Proponha uma correção, faça uma sugestão
Microsoft renuncia à caducidade das palavras-passe por ser um método inútil
As palavras-passe são altamente necessárias nos dias que hoje vivemos. Contudo, está tudo a tornar-se num complexo e inútil novelo de métodos de segurança. Nesse sentido, a Microsoft repudia a existência de senhas cujo prazo de validade expire. Diz a gigante do software que o método pode mesmo ser perigoso.
Quem verbaliza esta realidade é o principal consultor da empresa, referindo que "se não lhe roubaram a palavra-passe, não precisa de a trocar, nem precisa estar à espera que ela um dia expire para a modificar."
Trocar de vez em quando as palavras-passe não resulta... diz a Microsoft!
Microsoft renuncia à caducidade das palavras-passe. De agora em diante, não exigirá a sua alteração periódica depois de verificar que é uma medida inútil e até perigosa. Contudo, a medida foi introduzida com a intenção de impedir que uma conta fosse pirateada, mas, segundo Aaron Margosis, principal consultor da empresa, a sua eficácia é nula.
Se uma palavra-passe não foi roubada, não há necessidade de a alterar. E se há evidências de que ela foi roubada, devemos agir imediatamente, sem esperar que expire.
Explica o especialista no blog de segurança da empresa (blog Microsoft Security Guidance).
E como podemos saber se a nossa segurança foi comprometida?
Não há aquele lugar genuíno para saber isso. No entanto, como já se falou por variadas vezes, existem sítios que podem mostrar se certo email, usado para autenticar nalgum serviço, caiu nas mãos de outras pessoas. Embora muito batido, o serviço web "';--have i been pwned?" tem já registados mais de 5 milhões de endereços de mail de contas afetadas até ao momento.
O problema está entre o ecrã e a cadeira... ainda!
Seja como for, Margosis reconhece que há problemas no sistema de palavras-passe. De acordo com um relatório recente, apenas 15% dos utilizadores usam métodos seguros de identificação, a maioria usa chaves vulneráveis. Apesar dos muitos avisos, há pessoas que usam senhas com uma sucessão de números, outros que continuam a colocar os seus nomes (data de nascimento), o nome da equipa de futebol ou do grupo de música favorito.
O motivo é a preguiça e a dificuldade das pessoas recordarem os códigos, quando estes são considerados fortes. Inegavelmente, a combinação de letras, números e símbolos, tornam a lembrança mais difícil.
Quando uma pessoa é forçada a mudar a palavra-passe, ela faz pequenas e previsíveis alterações na já usada.
Refere o consultor.
Embora a Microsoft renuncie à caducidade, mantém a recomendação de usar palavras-passe fortes. Além disso, é importante recorrer sempre que possível a processos de verificação em duas etapas (uso de outro dispositivo complementar para garantir a autenticidade do utilizador) ou programas de reconhecimento de dados biométricos, como o rosto ou a impressão digital.
A caducidade periódica da palavra-passe é uma fórmula antiga e obsoleta com muito pouco valor e acreditamos que ela não é válida dentro da nossa política de segurança.
Reconhece Margosis.
Sejamos criativos a dificultar a vida aos criminosos
O Centro de Cibersegurança Nacional do Reino Unido (National Cyber Security Center, NCSC), num relatório apresentado esta semana, mostra que, apesar das repetidas advertências, apenas 15% dos utilizadores utiliza métodos seguros, enquanto mais de 40 milhões de pessoas manter a sua senha do computador que não é mais que uma sequência simples de números (123456), dígitos iguais (111111) ou, pior ainda, as primeiras letras do teclado (QWERTY).
Outros códigos comummente utilizados são o nome próprio, o nome das equipas de futebol, grupos musicais ou personagens fictícias.
Existem ferramentas para tornar as contas mais seguras e a Microsoft incentiva a usá-las. Uma delas é o uso do token eletrónico, um dispositivo que armazena ou gera chaves, assinaturas digitais ou dados biométricos. Os cartões de crédito com leitor de impressão digital começaram a ser usados e também há teclados virtuais que alteram a posição do código cada vez que ele é usado. Além disso, existem programas de gestão de palavras-passe para organizar e proteger as chaves, bem como para as criar aleatoriamente.
