Resumo:

A Microsoft removeu a recomendação para alterações periódicas de senha de suas diretrizes de segurança. Essa alteração foi implementada porque os usuários tendem a criar senhas mais simples e reutilizá -las em várias contas quando forçadas a alterar suas senhas regularmente. Em vez de alterações obrigatórias de senha, os defensores da Microsoft para o uso de autenticação multifator. Para impedir que os usuários criem senhas fracas, as organizações podem aplicar políticas de senha que exigem o uso de todos os tipos de caracteres, proibem palavras comuns e impedir o uso de senhas anteriores. Além disso, as organizações devem impedir que os usuários usem senhas que foram expostas em violações de dados. Para ajudar no gerenciamento de senhas, o AdSelfService Plus oferece um recurso de executores de política de senha que permite que as organizações criem políticas de senha personalizadas. Esse recurso inclui regras sobre caracteres usados ​​na senha, repetição de caracteres ou uso de senhas antigas, uso de padrões e palavras comuns e a duração da senha. AdSelfService Plus também se integra com eu fui pwned? para alertar os usuários se suas senhas escolhidas foram violadas antes. Além do gerenciamento de senhas, o AdSelfService Plus oferece outros recursos como autenticação multifator.

Pontos chave:

1. A Microsoft removeu as mudanças de senha periódica obrigatória de suas diretrizes de segurança.
2. Os usuários tendem a criar senhas mais simples e reutilizá -las em várias contas quando forçadas a alterar senhas regularmente.
3. A Microsoft recomenda o uso da autenticação multifator.
4. A aplicação de políticas de senha pode ajudar a impedir que os usuários criem senhas fracas.
5. As políticas de senha podem incluir requisitos para usar todos os tipos de caracteres, proibir palavras comuns e impedir o uso de senhas anteriores.
6. A prevenção do uso de senhas expostas em violações de dados é crucial para a segurança da conta.
7. AdSelseelfService Plus oferece um recurso de política de política de senha para criar políticas de senha personalizadas.
8. O recurso de executor da política de senha inclui regras para caracteres usados, repetição de caracteres, uso de padrões e palavras comuns e comprimento de senha.
9. AdSelfService Plus integra com eu fui pwned? para alertar os usuários se suas senhas foram violadas antes.
10. O AdSelfService Plus fornece recursos adicionais, como autenticação multifator.

Questões:

1. Por que a Microsoft removeu as mudanças de senha obrigatória de suas diretrizes de segurança?

A Microsoft removeu as mudanças de senha obrigatória porque os usuários tendem a criar senhas mais simples e reutilizá -las em várias contas quando forçadas a alterar senhas regularmente.

2. Qual é a recomendação alternativa da Microsoft para segurança de senha?

A Microsoft recomenda o uso da autenticação multifator.

3. Como as organizações podem impedir os usuários de criar senhas fracas?

As organizações podem aplicar políticas de senha que exigem o uso de todos os tipos de caracteres, proíbem palavras comuns e impedir o uso de senhas anteriores.

4. Por que impedir o uso de senhas expostas em violações de dados importantes?

Prevendo o uso de senhas expostas em violações de dados é importante porque os invasores geralmente salvam e reutilizam essas senhas em ataques futuros.

5. Qual é o recurso de executor da política de senha oferecido pelo AdSelfService Plus?

O recurso de executor da política de senha permite que as organizações criem políticas de senha personalizadas com regras específicas para caracteres usados, repetição de caracteres, uso de padrões e palavras comuns e comprimento da senha.

6. Como o AdSelfService Plus se integra com eu fui pwned?

AdSelfService Plus integra com eu fui pwned? para alertar os usuários se as senhas que escolher foram violadas antes.

7. Além do gerenciamento de senhas, quais outros recursos o AdSelfService Plus oferece?

AdSelfService Plus oferece recursos como autenticação multifator.

8. Quais são os benefícios do uso da autenticação multifator?

O uso da autenticação multifator adiciona uma camada extra de segurança, exigindo que os usuários forneçam várias formas de autenticação, como uma senha e uma impressão digital, para verificação.

9. Por que é importante aplicar políticas de senha?

A aplicação das políticas de senha garante que os usuários criem senhas fortes e complexas que são mais seguras e menos suscetíveis ao acesso não autorizado.

10. Como o AdSelfServService e ajudam as organizações a melhorar a segurança?

O AdSelfService Plus oferece recursos como autenticação multifatorial, assinatura única e notificação de expiração de senha, que ajudam.

11. Quais são alguns exemplos de regras aplicadas por políticas de senha?

Exemplos de regras aplicadas por políticas de senha incluem o uso de uma combinação de letras maiúsculas, letras minúsculas, números e caracteres especiais, restringir a repetição consecutiva de um personagem específico do nome de usuário e impedir o uso de palavras dicionárias ou seqüências de teclado.

12. Como prevenir a reutilização de senha ajuda para melhorar a segurança?

A prevenção da reutilização de senha ajuda a melhorar a segurança, pois o uso da mesma senha em várias contas aumenta o risco de todas essas contas serem comprometidas se uma senha for exposta.

