23°C 16°/ 24°
Microsoft

Microsoft renuncia à caducidade das palavras-passe por ser um método inútil

19 Comentários

As palavras-passe são altamente necessárias nos dias que hoje vivemos. Contudo, está tudo a tornar-se num complexo e inútil novelo de métodos de segurança. Nesse sentido, a Microsoft repudia a existência de senhas cujo prazo de validade expire. Diz a gigante do software que o método pode mesmo ser perigoso.

Quem verbaliza esta realidade é o principal consultor da empresa, referindo que “se não lhe roubaram a palavra-passe, não precisa de a trocar, nem precisa estar à espera que ela um dia expire para a modificar.”


Trocar de vez em quando as palavras-passe não resulta… diz a Microsoft!

Microsoft renuncia à caducidade das palavras-passe. De agora em diante, não exigirá a sua alteração periódica depois de verificar que é uma medida inútil e até perigosa. Contudo, a medida foi introduzida com a intenção de impedir que uma conta fosse pirateada, mas, segundo Aaron Margosis, principal consultor da empresa, a sua eficácia é nula.

Se uma palavra-passe não foi roubada, não há necessidade de a alterar. E se há evidências de que ela foi roubada, devemos agir imediatamente, sem esperar que expire.

Explica o especialista no blog de segurança da empresa (blog Microsoft Security Guidance).

 

E como podemos saber se a nossa segurança foi comprometida?

Não há aquele lugar genuíno para saber isso. No entanto, como já se falou por variadas vezes, existem sítios que podem mostrar se certo email, usado para autenticar nalgum serviço, caiu nas mãos de outras pessoas. Embora muito batido, o serviço web “‘;–have i been pwned?” tem já registados mais de 5 milhões de endereços de mail de contas afetadas até ao momento.

 

O problema está entre o ecrã e a cadeira… ainda!

Seja como for, Margosis reconhece que há problemas no sistema de palavras-passe. De acordo com um relatório recente, apenas 15% dos utilizadores usam métodos seguros de identificação, a maioria usa chaves vulneráveis. Apesar dos muitos avisos, há pessoas que usam senhas com uma sucessão de números, outros que continuam a colocar os seus nomes (data de nascimento), o nome da equipa de futebol ou do grupo de música favorito.

O motivo é a preguiça e a dificuldade das pessoas recordarem os códigos, quando estes são considerados fortes. Inegavelmente, a combinação de letras, números e símbolos, tornam a lembrança mais difícil.

Quando uma pessoa é forçada a mudar a palavra-passe, ela faz pequenas e previsíveis alterações na já usada.

Refere o consultor.

Embora a Microsoft renuncie à caducidade, mantém a recomendação de usar palavras-passe fortes. Além disso, é importante recorrer sempre que possível a processos de verificação em duas etapas (uso de outro dispositivo complementar para garantir a autenticidade do utilizador) ou programas de reconhecimento de dados biométricos, como o rosto ou a impressão digital.

A caducidade periódica da palavra-passe é uma fórmula antiga e obsoleta com muito pouco valor e acreditamos que ela não é válida dentro da nossa política de segurança.

Reconhece Margosis.

 

Sejamos criativos a dificultar a vida aos criminosos

O Centro de Cibersegurança Nacional do Reino Unido (National Cyber Security Center, NCSC), num relatório apresentado esta semana, mostra que, apesar das repetidas advertências, apenas 15% dos utilizadores utiliza métodos seguros, enquanto mais de 40 milhões de pessoas manter a sua senha do computador que não é mais que uma sequência simples de números (123456), dígitos iguais (111111) ou, pior ainda, as primeiras letras do teclado (QWERTY).

Outros códigos comummente utilizados são o nome próprio, o nome das equipas de futebol, grupos musicais ou personagens fictícias.

Existem ferramentas para tornar as contas mais seguras e a Microsoft incentiva a usá-las. Uma delas é o uso do token eletrónico, um dispositivo que armazena ou gera chaves, assinaturas digitais ou dados biométricos. Os cartões de crédito com leitor de impressão digital começaram a ser usados e também há teclados virtuais que alteram a posição do código cada vez que ele é usado. Além disso, existem programas de gestão de palavras-passe para organizar e proteger as chaves, bem como para as criar aleatoriamente.

Para as empresas e organizações começaram a proliferar serviços de cloud em que a entidade que fornece instalações também assume a segurança, a Microsoft tem o Azure, uma plataforma que não é mencionada a cessação das senhas e, segundo a empresa, usa “multi nível de controlos integrados e inteligência artificial contra as ameaças que evoluem rapidamente.”

 

As piores práticas no uso de palavras-passe em 2018

Autor: Vítor M.
Partilhar:
Tags:
Microsoft palavras passe
OnePlus 7 Pro: afinal, quanto pode custar na Europa?
Artigo anterior

OnePlus 7 Pro: afinal, quanto pode custar na Europa?
Questão Semanal: 63% dos leitores utiliza software pirata
Próximo artigo

Questão Semanal: 63% dos leitores utiliza software pirata
Também pode gostar
PUB

Comentários

19

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Pedro Teixeira
    Pedro Teixeira

    O título não afirma exactamente o contrário do que podemos ler no texto?

