Este guia descreve e modela orientações e recomendações de senha modernas para designers e engenheiros que criam aplicativos on-line seguros. Um guia relacionado, Segurança de senha moderna para usuários, oferece orientações para usuários finais. Este guia aborda a ampla variedade de opções a serem consideradas ao criar um sistema de autenticação baseado em senha. Ele também estabelece um conjunto de recomendações focadas no usuário para políticas de senha e armazenamento, incluindo o equilíbrio entre a usabilidade e o nível de segurança da senha.
O mundo da tecnologia vem tentando melhorar a questão das senhas desde os primórdios da computação. A autenticação pelo conhecimento compartilhado é problemática, porque as informações podem cair em mãos erradas ou ser esquecidas. O problema é intensificado por sistemas não compatíveis com casos de uso seguros do mundo real e pela decisão frequente dos usuários de tomar atalhos.
De acordo com um estudo da Yubico/Ponemon de 2019, 69% dos entrevistados admitem compartilhar senhas com seus colegas para acessar contas. Mais da metade dos entrevistados (51%) reutilizam uma média de cinco senhas nas contas pessoais e empresariais. Além disso, a autenticação de dois fatores (2FA, na sigla em inglês) não é amplamente usada, mesmo que adicione proteção além de um nome de usuário e senha. 67% dos entrevistados não adotam métodos de 2FA na vida pessoal, e 55% não adotam isso no trabalho.
Os sistemas de senha desenvolvidos para aplicativos modernos também podem permitir ou até mesmo incentivar os usuários a usar senhas não seguras. Sistemas que permitem apenas credenciais de fator único e que implementam políticas de segurança ineficientes aumentam o problema. Regras arbitrárias e inconsistentes permitem que os usuários lidem com as senhas de forma não segura, e os sistemas de recuperação de senha podem deixar o usuário e o aplicativo vulneráveis a categorias de ameaças que talvez não tenham sido consideradas.
Visão geral
Este documento descreve:
- Fontes confiáveis de informações ponderadas e pesquisadas sobre segurança de senhas
- Recomendações para engenheiros que desenvolvem sistemas de gerenciamento de senhas
- Antipadrões e lendas urbanas comuns sobre segurança de senha
- Tópicos para pesquisa complementar
Para ler todo o artigo, clique no botão: