search
A mídia que reinventa a empresa
Registrar un software

10 dicas para uma política de senha eficaz

10 dicas para uma política de senha eficaz

Por Jennifer Montérémal

Em 28 de outubro de 2024

Sua empresa já adotou uma política de senhas?

Você pode pensar que a geração de senhas fortes (comprimento, letras maiúsculas e minúsculas, números etc.) seria suficiente para proteger o acesso às várias contas e dados da sua organização. Mas, embora esse seja um bom começo, é aconselhável ir além. Ainda mais em um ambiente de trabalho que está se tornando mais complexo a cada dia, com a proliferação de ferramentas de trabalho.

Uma boa política de senhas vem com várias regras que precisam ser observadas para garantir a segurança ideal. Ao mesmo tempo, ela deve levar em conta a experiência do usuário.

Gostaria de ver um exemplo de uma política de senhas eficaz? Leia este artigo e inspire-se com nossas 10 dicas.

O que é uma política de senha corporativa?

Política de senhas: definição

Uma política de senhas é uma política estabelecida em uma empresa, geralmente pelo departamento de TI, com o objetivo de definir a maneira pela qual :

  • como as senhas são criadas
  • mas também são usadas,

as senhas dos funcionários são criadas e usadas.

Seu objetivo é aumentar a segurança do acesso às diversas ferramentas e informações da empresa.

☝️ O desempenho de sua política de senhas só pode ser garantido se ela for perfeitamente clara para os funcionários e totalmente integrada à estratégia geral de segurança da empresa.

Exemplo de uma política de gerenciamento de senhas

Política de senhas da ANSSI

Um dos padrões de referência para políticas de senha é .

Você pode fazer o download de um documento no site da ANSSI que contém todas as recomendações sobre segurança de senhas.

Também adotaremos algumas das recomendações dadas pela ANSSI, especialmente as relacionadas à criação de senhas fortes.

Política de senhas do Active Directory

Outro exemplo é a política de senhas do Active Directory.

Muitas organizações que operam em um ambiente Microsoft usam essa estrutura para gerenciar de forma centralizada a identificação e a autenticação de sua rede de computadores.

Nesse caso, as várias regras são implantadas :

  • por meio de GPOs (Objetos de Política de Grupo): há apenas uma política de senha aplicável a todos os funcionários que operam no mesmo domínio;
  • ou por meio de FGPPs (políticas de senhas granulares): elas permitem o desenvolvimento de políticas diferentes para usuários diferentes no mesmo domínio. Voltaremos a esse ponto mais adiante.

Para este artigo, vamos manter as coisas simples e nos concentrar nas principais práticas recomendadas a serem seguidas, extraídas das recomendações de vários órgãos de referência (política de senhas da CNIL, ANSSI etc.).

Dica 1: crie uma senha complexa e segura

O que é uma senha complexa?

Há várias regras para a criação de uma senha complexa. Dessa forma, ela será difícil de ser contornada, mesmo por hackers com ferramentas automatizadas.

Ao usar uma senha forte, você estará mais protegido contra :

  • ataques de força bruta, que envolvem testar diferentes combinações até encontrar a correta;
  • ataques de dicionário (tentar todas as palavras do dicionário).

Composição de uma senha complexa :

Ela deve conter :

  • pelo menos 8 caracteres. A ANSSI recomenda até mesmo um comprimento mínimo de 12 caracteres,
  • caracteres especiais, como sinais de pontuação,
  • números,
  • letras maiúsculas e minúsculas.

Não use palavras do dicionário ou nomes próprios, que são muito vulneráveis às tecnologias usadas pelos hackers.

Por fim, evite datas ou elementos que se refiram a informações pessoais (sua data de nascimento, por exemplo).

Exemplo de uma senha forte: Lm%zeR5aa9m $

Como posso criar uma senha segura?

