes, elas acabam usando senhas muito mais fracas; a política também incentiva os usuários a escrever senhas para baixo. Além disso, se a política impede um usuário de repetir uma senha recente, isso requer que haja um banco de dados em existência de senhas recentes de todos (ou seus hashs) em vez de ter os antigos apagados da memória. Finalmente, os usuários podem mudar sua senha repetidamente dentro de alguns minutos, e então mudar de volta para o que eles realmente querem usar, contornando a Política de mudança de senha completamente.

os aspectos humanos das senhas também devem ser considerados. Ao contrário dos computadores, os usuários humanos não podem apagar uma memória e substituí-la por outra. Consequentemente, mudar frequentemente uma senha memorizada é uma tensão na memória humana, e a maioria dos usuários recorrem à escolha de uma senha que é relativamente fácil de adivinhar (veja fadiga de senha). Os usuários são frequentemente aconselhados a usar dispositivos mnemônicos para lembrar senhas complexas. Entretanto, se a senha deve ser mudada repetidamente, a mnemônica é inútil porque o Usuário não se lembraria de qual mnemônica usar. Além disso, o uso da mnemônica (levando a senhas como “2BOrNot2B”) torna a senha mais fácil de adivinhar.

factores de administração também podem ser um problema. Os usuários às vezes têm dispositivos mais antigos que requerem uma senha que foi usada antes da duração da senha expirar. A fim de gerenciar esses dispositivos mais antigos, os usuários podem ter que recorrer a escrever todas as senhas antigas, no caso de eles precisam entrar em um dispositivo mais antigo.

exigir uma senha muito forte e não exigir que ela seja alterada é muitas vezes melhor. No entanto, esta abordagem tem uma grande desvantagem: Se uma pessoa não autorizada adquire uma senha e a usa sem ser detectada, essa pessoa pode ter acesso por um período indefinido.É necessário ponderar estes factores .: a probabilidade de alguém adivinhar uma senha porque é fraca, contra a probabilidade de alguém conseguir roubar, ou adquirir sem adivinhar, uma senha mais forte.

Bruce Schneier argumenta que” praticamente tudo o que pode ser lembrado pode ser rachado”, e recomenda um esquema que usa senhas que não aparecerão em quaisquer dicionários.As Políticas de Password podem incluir sanções progressivas, começando com avisos e terminando com a possível perda de privilégios informáticos ou a cessação do emprego. Quando a confidencialidade é exigida por lei, por exemplo com informações confidenciais, uma violação da Política de password pode ser Crime. Alguns consideram que uma explicação convincente da importância da segurança é mais eficaz do que as ameaças de sanções.

Deixe uma resposta

O seu endereço de email não será publicado.