13. Como o AdSelfService Plus notifica os usuários sobre suas senhas em breve?

O AdSelfService Plus envia notificações aos usuários sobre suas senhas em breve, garantindo que estejam cientes e possam alterar suas senhas em tempo hábil.

14. Quais são os benefícios de usar um único sinal?

O uso de sinal único permite que os usuários efetuem login uma vez e acessem vários aplicativos sem a necessidade de inserir suas credenciais a cada vez, reduzindo o incômodo de gerenciar várias senhas.

15. Como o AdSelfService Plus aprimora a segurança de senha durante as alterações de senha de domínio e as redefinições?

AdSelfService Plus aplica a política de senha durante as alterações de senha de domínio usando a tela Ctrl+Alt+Del e redefinições de senha usando os usuários do Active Directory e o console de computadores, garantindo que as medidas de segurança de senha sejam seguidas de forma consistente.

Microsoft diz que a alteração obrigatória de senha é “antigo e obsoleto”

A margose ficou clara que as mudanças de forma alguma afetam o comprimento mínimo de senha, histórico ou complexidade recomendados. E, como ele também apontou, a Microsoft continua instando as pessoas a usar autenticação multifator.

Segurança

No ano passado, a Microsoft anunciou que as alterações periódicas de senha foram removidas das diretrizes de segurança recomendadas para clientes. Embora as mudanças obrigatórias de senha periódica usando a expiração de senha tenha sido apresentada como uma etapa necessária para a segurança da conta do Active Directory todos esses anos, por que essa mudança aconteceu?

Acontece quando pressionado para alterar suas senhas regularmente, os usuários tendem a criar senhas mais simples e fáceis de lembrar que diferem apenas por um ou dois caracteres de seus antecessores. Acrescente a isso a prática de usar a mesma senha em várias contas, você tem em suas mãos um problema que derrota o objetivo de impor mudanças regulares de senha.

Uma solução simples para isso é aplicar regras que ajudam a criar senhas mais fortes e complexas. Exemplos dessas regras são:

• Exibindo o uso de todos os tipos de caracteres (letras maiúsculas, letras minúsculas, números e caracteres especiais).
• Proibindo o uso de palavras que podem ser comuns em sua organização.
• Impedindo o uso de senhas anteriores.

Outra solução é impedir que os usuários usem senhas que já foram expostas durante violações de dados. Os atacantes são notórios por salvar as senhas que se apropriaram durante as violações de dados e usam -as em ataques futuros. Com a reutilização de senha sendo outro hábito perigoso, se os usuários não forem impedidos de usar credenciais expostas, suas contas correm o risco de ser violado.

AdSelseelfService Plus, um gerenciamento de senha de autoatendimento do Active Directory integrado e uma solução de assinatura única, oferece o recurso de executor da política de senha que permite que as organizações criem políticas de senha personalizadas e apliquem essas políticas a OUS e grupos desejados. As políticas de senha são compostas por regras de complexidade que obrigam os usuários a criar senhas fortes e complexas. As regras permitem que os administradores gerenciem:

1. Caracteres usados ​​na senha: Isso inclui regras que restringem o número de caracteres especiais, números e caracteres unicode usados ​​em senhas.
2. Repetição de caracteres em uma senha ou uso de senhas antigas: Isso inclui regras que aplicam uma verificação do histórico de senha durante a redefinição da senha e restringem a repetição consecutiva de um personagem específico do nome de usuário (e.g. “aaaaa” ou “usuário01”).
3. Uso de padrões e palavras comuns: Isso inclui regras que restringem sequências de teclado, palavras de dicionário e palíndromos.
4. Comprimento da senha: Isso inclui regras que especificam o comprimento mínimo e máximo de senha.

O AdSelfService Plus também fornece as seguintes opções que melhoram a implementação de políticas de senha personalizadas em um domínio:

• Permitir que os usuários substituam a política de senha se a senha exceder um determinado comprimento.
• Especificando o número mínimo de regras que devem ser satisfeitas para criar uma senha com sucesso.
• Exibindo as regras da política de senha durante a alteração de senha e a redefinição de senha de autoatendimento oferecida pelo AdSelfService Plus.
• Atendendo a política de senha durante as alterações de senha do domínio usando a tela Ctrl+Alt+Del e redefinições de senha usando o console de usuários e computadores do Active Directory.

Outro recurso oferecido pela AdSelfService Plus é a integração com eu fui dado?. Este é um serviço que alerta os usuários se a senha que eles criaram foi violada antes. Uma vez que o AdSelfService é integrado com eu fui pwned? Os usuários de domínio são alertados quando as senhas que eles criam durante qualquer uma das ações abaixo foram expostas antes:

• Reinicialização de senha de autoatendimento usando o AdSelfService Plus
• Alteração de senha usando a opção Ctrl+Alt+del.
• Redefinição de senha usando o console de usuários e computadores do Active Directory.

