Como você já sabe, a Microsoft alterou seu guia de política de expiração de senha. Em maio de 2019, eles postaram
uma postagem no blog explicando a decisão.
Especialistas no campo da segurança cibernética sabem que a pessoa comum possui uma senha que é fácil de digitar e, portanto, é fácil comprar um computador. Ao mesmo tempo, a necessidade de alterá-lo a cada poucos meses não altera o fato de que essas senhas são fáceis de serem obtidas. O poder dos computadores modernos permite que você force com força uma senha de 8 caracteres alfanuméricos em poucas horas. Alterar um ou dois dos oito caracteres não tornará a tarefa mais difícil.
Muito tempo se passou desde o lançamento das recomendações da Microsoft, e é hora de tirar conclusões. Vale a pena se livrar completamente da expiração de senhas? De fato, não é tão simples.
A política de expiração de senha é apenas um dos tijolos no muro de segurança cibernética. Não pegue um dos tijolos da parede se você não tiver outros métodos de proteção para compensar esta ação. Portanto, é melhor focar nos maiores fatores de risco da organização e elaborar uma estratégia de cibersegurança de maneira a reduzi-los.
Por que se livrar das políticas de expiração de senha?
O argumento da Microsoft sobre esse problema é que as políticas de expiração de senha têm pouco valor em termos de segurança das informações. Como resultado, eles não recomendam mais seu uso e excluíram esse elemento da estrutura do nível fundamental de segurança cibernética da Microsoft.
Mas a Microsoft não está pedindo para desativar todas as suas políticas de senha imediatamente. Eles apenas informam que sua estratégia de IS precisa mais do que apenas a expiração de senhas.
Devo excluir a política de senha?
A maioria das organizações deve manter a política de expiração de senha inalterada. Pense na seguinte pergunta simples: o que acontece se uma senha é roubada de um usuário?
As políticas de senha ajudam a reduzir a pressão do invasor, bloqueando seu canal de acesso vital dentro da rede. Quanto menor a senha, menos tempo resta para comprometer o sistema e os dados de saída (a menos que o invasor use outro ponto de entrada). A Microsoft acredita que todas as mesmas políticas, destinadas inicialmente a eliminar senhas comprometidas da rotação, na verdade apenas incentivam práticas inadequadas - por exemplo, reutilização e iteração fraca (vesna2019, leto2019, zima2019) de senhas, folhas de dicas nos monitores, etc.
Em uma palavra, a Microsoft acredita que o risco de práticas incorretas de senha é realmente maior do que os benefícios da implementação de políticas de expiração. Na Varonis, concordamos parcialmente com isso, mas, de fato, há um forte mal-entendido sobre o que a empresa precisa estar preparada para rejeitar essas políticas.
Essa alteração aprimora bastante a experiência do usuário e é fácil de implementar, mas no final, há uma chance de você aumentar apenas os riscos gerais se não seguir outras práticas recomendadas no setor, como:
- frases secretas : forçar senhas longas (16 ou mais caracteres) e complexas aumenta a dificuldade de quebrá-las. O antigo padrão de pelo menos 8 caracteres é quebrado em poucas horas nos PCs modernos.
- modelo de acesso mínimo necessário : em um mundo onde a constância nunca é violada, é essencial saber que o usuário tem acesso apenas à quantidade mínima necessária de dados.
- rastreamento de comportamento : você precisa detectar o comprometimento da conta com base nos desvios do login normal e no uso de dados fora do padrão. Apenas analisar estatísticas neste caso não ajudará.
- autenticação multifator : mesmo que o invasor saiba o nome de usuário e a senha, a autenticação multifator é um sério obstáculo para o invasor comum.
As senhas estão finalmente morrendo?
Essa é a questão principal, não é?
Existem várias tecnologias que procuram substituir senhas como um protocolo de autenticação de fato. O FIDO2 armazena credenciais em um dispositivo físico. A biometria, apesar das dúvidas sobre "singularidade, mas falta de privacidade", também é uma opção em potencial.
O novo paradigma é procurar métodos de autenticação que não possam ser
transmitidos acidentalmente ou facilmente roubados . Mas, até o momento, essas tecnologias não deixaram de ser corporativas.
setores no mainstream. Até então, a Varonis recomenda manter inalteradas as políticas de expiração de senha e considerar os inconvenientes dos usuários pequenos em nome do bem comum.
Como a Varonis ajuda a proteger contra roubo de identidade
A Varonis fornece proteção adicional para aprimorar suas políticas de senha. Monitoramos a atividade de arquivos, eventos no
Active Directory ,
telemetria de perímetro e outros recursos para criar um modelo básico de comportamento do usuário. Em seguida, comparamos com o comportamento atual com base nos
modelos de ameaças internos para entender se a conta está comprometida.
O painel do Active Directory exibe contas que correm risco de comprometimento, como contas de serviço com privilégios administrativos, uma senha sem data de validade ou sem conformidade com os requisitos especificados nas políticas. Os modelos de ameaças também revelam várias variantes de anomalias de login, como entrar em um horário não padrão do dia, entrar em um novo dispositivo, uma força bruta potencial ou ataque de coleta de tickets.
Até lá, é melhor deixar as políticas de expiração de senha em vigor.
E se você quiser assistir o Varonis em ação, inscreva-se na
demonstração ao vivo de ataques cibernéticos . Mostraremos como realizar um ataque e demonstrar como detectar e investigar esses incidentes com base em nossa plataforma.