Ciência e Tecnologia

Microsoft deixa de recomendar mudança periódica de senha no Windows

Para a empresa, expiração periódica de senhas tem pouca eficácia

Por Texto: Emerson Alecrim com Tecnoblog 25/04/2019 15h03
Microsoft deixa de recomendar mudança periódica de senha no Windows
Reprodução - Foto: Assessoria
Seja na rede do seu trabalho ou em um serviço online, você já deve ter passado pela experiência de trocar uma senha que expirou. Recentemente, a Microsoft concluiu que essa política de segurança tem pouca ou nenhuma eficácia, por isso, decidiu não manter essa recomendação nos Windows 10 e Server. A expiração de senhas é uma recomendação antiga e bastante comum, especialmente no ambiente corporativo. A premissa básica é a de evitar que uma conta continue sendo acessada discretamente por um invasor que, de algum modo, descobriu os dados de login do usuário. Aaron Margosis, especialista em segurança da Microsoft, explica que a expiração é apenas uma defesa contra a probabilidade de uma senha ser capturada durante o seu período de validade (frequentemente, de três meses). No entanto, se a combinação nunca tiver sido descoberta, não há razão para mudá-la, até porque, em vez de esperar pela expiração, o usuário precisa mudar a senha imediatamente caso descubra ou desconfie que ela foi capturada por terceiros. Margosis aponta outra razão para essa política ser questionada: geralmente, é difícil decorar senhas fortes e, se o usuário tiver que mudá-las com frequência, aplicará mudanças sutis ou previsíveis para diminuir as chances de esquecê-las. Além disso, Margosis dá a entender no comunicado da Microsoft que, se o usuário não for cuidadoso com a proteção de seus dados de login, nenhuma política de expiração poderá ajudá-lo. É por isso que a Microsoft está propondo a eliminação da política de expiração periódica de senhas. Em vez dela, a companhia recomenda medidas mais eficazes, como autenticação de múltiplos fatores ou implementação de listas de senhas proibidas (como a do Azure AD Password Protection). A Microsoft enfatiza que está removendo a política de expiração da sua linha de base de segurança para os Windows 10 e Server, mas que administradores ainda poderão implementá-la. As recomendações sobre exigência de senhas fortes (com comprimento mínimo de caracteres e uso de símbolos especiais, por exemplo) continuam valendo.

Mais lidas