AdSelfService Plus também oferece outros recursos para proteger as contas de anúncios na organização. Alguns deles incluem:

• Autenticação multifatorial: implementa várias camadas de autenticação usando métodos como TOTP, Google Authenticator e autenticação de impressão digital durante o login do domínio, ações de autoatendimento como redefinição de senha e desbloqueio da conta usando o portal de suporte mais portal e o login da empresa (durante o SSO).
• Sinalização única: permite que os usuários entrem no portal de ADESSELSTIVE uma vez e acesse outros aplicativos corporativos sem fazer login novamente.
• Notificação de expiração de senha: notifica os usuários sobre suas senhas em breve.

Simplifique o gerenciamento de senhas com o AdSelfService Plus.

Obrigado!

Seu download está em andamento e será concluído em apenas alguns segundos!
Se você enfrentar algum problema, faça o download manualmente aqui

Gerenciamento de senhas de autoatendimento e solução de sinal único

ManageEngine AdSelfService Plus é um gerenciamento de senha de autoatendimento integrado e uma solução única para o Active Directory e Cloud Apps. Garanta a segurança do endpoint com controles rigorosos de autenticação, incluindo biometria e controles avançados de política de senha.

• produtos relacionados
  • AdManager PlusActive Directory Management & Reporting
  • ADAUDIT PLUSREAL-TIME-TIME ATIVON AUDITORIA E UBA
  • EventLog AnalyZerReal Time Log Análise e Relatórios
  • AD360 Integrated Identity & Access Management
  • Log360 Compreciação Siem e Ueba
  • Ferramentas gratuitas de diretório de ferramentas gratuitas de anúncios

  Um único painel de vidro para gerenciamento completo de senha de autoatendimento

  • Auto-serviço de senha
  • Autoatendimento de diretório
  • Uma identidade
  • Segurança
  • produtos relacionados
  • Redefinição de senha de autoatendimento
  • Conta de autoatendimento desbloqueando
  • Expiração de senha notificador de notificador
  • Autenticação de dois fatores de logon do Windows
  • Política de senha Enforcer
  • Agente de logon Windows/Mac/Linux
  • Gerenciamento de senhas móveis
  • Atualização de credenciais em cache
  • Autenticação multifatorial

  Microsoft diz que a alteração obrigatória de senha é “antigo e obsoleto”

  Bucking uma grande tendência, a empresa fala contra a prática antiga.

  Dan Goodin – 3 de junho de 2019 21:08 UTC

  

  Comentários do leitor

  A Microsoft está finalmente alcançando a máxima que os especialistas em segurança foram quase universalmente aceitos por anos: as alterações periódicas de senha provavelmente farão mais mal do que o bem.

  Em um post amplamente esquecido publicado no final do mês passado, a Microsoft disse que estava removendo alterações periódicas de senha das configurações de linha de base de segurança que recomenda para clientes e auditores. Após décadas da Microsoft que recomendam as senhas serem alteradas regularmente, o funcionário da Microsoft, Aaron Margose, disse que o requisito é um “mitigação antiga e obsoleta de valor muito baixo.”

  Leitura adicional

  A mudança de coração é em grande parte o resultado de pesquisas que mostram que as senhas são mais propensas a quebrar quando elas’é fácil para os usuários finais lembrarem, como quando usam um nome ou frase de um filme ou livro favorito. Na última década, hackers extrairam violações de senha do mundo real para montar dicionários de milhões de palavras. Combinados com placas gráficas super rápidas, os hackers podem fazer um grande número de suposições em ataques off-line, que ocorrem quando roubam os hashes criptograficamente embaralhados que representam as senhas de usuário do texto simples.

  Leitura adicional

  Mesmo quando os usuários tentam ofuscar suas senhas fáceis de lembrar-digamos adicionando letras ou símbolos às palavras ou substituindo 0’s para o O’s ou 1’s para l’S – Hackers podem usar regras de programação que modificam as entradas do dicionário. Como resultado, essas medidas fornecem pouca proteção contra as técnicas modernas de rachaduras.

  Os pesquisadores chegaram cada vez mais ao consenso de que as melhores senhas têm pelo menos 11 caracteres de comprimento, gerados aleatoriamente e compostos de letras, símbolos, símbolos (como um %, *ou>) e números. Esses traços tornam -os especialmente difíceis para a maioria das pessoas se lembrar. Os mesmos pesquisadores alertaram que exigir a senha muda a cada 30, 60 ou 90 dias – ou qualquer outro período – pode ser prejudicial por uma série de razões. Principal entre eles, os requisitos incentivam os usuários finais a escolher senhas mais fracas do que de outra forma. Uma senha que tinha sido “P@$$ w0rd1” torna-se “P@$$ w0rd2” e assim por diante. Ao mesmo tempo, as alterações obrigatórias fornecem pouco benefício de segurança, pois as senhas devem ser alteradas imediatamente no caso de uma violação real e não após uma quantidade definida de tempo prescrito por uma política.

  Leitura adicional

  Apesar do crescente consenso entre os pesquisadores, a Microsoft e a maioria das outras grandes organizações não está disposta a se manifestar contra alterações periódicas de senha. Uma das exceções notáveis ​​foi em 2016, quando Lorrie Cranor, depois a Comissão Federal de Comércio’S Tecnólogo Chefe, chamou o conselho dado por seu próprio empregador. Agora, quase três anos depois, Cranor tem companhia.

