Quem nunca se deparou com a tela acima ou com a mensagem de que a senha expirou e precisa ser trocada?
Muitas empresas exigem que seus funcionários mudem sua senha a cada 90 dias. É uma política inconveniente que leva as pessoas a perguntar o por quê disso. Precisa mesmo?
Sendo bem direto, não! Mudanças frequentes de senha podem ter sido uma boa ideia em anos passados, mas não são necessárias hoje. Continue lendo para saber por quê.
O pensamento por trás das mudanças obrigatórias de senha
A ideia por trás da expiração forçada da senha é simples. Se suas credenciais estão sempre mudando, é mais difícil para um atacante saber o que eles são a qualquer momento. Por exemplo, um cibercriminoso pode encontrar uma lista de senhas vazadas. Mas se o vazamento tiver três meses, e você girar sua senha a cada 90 dias, as informações estarão desatualizadas. O atacante não pode usar essas credenciais para entrar em sua conta.
Alterações periódicas de senha também protegem você contra ataques de força bruta – uma abordagem que se baseia em tentativa e erro. Isso inclui ataques de dicionário, que priorizam palavras, frases e combinações de caracteres que aparecem mais frequentemente em senhas, como “qwerty” e “1234567”.
Se suas credenciais permanecerem as mesmas, um cibercriminoso pode ser capaz de quebrá-los desde que tenham poder de computação, tempo e paciência suficientes. Mas se eles mudam a cada 90 dias, o processo se torna mais difícil.
Ok, mas por que 90 dias?
Algumas empresas escolhem 30 dias, outras 90 ou até 180 dias, mas 90 dias é o mais comum. E pra explicar o por quê, precisamos falar sobre hashing de senha.
Hoje, recomenda-se que as empresas armazenem senhas como hashes. Isso significa que sua verdadeira senha é embaralhada usando um processo secreto chamado uma função de hash criptográfico (CHF). Ao inserir sua senha, a empresa executa-a através do CHF e confirma que o resultado corresponde à senha hashed armazenada em seu banco de dados.
Hashing torna mais complicado realizar um ataque de força bruta. Primeiro, o cracker precisa de tempo para descobrir o algoritmo de hashing que está sendo usado. Em seguida, eles têm que testar possíveis senhas executando-as através do algoritmo e comparando o resultado com a senha hashed aceita pela plataforma. O processo se torna ainda mais complicado se a empresa adicionar uma sequência aleatória de caracteres a cada senha antes do processo de hashing – uma técnica chamada de sal (salt em inglês).
Não há uma resposta definitiva por quanto tempo um ataque de força bruta levará. Depende de uma série de fatores, incluindo a força da senha e o poder computacional disponível para o cibercriminoso. Mas, por muito tempo, especialistas em segurança sentiram que 90 dias eram curtos o suficiente para “bater” em qualquer cracker que tentasse forçar uma senha hashed – sem ser muito inconveniente para o dono da conta, que é responsável por atualizar a senha.
Por que não é mais necessário?
Atualizações obrigatórias de senha são sempre inconvenientes. Afinal, ninguém gosta de ficar trocando senha sempre, isso, inclusive, leva pessoas a criarem senhas fracas, Afinal, quando solicitado para alterar uma senha, as pessoas raramente escolhem uma que seja forte e única. Em vez disso, eles optam por algo mais memorável por qualquer um:
- Uma nova senha que é óbvia, como “password123”, ou
- Uma senha que é apenas ligeiramente diferente do que eles tinham antes, como “Password124” e depois “Password125” e assim por diante.
Senhas comuns são fáceis de memorizar, mas também simples para um cracker adivinhar. Como explica o Instituto Nacional de Padrões e Tecnologia (NIST). É como trocar a fechadura da sua porta da frente, mas substituí-la por algo que qualquer ladrão poderia destrancar em cinco minutos.
O custo de redefinir senhas
Aqui está outro problema: se você não tem um gerenciador de senhas, é fácil perder o controle de suas senhas constantemente atualizadas.
Algumas pessoas escrevem suas senhas para resolver esse problema. Ou eles fazem alguns palpites incorretos e, finalmente, têm que pedir ao seu departamento de TI uma redefinição de senha.
De acordo com o Gartner Group, entre 20% e 50% de todas as chamadas de help desk de TI são para redefinições de senha. Isso é muito tempo que poderia ser melhor gasto em outros projetos. E como diz o velho ditado, tempo é dinheiro.
Quando eu trabalhei com suporte técnico, posso garantir que, durante a Pandemia do Corona Vírus (2019), o número de requisições com a conta bloqueada por senha digitada errada 5 vezes era muito maior que 50%.
A Forrester Research estima que o custo de trabalho de um único reset de senha é de US$ 70. Agora multiplique esse número pelo número de pessoas que provavelmente esquecerão sua senha se forem forçadas a escolher uma nova a cada 90 dias. Sim, é uma questão cara.
Há mais um problema com redefinições de senha: uma vez que eles recuperaram o acesso, o proprietário da conta tem que definir a outra nova senha, que reinicia o ciclo e só torna mais difícil para eles lembrarem qual conta está protegida por qual senha.
O que você deve fazer em vez disso
A melhor maneira de se proteger é com senhas fortes e únicas. Estas são difíceis para os cibercriminosos quebrarem e, portanto, não precisam ser atualizados a cada 90 dias.
Você só precisa atualizá-las se eles aparecerem em um vazamento, ou se descobrir que a empresa, plataforma ou serviço que os guarda foi comprometido. Visite Have I Been Pwned para descobrir rapidamente se alguma de suas credenciais precisa ser mudada. Se você estiver usando o 1Password, a Watchtower irá verificar em seu nome e notificá-lo sempre que houver um problema ou se estiver usando o Enpass, ele também pode monitorar, porém somente na versão Premium, que é paga.
Aqui estão algumas dicas para criar senhas fortes e únicas:
- Não use senhas comuns. Isso inclui “123456”, “qwerty” e “senha”. Não use modificadores comuns, também, como adicionar sua data de nascimento ao fim de uma senha já óbvia.
- Faça suas senhas bastante longas. Quanto mais longa a senha, mais difícil é para um cibercriminoso adivinhar ou quebrar com um ataque de força bruta. Você pode testar quanto tempo um cracker levaria para descobrir sua senha em https://howsecureismypassword.net
- Use números e símbolos. Caracteres especiais complementam a complexidade de uma senha. Você pode alcançar um nível semelhante ou maior de complexidade, estendendo o comprimento da senha em vez.
Nosso gerador de senhas gratuito pode ajudá-lo a criar senhas que atendam a todos esses critérios. Se você quiser adicionar outro nível de segurança, você também pode usar um nome de usuário único e gerado aleatoriamente para cada conta.
O jogo de espera
Pode demorar um pouco até que cada empresa abandone sua política de expiração de senha. Com um gerenciador de senhas, é possível criar senhas fortes e únicas sempre que for preciso atualizar uma antiga. Você também tem um lugar seguro para armazená-los e um histórico completo de senhas no caso de precisar verificar o que você escolheu antes.
Sem estresse. E você nunca mais precisará pedir ao seu departamento de TI para redefinir uma de suas senhas novamente.