Jump to content

Regras para passwords


Rui Carlos

Recommended Posts

O NIST publicou recentemente um conjunto de recomendações para relacionadas com autenticação, que incluem algumas recomendações sobre passwords, que vale a pena ler:

Citação

[...]

3.1.1.2 Password Verifiers

The following requirements apply to passwords:

  1. Verifiers and CSPs SHALL require passwords to be a minimum of eight characters in length and SHOULD require passwords to be a minimum of 15 characters in length.
  2. Verifiers and CSPs SHOULD permit a maximum password length of at least 64 characters.
  3. Verifiers and CSPs SHOULD accept all printing ASCII [RFC20] characters and the space character in passwords.
  4. Verifiers and CSPs SHOULD accept Unicode [ISO/ISC 10646] characters in passwords. Each Unicode code point SHALL be counted as a single character when evaluating password length.
  5. Verifiers and CSPs SHALL NOT impose other composition rules (e.g., requiring mixtures of different character types) for passwords.
  6. Verifiers and CSPs SHALL NOT require users to change passwords periodically. However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.
  7. Verifiers and CSPs SHALL NOT permit the subscriber to store a hint that is accessible to an unauthenticated claimant.
  8. Verifiers and CSPs SHALL NOT prompt subscribers to use knowledge-based authentication (KBA) (e.g., “What was the name of your first pet?”) or security questions when choosing passwords.
  9. Verifiers SHALL verify the entire submitted password (i.e., not truncate it).

[...]

Em particular, temos agora recomendações claras para acabar com os requisitos parvos de complexidade de passwords que não baseados no tamanho, para que as passwords não expirem só porque sim, e para acabar com as questões de segurança.

Link to comment
Share on other sites

O tamanho é cada vez mais ridiculo.
Minímo e 8 obrigatório e de 15 recomendado: qualquer dia tenho de meter o primeiro canto d'Os Lusiadas como password.
Isto tudo para depois alguém fazer um MD5 e conseguir um clash com a palavra "batatas"...

E agora com a MS a gostar mais de um PIN do que das passwords, enfim...

  • Vote 1
10 REM Generation 48K!
20 INPUT "URL:", A$
30 IF A$(1 TO 4) = "HTTP" THEN PRINT "400 Bad Request": GOTO 50
40 PRINT "404 Not Found"
50 PRINT "./M6 @ Portugal a Programar."

 

Link to comment
Share on other sites

O tamanho é a melhor protecção contra brute force.  E a partir do momento em que se use um gestor de passwords, a diferença entre 8 caracteres e 100 é praticamente invisível.

Mas o que me agrada nas regras é que é bastante mais fácil seguir regras de tamanho do que regras de combinações de caracteres (que por vezes obrigam a caracteres especiais, mas só alguns), e acaba-se a treta das passwords expirarem a cada N meses sem motivo para tal (há certamente cenários em que faz sentido rodar passwords, mas não como política default).

Quanto ao MD5, há outras recomendações no texto, que tocam nessa parte 🙂 (quem usa MD5 não é propriamente seguidor deste tipo de recomendações).


Em 01/10/2024 às 09:33, M6 disse:

E agora com a MS a gostar mais de um PIN do que das passwords, enfim...

Não sei exactamente em que contextos a MS está a preferir PINs, mas parece-me uma solução aceitável para quando também há hardware que possuis envolvido (pc, telemóvel, FIDO key, smart card, etc.).  Mas diria que a preferência é mais por autenticação de dois factores (PIN, mais algo físico que se possui), do que por PIN.

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...

Important Information

By using this site you accept our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.