  No mês passado’S Postagem do blog, a margose da Microsoft escreveu:

  Lá’Não há dúvida de que o estado da segurança de senha é problemático e tem sido há muito tempo. Quando os humanos escolhem suas próprias senhas, muitas vezes elas são fáceis de adivinhar ou prever. Quando os seres humanos são atribuídos ou forçados a criar senhas difíceis de lembrar, com muita frequência eles’Eu os escrevo onde outros podem vê -los. Quando os humanos são forçados a mudar suas senhas, muitas vezes elas’farei uma alteração pequena e previsível em suas senhas existentes e/ou esquecem suas novas senhas. Quando as senhas ou seus hashes correspondentes são roubados, pode ser difícil, na melhor das hipóteses, detectar ou restringir seu uso não autorizado.

  Pesquisas científicas recentes questionam o valor de muitas práticas de segurança de senha de longa data, como políticas de expiração de senha e pontos para melhores alternativas, como fazer cumprir listas de palavras-passageiros proibidas (um ótimo exemplo é a proteção de senha do Azure AD) e a autenticação multi-fator. Enquanto recomendamos essas alternativas, elas não podem ser expressas ou aplicadas com nossas linhas de base de configuração de segurança recomendadas, construídas no Windows’ Configurações de política de grupo interno e não podem incluir valores específicos do cliente.

  A expiração periódica de senha é uma defesa apenas contra a probabilidade de que uma senha (ou hash) seja roubada durante seu intervalo de validade e seja usada por uma entidade não autorizada. Se uma senha nunca for roubada, lá’não é necessário expirar. E se você tiver evidências de que uma senha foi roubada, você presumivelmente agiria imediatamente, em vez de esperar o vencimento para corrigir o problema.

  Se isso’É dado que uma senha provavelmente será roubada, quantos dias é um período aceitável para continuar a permitir que o ladrão use essa senha roubada? O padrão do Windows é de 42 dias. Não’t que parece um tempo ridiculamente longo? Bem, é e, no entanto, nossa linha de base atual diz 60 dias – e costumava dizer 90 dias – porque forçando a expiração frequente introduz seus próprios problemas. E se isso’Não é certo que as senhas serão roubadas, você adquire esses problemas sem benefício. Além disso, se seus usuários são do tipo que estão dispostos a responder pesquisas no estacionamento que trocam uma barra de chocolate por suas senhas, nenhuma política de expiração de senha o ajudará.

  A margose ficou clara que as mudanças de forma alguma afetam o comprimento mínimo de senha, histórico ou complexidade recomendados. E, como ele também apontou, a Microsoft continua instando as pessoas a usar autenticação multifator.

  As mudanças na Microsoft’As configurações da linha de segurança de segurança vencidas’T altere os padrões incluídos nas versões do servidor Windows, que a margose disse que continuam sendo 42 dias, menos do que os 60 dias sugeridos nas configurações de linha de base antigas. Ainda assim, a mudança de linha de base provavelmente dará munição aos funcionários ao defender mudanças dentro de suas próprias organizações. Jeremi Gosney, especialista em segurança de senhas e fundador e CEO da Terahash, disse isso’É provável também ajudar as empresas a recuar contra os auditores, que geralmente encontram empresas fora de conformidade, a menos que tenham promulgado alterações de senha dentro de um período de tempo definido.

  “Microsoft entrando oficialmente na luta contra mudanças obrigatórias de senha,” Gosney disse, “vai dar às empresas ainda mais alavancas contra a grande conformidade.”

  A linha de subtítulo para este post foi alterada. Anteriormente, dizia: “Bucking uma grande tendência, a empresa não aconselha mais as organizações que fazem a aplicação de mudanças periódicas.”

  NIST e Microsoft Senha Policy Best Practices

  

  A Microsoft e o Instituto Nacional de Tecnologia de Segurança (NIST) são dois dos principais recursos para fornecer políticas fortes de senha. Neste artigo, discutimos suas estratégias recomendadas para garantir que as senhas da sua organização sejam fortes o suficiente para proteger contra hackers e criminosos cibernéticos.

  O NIST é responsável pelo desenvolvimento de padrões e diretrizes de segurança da informação que todas as agências federais devem seguir, e a maioria dos especialistas em segurança cibernética optam por seguir também. A Microsoft fornece uma perspectiva única sobre segurança de senha, aproveitando a inteligência que vem da análise de milhões de tentativas de comprometer o nome de usuário/senha diariamente. Revise as orientações e recomendações de senha do NIST e da Microsoft para determinar as melhores políticas para sua organização.

  A Microsoft criou sua recomendação para as políticas de senha do administrador usando a inteligência obtida com anos de rastreamento de ameaças, incluindo trojans, vermes, botnets, ataques de phishing etc. Eles também enfatizam a importância do treinamento dos funcionários para garantir que todos os usuários sejam educados sobre qualquer alteração da política de senha e sabem como identificar as mais recentes ameaças à segurança. A Microsoft recomenda as seguintes políticas para fornecer segurança de identidade e gerenciamento de acesso baseada em senha como parte do plano de segurança cibernética da sua organização.