    Responder
    1. Avatar de Tim
      Tim

      Renunciar = dizer não
      Caducidade = prazo de validade

      Dizer não ao prazo de validade

      Responder
      1. Avatar de Pedro Teixeira
        Pedro Teixeira

        li na vertical e deu nisto. A justificação esta no texto “O problema está entre o ecrã e a cadeira” 😉

        Responder
        1. Avatar de André
          André

          No teclado? Hehehe

          Responder
          1. Avatar de Pedro
            Pedro

            Exacto ahahah

  2. Avatar de Pedro
    Pedro

    E um artigo sobre gerenciadores de password?
    Há mais gerenciadores para além do LastPass 😉

    Responder
    1. Avatar de Filipe
      Filipe

      Estou a usar o Bitwarden há 2 meses e até agora tem funcionado na perfeição

      Responder
      1. Avatar de Pedro
        Pedro

        Tb uso o Bitwarden há bastante tempo e realmente tem estado à altura. Só no Android é que ainda precisa de limar umas arestas

        Responder
    2. Avatar de KodiakShadows
      KodiakShadows

      Dashlane

      Responder
  3. Avatar de Milton
    Milton

    Finalmente que alguem diz o que pensa sem querer saber o que os outros vão dizer.
    Sinceramente sempre achei o mesmo mas a mentalidade das pessoas não ajuda….

    Responder
  4. Avatar de Pedro
    Pedro

    Isso e as perguntas/respostas secretas que muitas vezes basta ir ao Facebook de alguém para ficarmos a saber qual é o nome de solteiro da Mãe, o nome do animal de estimação ou a cidade onde nasceram.

    Responder
  5. Avatar de Joao Ptt
    Joao Ptt

    Mudar as senhas é realmente boa ideia.
    Porquê? Bases de dados que são furtadas todos os dias de todo o lado por exemplo.
    Para evitar que algum amigo/ conhecido abuse do acesso caso alguma vez tenha tido conhecimento dos dados.
    Se a senha tiver sido furtada de algum outro dispositivo para não poder ser utilizada indefinidamente.
    Se alguém fizer login em algum dispositivo de outra pessoa para que essa pessoa não tenha acesso indefinido no tempo à conta (alguns browsers guardam os dados automaticamente por exemplo).

    Sim, existem muitos casos em que mudar a senha não tem qualquer utilidade, mas existem muitos outros em que mudar a senha de facto ajuda a manter a conta segura! Como expliquei acima.

    Responder
    1. Avatar de JJ_
      JJ_

      Em todos esses cenários… o problema é do utilizador. Se ele usar com responsabilidade a sua password, a menos que seja roubada, não existe motivo de a alterar.

      Responder
  6. Avatar de Paulo Almeida
    Paulo Almeida

    Eu gostaria de perguntar, se assim é, qual o motivo da Microsoft não permitir a escolha de uma chave já utilizada anteriormente, num pedido de recuperação de uma pass esquecida.

    Responder
  7. Avatar de Luis Marques
    Luis Marques

    Para aqueles que gostam de ler um pouco sobre o tema da segurança de informação
    Dissertação mestrado: estado da arte das palavras-passe final 2018 (em PT) http://hdl.handle.net/10071/17547
    NIST Special Publication 800-63B Digital Identity Guidelines (em EN) https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-63b.pdf

    Concretamente sobre o post, transcrito da dissertação de mestrado
    Palavras-passe com datas de expiração, esta política não tem propriamente efeitos positivos, pelo contrário, os utilizadores ultrapassam a validade da palavra-passe adicionando mais um caracter, criando assim uma nova palavra-passe. Além disso, como são guardadas as palavras-passe antigas, ainda vai permitir fornecer mais informação em caso de invasão por parte de atacantes.

    Responder
  8. Avatar de Nuno José Almeida
    Nuno José Almeida

    Finalmente. Falta acabar também com os teclados virtuais. Que raio de medida de segurança em que temos de escrever a nossa pass num ecrã com um rato sem poderes usar gestor de password e como é mais complicado clicar, usas pass simples, em que toda a gente está a ver o que estás a escrever. Uma medida parva para combater os keyloggers.

    Responder
  9. Avatar de ervilhoid
    ervilhoid

    Discordo numa coisa, “se a senha não foi roubada não há necessisade de alterar”

    E como sabemos a 100% que não foi roubada?

    Responder
    1. Avatar de Ricardo
      Ricardo

      O objetivo não e saber se foi roubada ou não o obejtivo de uma password forte e tornar o mais dificil possivel de ser descoberta ou decifrada , porque todas as password têm a possibilidade de ser descobertas agora a facilidade de isso ser feito só depende de quem cria a password e dos protocolos de encriptação que depois estão por detras e que a guardam … Pois existem milhares de dicionários com milhões de passwords prontos a ser utilizados .

      Responder
  10. Avatar de falcaobranco
    falcaobranco

    Realmente o que a microsoft diz é uma verdade… o problema ainda é quem está atrás de um computador sentado numa cadeira… o problema está aí!

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.