Está cansado de estar constantemente a mudar de password? Se calhar só faz sentido mudar for fácil de adivinhar ou se tiver sido comprometida. O NIST propõe novas “regras” para passwords. Saiba quais.
O NIST (National Institute of Standards and Technology) é uma agência do governo dos Estados Unidos que faz parte do Departamento de Comércio dos EUA. Tem como missão promover a inovação e a competitividade industrial, desenvolvendo padrões e tecnologias para diversas áreas, como ciência, tecnologia, segurança da informação, etc.
A segunda versão pública do draft sobre diretrizes para escolha de passwords do NIST (SP 800-63-4) descreve os requisitos técnicos, bem como as melhores práticas recomendadas para a gestão e autenticação com recurso a passwords.
As diretrizes mais atuais indicam que os credential service providers (CSP), devem parar de exigir que aos utilizadores definam passwords com caracteres específicos ou exigir alterações periódicas de password (geralmente a cada 60 ou 90 dias). Além disso, os CSPs devem parar de usar autenticação baseada em conhecimento ou perguntas de segurança ao selecionar passwords.
Outras recomendações do NIST sobre passwords
- Passwords devem ter no mínimo oito caracteres, idealmente 15 caracteres, ou mais
- Passwords devem ter no máximo 64 caracteres
- Os CSPs devem permitir que caracteres ASCII e Unicode sejam incluídos nas passwords.
- Os verificadores e os CSPs NÃO DEVEM impor outras regras de composição (por exemplo, exigir misturas de diferentes tipos de caracteres) para passwords e
- Verificadores e CSPs NÃO DEVEM exigir que os utilizadores alterem as passwords periodicamente. No entanto, os verificadores DEVEM forçar uma alteração se houver evidência de comprometimento do autenticador.