  Diretrizes de senha para administradores

  • Mantenha um requisito de comprimento mínimo de 8 caracteres (mais tempo não é necessariamente melhor)
    Requisitos de comprimento da senha (mais de 10 caracteres) podem resultar em comportamento do usuário previsível e indesejável. Por exemplo, os usuários que precisam ter uma senha de 16 caracteres podem escolher padrões repetidos como FourFourFour ou PasswordPassword que atendem ao requisito de comprimento do personagem, mas não são difíceis de adivinhar. Além disso, os requisitos de comprimento aumentam as chances de os usuários adotarem outras práticas inseguras, como anotar suas senhas, reutilizá -las ou armazená -las não criptografadas em seus documentos. Para incentivar os usuários a pensar em uma senha exclusiva, recomendamos manter um requisito de comprimento mínimo razoável de 8 caracteres.
  • Não requer requisitos de composição do personagem. Por exemplo, *& (^%$
    Os requisitos de complexidade de senha podem fazer com que os usuários atuem de maneiras previsíveis, fazendo mais mal do que bem. A maioria das pessoas usa padrões semelhantes, por exemplo, uma letra maiúscula na primeira posição, um símbolo no último e um número nos últimos 2. Os cibercriminosos sabem disso, então eles administram seus ataques de dicionário usando as substituições mais comuns, “$” para “S”, “@” para “A” “1” para “L”. Forçando seus usuários a escolher uma combinação de caracteres superiores, inferiores, dígitos, especiais tem um efeito negativo. Alguns requisitos de complexidade até impedem os usuários de usar senhas seguras e memoráveis ​​e forçá -las a criar senhas menos seguras e menos memoráveis.
  • Não exija redefinições de senha periódica para contas de usuário
    Há evidências que sugerem que os usuários que sabem que terão que alterar sua senha escolher senhas fracas e têm maior probabilidade de anotá -las. Pode ser uma abordagem melhor para aplicar a autenticação de vários fatores e, em seguida, incentivar os usuários a fazer um esforço para criar uma senha forte que eles poderão usar por muito tempo.
  • Proibir senhas comuns, para manter as senhas mais vulneráveis ​​fora do seu sistema
    O requisito de senha mais importante que você deve colocar em seus usuários ao criar senhas é proibir o uso de senhas comuns para reduzir a suscetibilidade de sua organização a ataques de senha de força bruta. As senhas de usuário comuns incluem: abcdefg, senha, macaco.
  • Eduque seus usuários a não reutilizar as senhas da organização para fins não relacionados ao trabalho
    Uma das mensagens mais importantes para transmitir aos usuários da sua organização é não reutilizar a senha da organização em nenhum outro lugar. O uso de senhas da organização em sites externos aumenta bastante a probabilidade de que os cibercriminosos comprometam essas senhas.
  • Aplicar o registro para autenticação de vários fatores
    Verifique se os usuários atualizam as informações de contato e segurança, como um endereço de e -mail alternativo, número de telefone ou um dispositivo registrado para notificações push, para que possam responder aos desafios de segurança e ser notificados de eventos de segurança. As informações de contato e segurança atualizadas ajudam os usuários a verificar sua identidade se alguma vez esquecer sua senha ou se alguém tentar assumir sua conta. Ele também fornece um canal de notificação fora da banda no caso de eventos de segurança, como tentativas de login ou senhas alteradas.
  • Ativar desafios de autenticação multifatorial baseados em risco
    A autenticação multifatorial baseada em risco garante que, quando nosso sistema detectar atividades suspeitas, ele pode desafiar o usuário a garantir que eles sejam o proprietário legítimo da conta.
  • Autenticação sem senha é o futuro
    A Microsoft está convidando os administradores a trazer suas organizações para o futuro, familiarizando -se com o que estão se referindo como autenticação sem senha e está disponível agora. Ele permite que os usuários cheguem a aplicativos e serviços mais rapidamente, fornece um nível mais alto de segurança do que as senhas e elimina os custos de suporte de TI e perda de produtividade resultante de redefinições de senha. As três opções de autenticação sem senha do Microsoft disponíveis hoje incluem o Windows Hello Reconhecimento Facial e a autenticação de digitalização de impressões digitais, aplicativo Microsoft Authenticator para inscrição de telefone sem senha e teclas de segurança FIDO2 que estão disponíveis como chave US/NFC, chave biométrica USB ou wearables biométricos.

  A publicação especial do NIST 800-63B Diretrizes de identidade digital, autenticação e gerenciamento do ciclo de vida emitidos em 2020 é considerado o padrão-ouro para segurança de senha. As diretrizes devem ser seguidas por agências federais e é altamente recomendável que as recomendações de senha do NIST sejam seguidas por todas as empresas ao definir políticas de senha para garantir a segurança de suas contas de funcionários e dados da empresa. O documento introduziu um novo protocolo projetado para melhorar a segurança da senha, incentivando a lembrança fácil de lembrar, mas difícil de adivinhar, referidos como segredos memorizados, ao mesmo tempo em que eliminando muitos dos requisitos de complexidade de senha do passado que foram comprovados para realmente diminuir a segurança.