Para as empresas e organizações começaram a proliferar serviços de cloud em que a entidade que fornece instalações também assume a segurança, a Microsoft tem o Azure, uma plataforma que não é mencionada a cessação das senhas e, segundo a empresa, usa "multi nível de controlos integrados e inteligência artificial contra as ameaças que evoluem rapidamente."
Este artigo tem mais de um ano
Imagem: Pplware
Fonte: El Pais
Neste artigo: Microsoft, palavras passe
Loading ...
O título não afirma exactamente o contrário do que podemos ler no texto?
Renunciar = dizer não
Caducidade = prazo de validade
Dizer não ao prazo de validade
li na vertical e deu nisto. A justificação esta no texto “O problema está entre o ecrã e a cadeira” 😉
No teclado? Hehehe
Exacto ahahah
E um artigo sobre gerenciadores de password?
Há mais gerenciadores para além do LastPass 😉
Estou a usar o Bitwarden há 2 meses e até agora tem funcionado na perfeição
Tb uso o Bitwarden há bastante tempo e realmente tem estado à altura. Só no Android é que ainda precisa de limar umas arestas
Dashlane
Finalmente que alguem diz o que pensa sem querer saber o que os outros vão dizer.
Sinceramente sempre achei o mesmo mas a mentalidade das pessoas não ajuda….
Isso e as perguntas/respostas secretas que muitas vezes basta ir ao Facebook de alguém para ficarmos a saber qual é o nome de solteiro da Mãe, o nome do animal de estimação ou a cidade onde nasceram.
Mudar as senhas é realmente boa ideia.
Porquê? Bases de dados que são furtadas todos os dias de todo o lado por exemplo.
Para evitar que algum amigo/ conhecido abuse do acesso caso alguma vez tenha tido conhecimento dos dados.
Se a senha tiver sido furtada de algum outro dispositivo para não poder ser utilizada indefinidamente.
Se alguém fizer login em algum dispositivo de outra pessoa para que essa pessoa não tenha acesso indefinido no tempo à conta (alguns browsers guardam os dados automaticamente por exemplo).
Sim, existem muitos casos em que mudar a senha não tem qualquer utilidade, mas existem muitos outros em que mudar a senha de facto ajuda a manter a conta segura! Como expliquei acima.
Em todos esses cenários… o problema é do utilizador. Se ele usar com responsabilidade a sua password, a menos que seja roubada, não existe motivo de a alterar.
Eu gostaria de perguntar, se assim é, qual o motivo da Microsoft não permitir a escolha de uma chave já utilizada anteriormente, num pedido de recuperação de uma pass esquecida.
Para aqueles que gostam de ler um pouco sobre o tema da segurança de informação
Dissertação mestrado: estado da arte das palavras-passe final 2018 (em PT) http://hdl.handle.net/10071/17547
NIST Special Publication 800-63B Digital Identity Guidelines (em EN) https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-63b.pdf
Concretamente sobre o post, transcrito da dissertação de mestrado
Palavras-passe com datas de expiração, esta política não tem propriamente efeitos positivos, pelo contrário, os utilizadores ultrapassam a validade da palavra-passe adicionando mais um caracter, criando assim uma nova palavra-passe. Além disso, como são guardadas as palavras-passe antigas, ainda vai permitir fornecer mais informação em caso de invasão por parte de atacantes.
Finalmente. Falta acabar também com os teclados virtuais. Que raio de medida de segurança em que temos de escrever a nossa pass num ecrã com um rato sem poderes usar gestor de password e como é mais complicado clicar, usas pass simples, em que toda a gente está a ver o que estás a escrever. Uma medida parva para combater os keyloggers.
Discordo numa coisa, “se a senha não foi roubada não há necessisade de alterar”
E como sabemos a 100% que não foi roubada?
O objetivo não e saber se foi roubada ou não o obejtivo de uma password forte e tornar o mais dificil possivel de ser descoberta ou decifrada , porque todas as password têm a possibilidade de ser descobertas agora a facilidade de isso ser feito só depende de quem cria a password e dos protocolos de encriptação que depois estão por detras e que a guardam … Pois existem milhares de dicionários com milhões de passwords prontos a ser utilizados .
Realmente o que a microsoft diz é uma verdade… o problema ainda é quem está atrás de um computador sentado numa cadeira… o problema está aí!