Há várias maneiras de fazer isso. Mas lembre-se de que a senha perfeita precisa ser forte... mas também fácil de lembrar! Caso contrário, o usuário pode se comportar de forma a comprometer sua segurança, como escrevê-la em um papel ou em um arquivo de computador.

Portanto, mesmo que você possa usar um gerador de senhas complexas, opte por um método que permita que você se lembre delas facilmente.

Aqui está um método recomendado pela ANSSI:

  • Escolha uma frase, suficientemente longa e que contenha números, algarismos e, de preferência, caracteres especiais (uma citação, um provérbio, o trecho de uma música etc.). Exemplo:

É melhor ser o homem de um mestre do que o homem de dez livros
  • Mantenha as primeiras letras, números e caracteres especiais. Você também pode adicionar letras maiúsculas para aumentar a segurança:
Mvel'Hd'1smql'Hd10l

Descubra outros métodos para gerar senhas memoráveis em nosso artigo dedicado.

Dica 2: Renove suas senhas regularmente

Mesmo uma senha forte pode ser comprometida com o tempo. Portanto, recomendamos que você as altere regularmente. A ANSSI recomenda até mesmo renová-las a cada 90 dias.

Também é altamente recomendável que você altere sua senha à menor suspeita de violação de segurança. Esse pode ser o caso se você souber que uma das empresas nas quais você tem uma conta foi hackeada.

☝️ Cuidado: se os períodos de validade forem muito curtos, os usuários ficarão tentados a usar senhas mais fracas ou semelhantes a senhas anteriores para facilitar a memorização.

Por isso, é necessário encontrar um meio-termo. Por exemplo, uma política de senha do Active Directory possibilita a aplicação de regras diferentes a perfis diferentes. Dentro dessa estrutura, o administrador pode exigir uma renovação mais frequente para os usuários que estão em maior contato com os dados confidenciais da empresa (e que estão cientes do que está em jogo), como os membros da gerência.

Dica 3: mantenha as senhas confidenciais

Para proteger suas senhas e, portanto, o acesso aos seus sistemas de informação, é necessário garantir total confidencialidade.

Aqui estão 8 regras a serem seguidas:

  1. Nunca compartilhe sua senha, mesmo com um administrador ou gerente de linha.
  2. Não peça a terceiros que gerem uma senha para você.
  3. Altere a senha padrão atribuída a você pelos administradores da empresa na primeira vez em que fizer logon.
  4. Nunca forneça sua senha por e-mail, telefone ou mensagem de texto.
  5. Não anote seus detalhes de login em papel.
  6. Também não os anote em um arquivo de computador, como o Excel.
  7. Nunca reutilize uma senha que você já tenha usado no passado.
  8. Ao usar uma conexão compartilhada (uma conexão Wi-Fi em um hotel, por exemplo), opte pela navegação privada ou use uma VPN. Isso limitará os rastros que você deixa.

Dica 4: use senhas diferentes para serviços diferentes

Recomendamos que você não use a mesma senha para serviços diferentes (use identificadores semelhantes para o e-mail do trabalho e a caixa de correio particular, por exemplo).

Se uma tentativa de invasão for bem-sucedida, o hacker poderá testá-la automaticamente para acessar diferentes sites e ferramentas de trabalho. E uma grande parte do sistema de informações de sua empresa poderá ser comprometida!

Dica 5: Gerencie com cuidado a conexão e a desconexão de diferentes serviços

Aqui estão três preceitos a serem seguidos:

  1. Sempre desconecte quando sair de um serviço.
  2. Configure seu software e navegadores da Web para que eles não se lembrem de suas senhas. Caso contrário, se alguém com intenções mal-intencionadas assumir o controle de sua sessão, terá acesso fácil a todos os seus identificadores.
  3. Programe seu computador para entrar no modo de espera após um determinado período de inatividade. Isso o protegerá de olhares mal-intencionados quando você estiver ausente por algum tempo.

Dica 6: Ative a autenticação dupla, se possível

Alguns serviços oferecem autenticação dupla, ou autenticação forte.

