Este guia descreve e modela orientações e recomendações modernas sobre palavras-passe para designers e engenheiros que criam aplicações online seguras. Um guia relacionado, Segurança moderna de palavras-passe para utilizadores, oferece orientações para os utilizadores finais. Este guia aborda a vasta gama de opções a ter em conta ao criar um sistema de autenticação baseado em palavras-passe. Também estabelece um conjunto de recomendações focadas no utilizador para políticas de palavras-passe e armazenamento, incluindo o equilíbrio entre a força da palavra-passe e a usabilidade.
O mundo da tecnologia tem tentado melhorar a palavra-passe desde os primórdios da informática. A autenticação de conhecimento partilhado é problemática porque as informações podem cair em mãos erradas ou ser esquecidas. O problema é ampliado pelos sistemas que não suportam exemplos de utilização seguros do mundo real e pela decisão frequente dos utilizadores de usar atalhos.
De acordo com um estudo da Yubico/Ponemon de 2019, 69% dos inquiridos admitem partilhar palavras-passe com os colegas para acederem a contas. Mais de metade dos inquiridos (51%) reutiliza uma média de cinco palavras-passe nas respetivas contas empresariais e pessoais. Além disso, a autenticação de dois fatores (2FA) não é amplamente utilizada, apesar de adicionar proteção além de um nome de utilizador e uma palavra-passe. Dos inquiridos, 67% não usa nenhuma forma de A2F na sua vida pessoal e 55% não a usa no trabalho.
Os sistemas de palavras-passe concebidos para aplicações modernas também podem permitir ou até incentivar os utilizadores a usar palavras-passe inseguras. Os sistemas que permitem apenas credenciais de fator único e que implementam políticas de segurança ineficazes agravam o problema. As regras arbitrárias e inconsistentes permitem que os utilizadores processem as respetivas palavras-passe de forma insegura, e os sistemas de recuperação de palavras-passe podem deixar o utilizador e a aplicação vulneráveis a categorias de ameaças que podem não ter considerado.
Vista geral
Este documento descreve:
- Fontes fidedignas de informações ponderadas e pesquisadas sobre a segurança das palavras-passe
- Recomendações para engenheiros que criam sistemas de gestão de palavras-passe
- Antipadrões comuns e lendas urbanas sobre a segurança das palavras-passe
- Tópicos para pesquisa adicional
Para ler o relatório técnico completo, clique no botão: