Por que mudar sua senha regularmente não é uma boa ideia?

Um dos insights mais duradouros sobre segurança de senhas é que alterá-las regularmente aumenta a segurança. Pelo menos é isso que as equipes de TI ao redor do mundo vêm incentivando as pessoas a fazer há décadas.

No entanto, esse conselho sempre encontrou oposição. Muitos no setor de segurança argumentam que isso leva a senhas que ainda são fáceis de lembrar. Agora, pesquisas comprovaram essa teoria, ilustrando que alterar senhas com frequência leva a problemas de segurança.

Alterar senhas com frequência leva a uma segurança precária

Muitos de nós achamos intimidantes as mudanças obrigatórias de senha a cada 4, 6 ou 8 semanas. Um grupo de TI promoveu a ideia de que alterar sua senha tornaria qualquer violação de segurança inútil, já que todos usariam a nova senha.

Na prática, isso leva a fraquezas na criação de senhas. Em vez de criar senhas fortes, únicas e difíceis de adivinhar, a maioria das pessoas escolhe senhas fáceis de lembrar, com partes pequenas e repetidas.

Por exemplo, uma senha forte de 16 caracteres pode ser "hS'9{yX?Fzu#=_:R", que inclui uma mistura de letras maiúsculas e minúsculas, números e símbolos. É difícil lembrar, mas com o tempo você pegará o jeito. Por outro lado, se você tiver que trocar sua senha todo mês, não terá tempo para lembrar disso. Como resultado, as pessoas começaram a usar frases mais memoráveis ​​com pequenas partes repetidas.

• Janeiro: difficultpassword1
• Fevereiro: d1fficultpassword2
• Março: d1ff1cultp4ssword3
• V,v...

Escolha senhas fortes e exclusivas (ou use um gerenciador de senhas)

O Centro Nacional de Segurança Cibernética do Reino Unido recomenda não usar senhas comuns desde 2015 e agora, em 2024, o Instituto Nacional de Padrões está seguindo o exemplo.

O novo conselho recomenda que as senhas expirem a cada 365 dias, mudando significativamente o período — e aumentando a segurança.

Ao mesmo tempo, o NIST também está atualizando suas mensagens sobre o comprimento e a força das senhas. Em alguns casos, as regras de geração de senhas limitam os usuários a 12 caracteres ou impedem que certos símbolos sejam usados. Atualmente, o NIST recomenda que todas as senhas devem:

• Mínimo de 15 caracteres
• Máximo de 64 caracteres
• Inclui todos os caracteres ASCII, caracteres de espaço em branco e caracteres Unicode

Essas mudanças significam que mais campos de entrada de senha permitirão frases-senha mais fortes e fáceis de memorizar, ao mesmo tempo em que a força geral da senha também será aumentada.

É claro que qualquer organização preocupada com a segurança de senhas deve habilitar o uso de um gerenciador de senhas. Há considerações de segurança adicionais envolvidas no uso de um gerenciador de senhas, como armazenamento local de dados, criptografia de conhecimento zero, etc., mas é uma prática recomendada proteger todas as suas contas com senhas fortes.