NIST propõe novas regras “sem confusões” para passwords

27 Set 2024 · Internet 5 Comentários

Está cansado de estar constantemente a mudar de password? Se calhar só faz sentido mudar for fácil de adivinhar ou se tiver sido comprometida. O NIST propõe novas "regras" para passwords. Saiba quais.

O NIST (National Institute of Standards and Technology) é uma agência do governo dos Estados Unidos que faz parte do Departamento de Comércio dos EUA. Tem como missão promover a inovação e a competitividade industrial, desenvolvendo padrões e tecnologias para diversas áreas, como ciência, tecnologia, segurança da informação, etc.

A segunda versão pública do draft sobre diretrizes para escolha de passwords do NIST (SP 800-63-4) descreve os requisitos técnicos, bem como as melhores práticas recomendadas para a gestão e autenticação com recurso a passwords.

As diretrizes mais atuais indicam que os credential service providers (CSP), devem parar de exigir que aos utilizadores definam passwords com caracteres específicos ou exigir alterações periódicas de password (geralmente a cada 60 ou 90 dias). Além disso, os CSPs devem parar de usar autenticação baseada em conhecimento ou perguntas de segurança ao selecionar passwords.

Outras recomendações do NIST sobre passwords

Passwords devem ter no mínimo oito caracteres, idealmente 15 caracteres, ou mais
Passwords devem ter no máximo 64 caracteres
Os CSPs devem permitir que caracteres ASCII e Unicode sejam incluídos nas passwords.
Os verificadores e os CSPs NÃO DEVEM impor outras regras de composição (por exemplo, exigir misturas de diferentes tipos de caracteres) para passwords e
Verificadores e CSPs NÃO DEVEM exigir que os utilizadores alterem as passwords periodicamente. No entanto, os verificadores DEVEM forçar uma alteração se houver evidência de comprometimento do autenticador.

SP 800-63-4

Acompanhe o Pplware no Google Notícias

Propor Revisão Proponha uma correção, faça uma sugestão

Autor: Pedro Pinto

Tags: NIST passwords

Comentários5

Uddu says:

28 de Setembro de 2024 às 04:41

O NIST é uma agência do governo dos Estados Unidos… Tá tudo dito

Responder
- Patinhas says:
  
  28 de Setembro de 2024 às 08:52
  
  Para quem não está “tudo dito” podia ter dito alguma coisa. Assim ficou nada dito, daquilo que nem sabe que queria dizer.
  
  Responder
  - Profeta says:
    
    28 de Setembro de 2024 às 10:30
    
    Ele tem razao esta tudo dito, so e crente quem quer. Ate a google sabe as nossas passwrods, se algum dia as quererem usar e facil facil.Cloud a mesma coisa. Mas tudo bem ainda ha quem seja crente e pensar que as empresas sao boazinhas.
    
    Responder
- Jack says:
  
  28 de Setembro de 2024 às 10:23
  
  Percebes nada do assunto claramente.
  
  Responder
Vitor says:

30 de Setembro de 2024 às 11:05

Não percebo o máximo de 64caracteres, temos de dar trabalho ao wave quando faz bruteforce aos hashs

Responder

Deixe um comentário Cancelar Resposta

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.