Rui Carlos Posted September 30, 2024 at 05:05 PM Report Share #633569 Posted September 30, 2024 at 05:05 PM O NIST publicou recentemente um conjunto de recomendações para relacionadas com autenticação, que incluem algumas recomendações sobre passwords, que vale a pena ler: Citação [...] 3.1.1.2 Password Verifiers The following requirements apply to passwords: Verifiers and CSPs SHALL require passwords to be a minimum of eight characters in length and SHOULD require passwords to be a minimum of 15 characters in length. Verifiers and CSPs SHOULD permit a maximum password length of at least 64 characters. Verifiers and CSPs SHOULD accept all printing ASCII [RFC20] characters and the space character in passwords. Verifiers and CSPs SHOULD accept Unicode [ISO/ISC 10646] characters in passwords. Each Unicode code point SHALL be counted as a single character when evaluating password length. Verifiers and CSPs SHALL NOT impose other composition rules (e.g., requiring mixtures of different character types) for passwords. Verifiers and CSPs SHALL NOT require users to change passwords periodically. However, verifiers SHALL force a change if there is evidence of compromise of the authenticator. Verifiers and CSPs SHALL NOT permit the subscriber to store a hint that is accessible to an unauthenticated claimant. Verifiers and CSPs SHALL NOT prompt subscribers to use knowledge-based authentication (KBA) (e.g., “What was the name of your first pet?”) or security questions when choosing passwords. Verifiers SHALL verify the entire submitted password (i.e., not truncate it). [...] Em particular, temos agora recomendações claras para acabar com os requisitos parvos de complexidade de passwords que não baseados no tamanho, para que as passwords não expirem só porque sim, e para acabar com as questões de segurança. Rui Carlos Gonçalves Link to comment Share on other sites More sharing options...
M6 Posted October 1, 2024 at 08:33 AM Report Share #633571 Posted October 1, 2024 at 08:33 AM O tamanho é cada vez mais ridiculo. Minímo e 8 obrigatório e de 15 recomendado: qualquer dia tenho de meter o primeiro canto d'Os Lusiadas como password. Isto tudo para depois alguém fazer um MD5 e conseguir um clash com a palavra "batatas"... E agora com a MS a gostar mais de um PIN do que das passwords, enfim... 1 Report 10 REM Generation 48K! 20 INPUT "URL:", A$ 30 IF A$(1 TO 4) = "HTTP" THEN PRINT "400 Bad Request": GOTO 50 40 PRINT "404 Not Found" 50 PRINT "./M6 @ Portugal a Programar." Link to comment Share on other sites More sharing options...
Rui Carlos Posted October 1, 2024 at 05:41 PM Author Report Share #633572 Posted October 1, 2024 at 05:41 PM O tamanho é a melhor protecção contra brute force. E a partir do momento em que se use um gestor de passwords, a diferença entre 8 caracteres e 100 é praticamente invisível. Mas o que me agrada nas regras é que é bastante mais fácil seguir regras de tamanho do que regras de combinações de caracteres (que por vezes obrigam a caracteres especiais, mas só alguns), e acaba-se a treta das passwords expirarem a cada N meses sem motivo para tal (há certamente cenários em que faz sentido rodar passwords, mas não como política default). Quanto ao MD5, há outras recomendações no texto, que tocam nessa parte 🙂 (quem usa MD5 não é propriamente seguidor deste tipo de recomendações). Em 01/10/2024 às 09:33, M6 disse: E agora com a MS a gostar mais de um PIN do que das passwords, enfim... Não sei exactamente em que contextos a MS está a preferir PINs, mas parece-me uma solução aceitável para quando também há hardware que possuis envolvido (pc, telemóvel, FIDO key, smart card, etc.). Mas diria que a preferência é mais por autenticação de dois factores (PIN, mais algo físico que se possui), do que por PIN. Rui Carlos Gonçalves Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now