  Abaixo está um resumo das principais recomendações de senha detalhadas nas diretrizes:

  • Requer autenticação de vários fatores
    A autenticação multifatores envolve o uso de mais de um método para verificar sua identidade. A autenticação multifator. Os atacantes não seriam capazes de acessar sua conta sem também passar pela segunda camada de segurança.
  • O comprimento da senha deve ser no mínimo 8 caracteres, mas menos de 64 caracteres
    Os requisitos de comprimento da senha que exigem que as senhas sejam superiores a 10 caracteres, resultaram em comportamento do usuário previsível e fácil para os hackers adivinharem. Os requisitos de comprimento também aumentam as chances de os usuários adotarem outras práticas inseguras, como anotar suas senhas, reutilizá -las ou armazená -las não criptografadas em seus documentos. Por esses motivos, o NIST agora recomenda manter um requisito de comprimento mínimo razoável de 8 caracteres. e o mais importante é que requer autenticação multifator!
  • Todos os caracteres especiais (incluindo espaço) devem ser permitidos, mas não é necessário
    Caracteres especiais fortalecem sua senha, mas você ainda pode criar uma senha forte e segura sem caracteres especiais. Tornar isso opcional e não necessário permite que os usuários criem senhas, é mais provável que se lembre.
  • Eliminar a autenticação baseada no conhecimento (e.g. Qual é o nome de solteira de sua mãe)
    Muitas formas de autenticação baseada no conhecimento podem ser facilmente encontradas na Internet. Os hackers podem encontrar respostas para a maioria das perguntas de segurança feitas, como aniversário, formação educacional e nomes de membros da família, analisando registros públicos. Não ajuda que tantas pessoas fiquem alheios às implicações de segurança das informações que compartilham livremente nas mídias sociais, que geralmente dão fortes pistas sobre essas questões de segurança comuns.
  • Evite usar informações pessoais ao criar uma senha
    Informações pessoais que você coloca em plataformas de mídia social como o Facebook e o Instagram facilitam a adivinhação de um hacker para adivinhar suas senhas. Evite usar qualquer coisa que se saiba sobre você, seja de registros públicos ou de qualquer informação que você ou outras pessoas possam postar nas mídias sociais. Esta informação pode ser a mais fácil para você se lembrar, mas é a base para a engenharia social ser usada contra você. A engenharia social continua sendo uma das estratégias mais eficazes usadas em ataques bem -sucedidos de ransomware.
  • Eliminar alterações de senha obrigatória, a menos que haja evidências de compromisso de senha
    Uma das mudanças mais importantes que o NIST fez é que elas não recomendam mais exigindo redefinições de senha regulares. Esta prática demonstrou ser ineficaz e realmente torna as senhas menos seguras. Um estudo da Microsoft descobriu que os usuários que eram obrigados a redefinir suas senhas freqüentemente tinham maior probabilidade de usar senhas fracas e reutilizá -las em várias contas.
  • Número limite de tentativas de senha com falha
    Limitar suas tentativas de senha com falha pode ajudar a impedir suas contas seguras, impedindo que os invasores obtenham acesso a eles se acharem sua senha incorretamente muitas vezes. Isso pode ajudar a proteger sua conta contra ataques de força bruta nos quais os hackers usam software sofisticado e IA para gerar milhões de combinações diferentes até encontrarem a certa.
  • Ativar funcionalidade de cópia e colar em campos de senha
    O NIST também recomenda permitir que as senhas possam ser copiadas e coladas em campos de senha, que, embora as diretrizes não exijam o uso do software de gerenciamento de senhas, esta diretriz permite seu uso. Os gerentes de senha salvam todas as senhas dos usuários em um local central e criptografado e permitem que os usuários copam e coloque para fazer login.
  • Requer treinamento final do usuário
    Os seres humanos continuam sendo o vínculo mais fraco do processo de segurança da informação, fornecer treinamento regular é uma das coisas mais importantes que as organizações podem fazer para proteger contra ataques direcionados a seus funcionários. Recomendações adicionais – não use:
  • Palavras específicas do contexto, como o nome do serviço, o nome de usuário e os derivados
  • Senhas que foram comprometidas em violações anteriores
  • Palavras que podem ser encontradas no dicionário
  • Caracteres repetitivos ou seqüenciais como (“aaaaaaaa” ou “1234ABCD”)

  Conclusão

  Os administradores devem revisar a lista fornecida por essas fontes altamente credíveis e aplicar as políticas recomendadas em toda a empresa. A medida de segurança mais importante recomendada pela Microsoft e pelo NIST está exigindo autenticação multifatorial para todas as contas que contêm dados da empresa. Com base nos estudos da Microsoft, sua conta é superior a 99.9% menos propensos a serem comprometidos se você usar o MFA.

