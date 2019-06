Rodrigo dos Santos



05/06/2019 | 09:48

O mês de maio ficará gravado nos autos da história informática por uma vitoria da sanidade e do pragmatismo sobre a paranoia irracional. E não estamos a falar de política, ou das guerras entre os Estados Unidos e a China por conta da Huawei. Falamos, sim, do fato de a Microsoft finalmente remover a política de expiração de passwords para as guias de segurança do Windows 10.

Crédito devido para à Microsoft. Ainda que a NIST e outras companhias tenham precedido nesta política, dada a dimensão da Microsoft e omnipresença do Windows 10 pelo mundo empresarial, é de fato uma mudança fundamental no mundo da indústria.

No passado, muitas empresas de larga escala requeriam que os seus usuários mudassem de password regularmente, uma prática bastante contraprodutiva. Citando a Microsoft, as pesquisas mais recentes demonstram que o valor das políticas relacionadas com a segurança das senhas, tais como a expiração periódica da palavra-passe, é questionável e melhores alternativas devem ser procuradas.

E surge sempre a questão de que, se uma password não é furtada, não há razões para a expirar. E se há motivos para duvidar da segurança de uma senha, não se deve esperar pelo período de expiração para a renovar, mas sim, deve-se atuar de imediato para resolver o problema.

Quer ficar por dentro do mundo da tecnologia e ainda baixar gratuitamente nosso e-book Manual de Segurança na Internet? Clique aqui e assine a newsletter do 33Giga

Afinal, no mercado também existem outras tecnologias de segurança, como autentificação de multifator, detecção de desbloqueamento de passwords, detecção de anomalias na autentificação, entre outras. Se uma empresa implementar estas práticas de segurança, fará sentido manter uma expiração periódica da password? Sem falar da questão de qual é o grau de eficiência desta medida, se mais nenhuma medida de segurança é conjuntamente implementada.

A Microsoft termina concluindo que a expiração de password é um método arcaico e ultrapassado de pouco valor para a segurança das entidades.

Se a sua empresa usar ainda este método de segurança, informe os seus responsáveis deste blog, para que eles também possam seguir no tempo e nas metodologias de segurança. Poderão resistir um pouco ao início, mas deverão perceber que não podem ficar para trás.

Uma boa dica é usar softwares de gerenciamento de passwords, como o LastPass e o 1Password, normalmente disponíveis gratuitamente até a algum grau. Podem usar estas ferramentas para eliminar, ou pelo menos minimizar a reutilização de passwords em diferentes plataformas. E procurem sempre usar autentificação de dois passos, mesmo que essa use SMS. Um sistema desses sempre é melhor que só usar um passo de autentificação.

Outra dica, se trabalham com bases de dados, nunca depositem as vossas passwords nessas bases de dados, pois elas acabam por se difundir e são muito difíceis de apagar do sistema, uma vez no mesmo.

E lembrar sempre que a segurança total não existe. Haverá sempre formas de contornar os sistemas de segurança. Cabe a cada um de nós providenciar-se com os melhores métodos de segurança, e esses métodos estão disponíveis. Se seguirem as regras de forma permanente, as probabilidades de sucesso serão melhores. E para reduzir o ruido, reduzir o número de condutas e regras ao mínimo necessário é uma boa pratica. Nesse contexto, terminar com a expiração automática de passwords é um bom começo.