Proponha uma correção, faça uma sugestão
Portugal: Passwords devem passar a ter 9 caracteres
Muito se tem falado sobre o novo Regulamento Geral de Protecção de Dados, mas provavelmente ainda se tem feito pouco. Na prática, a partir de 25 de maio, as empresas e administração pública passam a ter que cumprir as regras do RGPD isto se não quiserem sofrer sanções cujas coimas podem ascender aos 20 milhões de euros ou 4% do volume de negócios anual.
Relativamente à administração pública, foi hoje publicado em Diário da República alguns "obrigações/requisitos técnicos".
De acordo com o Diário da República de 28 de março de 2018, concretamente ao definido na Resolução do Conselho de Ministros n.º 41/2018, o Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, doravante designado RGPD, vai introduzir um novo regime em matéria de proteção de dados pessoais. Para além do reforço da proteção jurídica dos direitos dos titulares dos dados, o RGPD exige novas regras e procedimentos do ponto de vista tecnológico.
Nesta medida, o Governo considera fundamental definir orientações técnicas para a Administração Pública, recomendando-as ao setor empresarial do Estado, em matéria de arquitetura de segurança das redes e sistemas de informação e procedimentos a adotar de modo a cumprir as normas do RGPD.
Dos vários requisitos técnicos definidos, que estão organizados por segurança ao nível do Front-end, camada aplicacional e camada de Base de Dados, destaque para o facto de:
- Seguir as boas práticas de desenvolvimento
- Utilizar sessões seguras com protocolo de Segurança
- Recomenda-se o uso de Transport Layer Security (TLS), na sua versão mais recente
- Não guardar informação pessoal no browser, memória ou disco, para além do tempo da sessão e apenas na medida do necessário.
- Comunicação com camada aplicacional através de autenticação por certificado válido por período não superior a 2 anos, no caso de as camadas serem física ou logicamente distintas
- Prever cifra de informação pessoal (recomenda-se mínimo 2048 bit) apenas se a aplicação cliente tiver camada de BD física e logicamente distinta, usando preferencialmente tecnologia que permita interoperabilidade entre sistemas.
- Sempre que aplicável, a palavra-passe deve ter no mínimo 9 caracteres (13 caracteres para utilizadores com acesso privilegiado) e ser complexa. A sua composição deverá exigir a inclusão de 3 dos 4 seguintes conjuntos de caracteres: letras minúsculas (a…z), letras maiúsculas (A…Z), números (0…9) e caracteres especiais (~ ! @ # $ % ^ & * ( ) _ + | ` - = \ { } [ ] : “ ; ‘ < > ? , . /). Poderá, em alternativa, ser constituída por frases ou excertos de texto longo conhecidos pelo utilizador, sem caracter de «espaço».
- A palavra-passe dos administradores deve ter no mínimo 13 caracteres e ser complexa
- Dados armazenados (incluindo os existentes em volumes de salvaguarda — backups) devem ser cifrados e assinados digitalmente.
- Devem existir dois tipos de backups (online e offsite), que devem obedecer aos mesmos requisitos de segurança definidos para os sistemas produtivos.
Todos os requisitos podem ser consultados aqui.
Os requisitos referidos no documento devem ser implementados no prazo máximo de 18 meses após a data de entrada em vigor da presente resolução.
Este artigo tem mais de um ano
Loading ...
como se faz para contar os caracteres da password?
Mas … ok, pelos dedos ?
Também podes usar um ábaco, caso não tenhas uma calculadora no PC ou no telemóvel 😛
https://charcounter.com/en/ ou “manualmente” 🙂
Este é ainda melhor: http://www.passwordmeter.com/
https://charactercount.org
“…recomendando-as ao setor empresarial do Estado”
O que podemos entender por este setor? Privado? Todos aqueles que trabalham com o Estado?
Empresas que pertencem ao Estado. Ex: CP
RTP ou Lusa
“…recomendando-as ao setor empresarial do Estado”
O que podemos entender por este setor? Privado? Todos aqueles que trabalham com o Estado?
Sim e amanha os processadores melhoram e as passwords passam a precisar de 100 caracteres quanticos
??? fiquei curioso com essa dos ‘caracteres quanticos’, poderias explicar melhor?
O primeiro caracter é simultaneamente um C e um 3 :p
estava no gozo 😛 por causa da computacao quantica
O que acho mais engraçado é que a própria RGPD está desactualizada relativamente à criação da password quanto a sua complexidade. O criador deste conceito, Bill Burr, já veio, ele próprio, pedir desculpa por ter inventado um modelo que, entretanto, foi provado não ser nem mais nem menos seguro que outros tipo de passwords.
https://gizmodo.com/the-guy-who-invented-those-annoying-password-rules-now-1797643987
Quem se lembrou disto deve mesmo de ser alguem que estava sem nada para fazer…principalmente por ser tao vago como é.