  Os gerentes de senha são simples de usar e podem ajudar a gerar fortes senhas exclusivas e fornecer uma solução segura para que os funcionários não precisem se lembrar de todas as suas senhas. Se você implementar uma solução de gerenciamento de senhas, aqui estão cinco coisas a ter em mente:

  • Escolha uma senha longa para a senha mestre para o gerenciador de senhas e proteja -a de ser roubada. Uma senha pode ser feita o suficiente para proteger contra ataques, enquanto ainda permite memorização.
  • Crie senhas exclusivas para todas as contas ou use a capacidade da maioria dos gerentes de senha de gerar senhas aleatórias, exclusivas e complexas para cada conta.
  • Evite gerentes de senha que permitam a recuperação da senha mestre. Qualquer compromisso da senha mestre através das ferramentas de recuperação de conta pode comprometer todo o cofre de senha.
  • Use a autenticação multifator.
  • Use a capacidade do gerador de senha na maioria dos gerentes de senha para gerar senhas complexas e aleatórias que atendem aos requisitos de complexidade desejados

  Se você não implementar um gerenciador de senhas, é importante fornecer aos usuários orientações sobre como escolher uma senha exclusiva para cada uma de suas contas. Um dos melhores esquemas já criados que ainda é muito eficaz hoje é de Schneier em uma postagem de blog de segurança de 2014. A postagem do blog citou que quase tudo o que pode ser lembrado pode ser rachado. Ele sugere combinar uma frase pessoalmente memorável com alguns truques pessoalmente memoráveis ​​para modificar essa frase em uma senha única e memorável. Isso seria algo como:

  • “tlpwent2tm” = “Este porquinho foi ao mercado”
  • WIW7, MSTMSRITT. = Quando eu tinha sete anos, minha irmã jogou meu coelho empalhado no banheiro.
  • Uau … doestcst = uau, esse sofá cheira terrível.

  Ao abordar as políticas de senha, a segurança da sua organização será drasticamente melhorada.

  

  Para mais recomendações de segurança cibernética para melhorar suas organizações políticas de segurança cibernética, entre em contato com o Intellisuite .

  Ainda é uma boa ideia exigir que os usuários mudem suas senhas?

  

  Enquanto corporativo, existe, os usuários precisam alterar suas senhas periodicamente. De fato, a necessidade de alterações de senha programada pode ser uma das práticas mais longas de suas práticas mais longas. Recentemente, no entanto, as coisas começaram a mudar. A Microsoft reverteu o curso das melhores práticas que possui há décadas e não recomenda mais que as organizações exigem que os usuários alterem senhas periodicamente. As organizações estão sendo forçadas a considerar, talvez pela primeira vez, se exigir ou não alterações periódicas de senha é uma boa ideia.

  Recomendações de redefinição de senha da Microsoft

  De acordo com a Microsoft, exigir que os usuários alterem suas senhas freqüentemente causam mais mal do que bem. Os seres humanos são notoriamente resistentes à mudança. Quando um usuário é forçado a alterar sua senha, ele costuma criar uma nova senha com base em sua senha anterior. Um usuário pode, por exemplo, anexar um número ao final de sua senha e depois incrementar esse número cada vez que uma senha é necessária. Da mesma forma, se forem necessárias alterações mensais de senha, um usuário poderá incorporar o nome de um mês na senha e alterar o mês sempre que uma alteração de senha é necessária (por exemplo, mym@rchp@ssw0rd). O que é ainda mais perturbador é que os estudos provaram que muitas vezes é possível adivinhar a senha atual de um usuário se você souber a senha anterior deles. Em um desses estudos, os pesquisadores descobriram que foram capazes de adivinhar 41% das senhas atuais do usuário em três segundos se soubessem a senha anterior do usuário. Embora as alterações de senha forçada possam causar problemas, não exigir que os usuários alterem suas senhas também podem causar problemas. Como está hoje, é preciso uma organização, em média, 207 dias para identificar uma violação (Ponemon Institute, 2020). Com isso em mente, considere quanto tempo pode levar para identificar uma violação se os usuários não precisam alterar suas senhas. Um criminal cibernético que obteve acesso a um sistema por meio de uma senha roubada poderia evitar a detecção indefinidamente. Em vez de simplesmente abandonar a prática de exigir alterações periódicas de senha, é melhor abordar os problemas subjacentes que tendem a enfraquecer a segurança de uma organização. O maior problema relacionado às mudanças de senha necessárias é que as expiração frequentes de senha levam aos usuários que escolhem senhas fracas ou senhas que estão de alguma forma relacionadas à senha anterior. Uma maneira de evitar esse problema é recompensar os usuários por escolher senhas fortes. Algumas ferramentas de gerenciamento de senhas de terceiros, por exemplo, a Política de senha do SpecOps, podem basear a frequência de redefinição de senha de um usuário no comprimento e complexidade de sua senha. Portanto, os usuários que escolhem senhas fortes não terão que alterar essas senhas com tanta frequência como um usuário que escolhe uma senha mais fraca. Além disso, as organizações devem procurar uma solução de gerenciamento de senhas que lhes dê a capacidade de impedir que os usuários usem senhas conhecidas por terem sido comprometidas. Senhas comprometidas são senhas que foram hash e adicionadas às mesas de arco -íris ou a bancos de dados semelhantes, tornando -o extremamente fácil para um invasor quebrar a senha, independentemente de sua complexidade. Embora existam vendedores de terceiros que mantêm listas de senhas baseadas em nuvem que são conhecidas por serem comprometidas, é importante entender que a lista de senhas proibidas globais da Microsoft não é uma lista de senhas vazadas e não atende às recomendações de conformidade para uma lista de negar senha. Uma segunda questão que geralmente é atribuída aos requisitos de alteração de senha é que os usuários que são forçados a alterar frequentemente suas senhas têm maior probabilidade de esquecer suas senhas. Isso leva a bloqueios de contas e chamadas para o helpdesk. A melhor maneira de evitar esse problema (e diminuir seus custos de helpdesk no processo) é adotar uma solução de redefinição de senha de autoatendimento que permita aos usuários redefinir suas próprias senhas de maneira segura. No futuro, as organizações que desejam exigir alterações de senha podem ter pouca escolha, a não ser adotar uma solução de gerenciamento de senhas de terceiros. A Microsoft está removendo suas configurações de política de expiração de senha do Windows, começando com a versão 1903. Apesar das recomendações em contrário, há vantagens de segurança para exigir que os usuários alterem suas senhas periodicamente. A chave, no entanto, é implementar esse requisito de uma maneira que não enfraqueça inadvertidamente a segurança de uma organização. Com a solução de senha do SpecOps Software, as organizações podem bloquear mais de 2 bilhões de senhas violadas. A solução pode ajudar as organizações a proteger senhas quando as expiração de senha frequente são aplicadas.