Essa tecnologia envolve pelo menos dois procedimentos diferentes para fazer login. Por exemplo:

  • um fator de autenticação memorizado, como o tradicional par login/senha,
  • e um fator de autenticação física, como um telefone celular que envia um código temporário por mensagem de texto.

Há também fatores biométricos, relacionados a uma pessoa, como uma impressão digital.

O método de autenticação forte está disponível para muitos serviços, como o Google Workspace.

Dica 7: conscientize os funcionários

Obviamente, a política de senhas de uma empresa só será eficaz se houver um esforço real para conscientizar os funcionários.

Portanto, é aconselhável informar os usuários sobre :

  • os riscos envolvidos
  • seu escopo (nem todos sabem que, se sua estação de trabalho estiver vulnerável, todo o sistema de informações da empresa poderá ser comprometido),
  • as práticas recomendadas a serem adotadas.

Dica 8: Realize verificações e auditorias

No que diz respeito ao administrador, devem ser realizadas verificações e auditorias regulares para :

  • verificar a força das senhas usadas pelos funcionários
  • detectar quaisquer outras falhas de segurança,
  • entrar em contato com um funcionário "descuidado" para que sejam tomadas medidas corretivas.

Essas verificações podem ser realizadas por meio de uma empresa de hacking ético, cuja missão é identificar falhas de segurança nas empresas.

Elas também podem ser realizadas internamente. Como veremos mais adiante, alguns pacotes de software geram um inventário das senhas usadas pelos funcionários (são fracas? duplicadas? usadas para contas diferentes?). O administrador pode, então, visitar o funcionário para conscientizá-lo e sugerir áreas de melhoria.

Dica 9: use ferramentas de gerenciamento de políticas de senhas

Existem ferramentas disponíveis para apoiar a implantação de uma política de senhas na empresa (não confundir com um gerenciador de senhas).

Uma dessas soluções é o Specops Password Policy, que tem a particularidade de oferecer suporte a organizações que operam por meio do Active Directory. Com esse software, você pode :

  • Garantir que as políticas de senha usadas na empresa estejam em conformidade com as recomendações de segurança (composição, tamanho da senha, tempo de vida curto etc.);
  • Bloquear senhas fracas e senhas comprometidas com uma lista de mais de 2 bilhões de senhas;
  • realizar auditorias para detectar senhas inseguras e enviar mensagens aos usuários para incentivá-los a aplicar as boas práticas.

Dica 10: Use um gerenciador de senhas

Lembrar-se de todas as suas senhas diferentes (que devem ser exclusivas) pode ser entediante... se não for impossível. O cérebro humano não está calibrado para isso.

Como resultado, os usuários são frequentemente tentados a recorrer a métodos perigosos (como anotar seus identificadores em um arquivo).

É por isso que recomendamos o uso de um gerenciador de senhas como o LockPass. Esse software, que é 100% francês e certificado pela ANSSI, oferece várias vantagens:

  • Você só precisa se lembrar de uma senha mestra para acessar todos os seus logins. Os usuários podem se conectar diretamente às suas diferentes contas usando um plug-in de navegador, sem precisar digitar suas senhas todas as vezes;
  • Ao mesmo tempo, os administradores podem definir uma política de senha em nível organizacional ou em um nível mais macro (para equipes que lidam com dados confidenciais, por exemplo).Ao mesmo tempo, os administradores podem definir uma política de senhas no nível da organização ou em um nível mais macro (para equipes que lidam com dados confidenciais, por exemplo), de modo que cada senha adicionada ao cofre atenda aos critérios predefinidos. O mapeamento em tempo real de todos os identificadores da empresa permite garantir a conformidade com as regras estabelecidas.

Portanto, há muitas soluções disponíveis no mercado para ajudá-lo a implementar uma política de senhas eficaz na sua empresa... sem comprometer a experiência do usuário.

Artigo traduzido do francês