Escolar Documentos
Profissional Documentos
Cultura Documentos
123456
Password
12345678
qwerty
12345
123456789
Letmein
1234567
football
iloveyou
[2]
REGRAS DAS PASSWORDS DURAÇÃO DAS PASSWORDS
Dado o grau de criticidade necessário, para se ob- Muitas passwords associadas ao diretório de utilizado-
ter uma password de qualidade, todas as pas- res do serviço expiram num prazo máximo, devendo
swords definidas para o acesso a múltiplos servi- ser alteradas neste intervalo temporal pelo menos uma
ços devem cumprir algumas premissas: vez ou renovadas periodicamente pelo utilizador.
• Conter no mínimo 10 carateres; Caso tal não ocorra de forma espontânea, o sistema
• Conter obrigatoriamente carateres distintos solicita a alteração de password ao fim de um dado
de, pelo menos, três das quatro categorias se- tempo. Muitos sistemas estão configurados para efe-
guintes: tuar o aviso automático ao utilizador antes do termo do
• Caracter maiúsculo não acentuado (‘A’ a ‘Z’); prazo de expiração da password. Posteriormente até à
• Caracter minúsculo não acentuado (‘a’ a ‘z’); efetivação da alteração, serão periodicamente lembra-
• Algarismo (0 a 9); dos da necessidade de mudança de password.
• Caracter especial ou não alfabético (ex: !, $, #, %). Este processo é indispensável para evitar a viciação
• Não deve conter carateres considerados ilegais: de passwords, tendo em conta o número elevado de
|;| |,| |’’| |’| |%| |*|; vezes que a password é usada e o facto de se utiliza-
• Não deve ser reutilizada uma palavra-passe rem frenquentemente meios expeditos para evitar a
antiga; sua reintrodução explícita (nomeadamente, memoriza-
• Não conter o nome, apelido do utilizador ou ção em navegadores) cuja segurança intrínseca é limi-
partes do nome completo que excedam dois ca- tada. Assim, considera-se este processo indispensável
racteres consecutivos; por razões operacionais e de segurança.
• Incluir apenas caracteres suportados pela má-
quina (evitar caracteres não compatíveis com os
teclados portugueses);
• Definir passwords diferentes para cada conta CONTROLO DE ACESSO
utilizada.
• O sistema de armazenamento e de introdução No seu posto de trabalho, cada utilizador do sistema
não deve permitir a visualização da password. deve ter acesso, em exclusivo, à informação de que
necessita para desempenhar as suas funções, o que
se traduz na atribuição de perfis e no processo de pe-
dido de criação, eliminação ou alteração de perfis. Este
ALTERAÇÃO DAS PASSWORDS processo inicia-se com a criação de um pedido eé
realizado de acordo com os seguintes passos:
1. Pedido formal de criação, eliminação ou alteração;
A alteração periódica de password permite redu-
2. Confirmação da identidade do utilizador;
zir a probabilidade de viciação de uma password
3. Determinação de necessidades do utilizador e
que é inalterada, ou seja, permite, pelo menos, re-
concessão de autorizações;
duzir a duração e o impacto de uma possível pas-
4. Criação/anulação/alteração de identificadores;
sword comprometida. A alteração da password
5. Integração de alterações na lista de utilizadores
poderá ser concretizada de três formas distintas:
autorizados;
• Diretamente pelo utilizador através do seu
6. Comunicação ao utilizador da chave de acesso inicial
equipamento pessoal ou no equipamento do seu
e restantes especificações de acesso.
posto de trabalho;
Cada utilizador deve estar identificado de forma inequí-
• Via cliente de webmail (ligação VPN).
voca, com uma conta de acesso que é pessoal e in-
transmissível. Isto permitirá que o sistema de acesso
mantenha a rastreabilidade das ações monitorizadas.