  Achei este artigo interessante? Siga-nos no Twitter  e LinkedIn para ler mais conteúdo exclusivo que publicamos.

  Alterar senhas não é mais necessário, diz Microsoft

  

  A Microsoft disse que não recomenda mais alterações periódicas de senha e que a prática poderia de fato deixar os usuários mais abertos a hackers.

  Para muitas organizações, exigindo que os funcionários mudem de senha após um período atribuído de tempo ter sido uma parte padrão de sua prática de segurança. No entanto, a Microsoft não está mais recomendando isso, chamando a prática “ancestral” e “obsoleto”.

  Relatórios recomendados

  

  Nunca confie, sempre verifique – é zero confiar na próxima grande novidade na segurança cibernética?

  

  Amanhã de codificação: as plataformas de código baixo/sem código podem revolucionar o desenvolvimento de aplicativos em Digita.

  Inteligência das empresas

  KCOM Corp.

  Microsoft Corp

  Em uma postagem no blog na linha de base de segurança do Windows 10, Microsoft’O consultor principal Aaron Margose explicou que, quando os usuários são forçados a alterar sua senha com muita frequência, eles geralmente tornam as senhas mais previsíveis ou apenas fazem pequenas alterações em sua senha existente.

  As políticas de expiração de senha só são efetivas se a senha tiver sido roubada, as reivindicações de postagem. Se isso não ocorreu, mudar isso serve com pouco propósito e, se houver, os usuários precisam agir imediatamente, em vez de esperar que expire. Portanto, a margose acredita que forçar os usuários a alterar sua senha regularmente pode “adquirir esses problemas sem benefício”.

  Em vez disso, outras políticas, como listas de senha proibidas, autenticação de vários fatores ou a detecção de ataques de adulteração de senha, podem ser mais eficazes e podem até mitigar a necessidade de expiração periódica de senha.

  Por isso, a empresa atualizou seus conselhos para as empresas, dizendo que “mitigação de valor muito baixo, e nós não’eu acredito nisso’S Vale a pena para a nossa linha de base para aplicar qualquer valor específico”.

  No entanto, a Microsoft sustenta que as organizações ainda podem “Escolha o que melhor atenda às suas necessidades percebidas”.

  A empresa recomenda que os usuários usem apenas senhas que são “aleatório e forte” e “recomenda fortemente” que as organizações implementam proteções adicionais.

  “A senha humilde não está de forma alguma morta”

  Andy Cory, líder de serviços de gerenciamento de identidade na KCOM, disse:

  “A verdade é que a tecnologia passou pelo estágio onde precisamos constantemente redefinir senhas. Que’não para dizer que as senhas não são importantes – o gerenciamento eficaz de senhas é um dos aspectos mais vitais da defesa corporativa. Não’Não importa o quão forte é o seu perímetro ou quão inteligente sua detecção de violação – se os usuários’ As contas podem ser rachadas abertas de frente, se suas senhas puderem ser adivinhadas ou roubadas, então sua empresa é tão boa quanto indefesa.

  Uma vez que uma conta tenha sido comprometida dessa maneira, um invasor geralmente poderá obter acesso a toda uma infinidade de informações sensíveis sem desencadear alarmes internos, com impacto potencial incalculável para a organização.

  “A senha humilde não está de forma alguma morta. Isto’está simplesmente na hora das empresas inventarem uma estratégia mais inteligente do que uma política de expiração de senha. Alterações de senha frequentes incentivam senhas ruins, enquanto uma boa senha não precisa ser alterada com frequência. As organizações devem considerar abandonar uma dependência histórica do vencimento da senha em favor de uma política mais prescritiva sobre força de senha, garantindo que regras de senha fortes, porém utilizáveis, e, de preferência, a autenticação multifator. Como parte disso, é’Também é importante ter uma infraestrutura de alta capacidade em vigor que possa lidar com segurança e com segurança os dados de autenticação-só então você pode corresponder à experiência do usuário com as necessidades de segurança.”