Ora, o segredo destas coisas (legislação e afins) é ser vaga…. Assim, há lugar a diferentes interpretações
O problema aqui está mesmo nisso, dependendo da interpretacao que facas estás complient ou nao.
E tendo em consideracao as multas é sem duvida um grande problema.
Já era tempo…Há anos que uso o Lastpass para gerar as minhas passwords aleatoriamente e com pelo menos 20 caracteres quando me é permitido. Fica a dica 😉
Ui! Sério? Lastpass foi feito para lazy people, fia-te e depois não te queixes
e que tal darem formaçao as pessoas, ou contratarem pessoas que sabem o que seguro significa? porque ter uma password “o meu nome e quim da bouça e aqui nao entram” nao adianta nada se as pessoas instalam tudo o que diz “download” por cima
Boa tarde @pplware, softwares de gestão no ramo da saúde que regras devem seguir?
naoentresnumhospitalnemqueestejasamorrerporqueacabaspormorrermaisdepressa.tuga
O software deve ter sempre pelo menos uma regra: Só deixar falecer pessoas que estão a receber da segurança social… não interessa manter essas. O resto é ver como pode extorquir o máximo de dinheiro.
O RGPD ou “Lei Google” é aplicável a todos os dados pessoais do individuo. O individuo tem de saber de forma simples e objetiva para que é que o seu dado é solicitado e deve dar autorização para isso. Por exemplo para uma empresa fornecer dados pessoais como o nome ou o CC do seu trabalhador para emissão por empresa formadora externa de um certificado tem de ter autorização do trabalhador. Qualquer dado de saúde é pessoal. A sua recolha é também considerado tratamento. A pessoa tem que saber para que é a recolha do dado, e o destinatário final. Os acessos a estas informações deve ser controlado. O regulamento é bastante exigente. Outro exemplo, um software de telemóvel deve indicar quais sao os dados todos recolhidos do telemóvel, quando e como e para que servem explicitamente e a quem são entregues.
Na empresa do sector do estado onde trabalho tive de efetuar exaustivamente e de forma completa em 2017 o levantamento dos dados pessoais que recolho, o que faço com eles e para onde os envio e quando os elimino. Numa aplicação de saúde todo o dado recolhido me parece que seja TSMO eventualmente um dado pessoal.
e o deixar andar ..
Bom senso, mnemónicas relacionadas com vida pessoal, com caracteres especiais, números e letras. Eis uma boa password.
Decididamente está tudo maluco. O utilizadores é que fazem m*** e os administradores de sistemas, é que se lixam. Esta está demais “Dados armazenados (incluindo os existentes em volumes de salvaguarda — backups) devem ser cifrados e assinados digitalmente”.
As regras comuns hoje em dia já não são sinonimo de segurança. Ter 8/9 caracteres mínimos, maiúsculas e minúsculas, letras e números, caracteres especiais, são regras que apenas dificultam o descobrimento da password mas aliadas à necessidade de X em X tempo alterar a password, tornam praticamente impossível descobrir a password de um utilizador (a não ser que este a divulgue ou a aplicação a divulgue).
No entanto a nova orientação é usar “Passphrases”, frases inteiras sem espaços que têm mais de 20 caracteres, isto excluí a necessidade de X em X tempo mudar a password pois requerem muitos anos até serem descobertas.
ref: https://techtalk.gfi.com/passphrase-not-password/
Boa sorte em usar frases com + de 20 caracteres e que sejam diferentes para todos os serviços.
“Prever cifra de informação pessoal (recomenda-se mínimo 2048 bit)”
Quê? Que é isto ‘cifra de informação pessoal’? Não conheço este termo.
“ser constituída por frases ou excertos de texto longo conhecidos pelo utilizador, sem caracter de «espaço».”
Sem caracter de espaço?? Porquê??
Isto é um rir autentico. Que personagens temos no Estado para publicar isto?
Isto é uma lei comunitária que todos os paises da UE terao de obdecer.
Aqui usamos sistemas próprios, as mudancas que temos de fazer sao absolutamente ridiculas e pior que isso continuamos sempre sem saber exactamnete o que eles querem.
Fizemos um exercicio aqui, todos nós lemos as regras e interpretamos a nossa forma… nao há concenso entre o que é correcto e o que é errado fazer.
+1
«Prever cifra de informação pessoal (recomenda-se mínimo 2048 bit) apenas se a aplicação cliente tiver camada de BD física e logicamente distinta, usando preferencialmente tecnologia que permita interoperabilidade entre sistemas.» Isto quer dizer que se a minha aplicação tiver base de dados local? Ou também se aplica se a aplicação (WEB) tiver base de dados do lado do servidor? Temos de encriptar a informação pessoal na mesma?
boa tarde n tou a conseguir caracteres para a senha