GESTÃO DAS PASSWORDS Cada sistema de autenticação pode ser assegurado
pela combinação de utilizador e password, autentica-
Como administrador do sistema deve aplicar me- ção com dois fatores ou outro tipo. Os administradores
didas técnicas. de sistemas, ao introduzirem a informação sobre cada
Como utilizador é responsável pela utilização se- utilizador, atribuem uma password ao mesmo, sendo o
gura das suas passwords. utilizador obrigado a alterá-la no início da primeira ses-
são. As passwords devem ser encriptadas nos vários
sistemas de autenticação.
HISTÓRICO DAS PASSWORDS PRE VENÇÃO A ATAQUES
Não deverá recorrer às últimas 5 passwords defi- Quanto mais comprida for a password, mais resistente
nidas para evitar o seu uso prolongado e maior se torna a ataques de força bruta, onde são testadas
susceptibilidade a deteção por terceiros, pela reu- todas as combinações possíveis de carateres.
tilização de passwords antigas. Adicionalmente, e O utilizador ao diversificar o tipo de carateres utiliza-
para evitar procedimentos de mudança repetida dos, torna a password mais robusta a ataques de força
de password por forma a reutilizar a anteriormente bruta, ou seja, quanto mais tipos de carateres, mais
definida, pode definir a duração mínima de um dia tempo demora a testar todas as possíveis combina-
para cada password, antes que esta possa nova- ções.
mente ser alterada. Por sua vez, a complexidade da password dificulta
também os ataques de dicionário porque torna im-
provável a sua presença num dicionário usado por um
atacante.
PROTEÇÃO DAS PASSWORDS Não devem ser usadas passwords simples e que con-
tenham palavras comuns por serem suscetíveis a ata-
As passwords não devem ser partilhadas com ou- ques de dicionário.
tros utilizadores ou com pessoas externas à sua or-
ganização, por qualquer via (ex. escrita de forma
explícita ou facilmente interpretável de passwords
em notas, agendas ou ficheiros);
ATUALIZ AÇÕES DE SEGUR ANÇA
As passwords não devem ser registadas ou guarda-
das em documentos físicos ou armazenadas em
equipamentos informáticos da organização ou em Convém manter o computador ou o dispositivo móvel
quaisquer outros dispositivos pessoais do utiliza- com todas as atualizações de segurança e o sistema de
dor. proteção de vírus ativo, para evitar que a segurança do
equipamento esteja comprometida e, eventualmente,
a password seja identificada antes de ser enviada
para os servidores do serviço.
BLOQUEIO DE CONTAS Convém evitar a utilização de computadores de tercei-
ros ou cuja segurança levante dúvidas para aceder a
Muitos sistemas estão configurados para despo- serviços da organização que impliquem a introdução
letar um mecanismo de bloqueio da conta do utili- de password.
zador após determinado número de tentativas fa- Quando o acesso é realizado através de um disposi-
lhadas de autenticação em determinado serviço, tivo eletrónico que não é do próprio utilizador, existe
quer pelo utilizador quer por abusos de terceiros. uma maior possibilidade de estar comprometido, volun-
Os sistemas podem ser definidos com algumas tária ou involuntariamente, e registar as passwords
regras, tais como: que introduzidas.
• A conta do utilizador ficará bloqueada após um
número de tentativas de autenticação sem su-
cesso;
• O bloqueio prolongar-se-à por alguns minutos;
• Após alguns minutos pode ser colocado a zero
o contador de tentativas falhadas de autentica-
ção de forma a evitar a acumulação de eventos
isolados e que possam provocar o posterior blo-
queio da conta. O Have I Been Pwned? permite verificar se um ende-
reço de email está vulnerável, com recurso a base
de dados pública. Além disso, pode dar alertas auto-
máticos com as circunstâncias dos dados estarem pú-
blicos através de um registo no serviço.
[4]
O presente conteúdo é propriedade do Centro Nacional de Cibersegurança estando protegido nos
termos da legislação de propriedade intelectual aplicável. O utilizador pode copiar, importar ou
usar gratuitamente parte ou a totalidade da informação, para uso pessoal ou público, desde que
não tenha finalidades lucrativas ou ofensivas e seja referida a fonte de informação.
[5]