Gerenciamento de autenticação e senhas

Authentication And Password management

Resumo da necessidade

Com o aumento de ferramentas para descobrir senhas e outros métodos de racker social veio
a necessidade de melhorar as práticas em relação a autenticação. Hoje temos a necessidade
de ter uma política mais rígida e confiável em relação a utilização de autenticações e senhas.

Essas melhores práticas visam garantir a segurança de dados tanto da empresa quanto dos
usuários. Não ter uma política de gerenciamento de autenticação e senhas aumenta o risco de
segurança de um computador e um ambiente empresarial. O vazamento de uma senha pode
pôr em risco toda a segurança digital de uma organização.

1. Crie uma senha longa e forte

Senhas fortes tornam significativamente mais difícil para os hackers quebrarem e invadirem os
sistemas. As senhas fortes são consideradas com mais de oito caracteres de comprimento e
compostas por letras maiúsculas e minúsculas, números e símbolos.

O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) recomenda a criação de senhas
longas que sejam fáceis de lembrar e difíceis de decifrar. De acordo com a Publicação Especial
800-63, Diretrizes de Identidade Digital, uma prática recomendada é gerar senhas de até 64
caracteres, incluindo espaços.

2. Aplicar criptografia de senha

A criptografia fornece proteção adicional para senhas, mesmo que sejam roubadas por ciber-
criminosos. A melhor prática é considerar a criptografia de ponta a ponta que não é reversível.
Dessa forma, você pode proteger senhas em trânsito pela rede.

3. Implemente a autenticação de dois fatores

A autenticação de dois fatores tornou-se um padrão para gerenciar o acesso a recursos

organizacionais. Além das credenciais tradicionais, como nome de usuário e senha, os usuários
precisam confirmar sua identidade com um código único enviado ao dispositivo móvel ou
usando um token USB personalizado. A ideia é que, com a autenticação de dois fatores (ou
multifator), adivinhar ou quebrar a senha por si só não é suficiente para um invasor obter
acesso.

4. Adicione métodos avançados de autenticação

Aplique métodos avançados não baseados em senha. Por exemplo, como parte da
autenticação multifator, os usuários podem aproveitar a verificação biométrica, como fazer
login em um iPhone usando uma impressão digital com Touch ID ou autenticar em um PC com
Windows 11 apenas olhando para ele com o reconhecimento facial do Windows Hello. Este
método permite que o sistema identifique os funcionários reconhecendo seus rostos,
impressões digitais, vozes, íris ou batimentos cardíacos
5. Teste sua senha

Verifique se sua senha é forte testando-a com uma ferramenta de teste online. A ferramenta
de teste de força de senha da Microsoft que pode ajudá-lo a gerar senhas com menor
probabilidade de serem invadidas.

6. Não use palavras de dicionário

Hackers sofisticados têm programas que pesquisam dezenas de milhares de palavras de

dicionário em vários idiomas. Evite palavras de dicionário para ajudar a evitar que sua empresa
seja vítima de um programa de ataques de dicionário.,

7. Use senhas diferentes para cada conta

Caso contrário, se uma conta for violada, outras contas com as mesmas credenciais podem ser
facilmente comprometidas

8. Proteja seu celular

Os telefones celulares são comumente usados para realizar negócios, fazer compras e muito
mais, mas trazem consigo muitas preocupações de segurança. Proteja seu telefone e outros
dispositivos móveis de hackers protegendo seu telefone com uma senha forte, impressão
digital ou senhas de reconhecimento facial.

9. Evite alterações periódicas de senhas pessoais

Uma prática generalizada de segurança de senha nos últimos anos tem sido forçar os usuários
a periodicamente (a cada 90 dias, ou 180 dias, etc.) alterar as senhas. No entanto, em
orientações mais recentes, o NIST aconselha a não usar uma política obrigatória de alterações
de senha para senhas pessoais (observe que essa orientação atualizada não se aplica a
credenciais privilegiadas). Uma razão para essa política mais recente é que os usuários tendem
a apenas repetir as senhas que usaram antes. Você pode implementar estratégias para evitar a
reutilização de senhas, mas os usuários ainda encontrarão maneiras criativas de contornar
isso. A outra consequência de mudanças frequentes de senha é que os usuários são mais
propensos a anotá-las para acompanhá-las. Assim, uma prática recomendada do NIST é
solicitar aos funcionários a alteração de senha apenas em caso de ameaça ou
comprometimento em potencial.

10. Altere as senhas quando um funcionário deixar sua empresa

Infelizmente, não é incomum que ex-funcionários descontentes se tornem o pior inimigo da

sua empresa. Torne uma prática comum alterar as senhas quando um funcionário sai para que
ex-funcionários não possam invadir suas contas comerciais e causar estragos.

11. Proteja contas de usuários privilegiados: As senhas para contas de usuários privilegiados

requerem proteções especiais, como por meio de software de gerenciamento de acesso

privilegiado. Ao contrário das senhas pessoais, as credenciais privilegiadas ainda devem ser
alteradas regularmente, mesmo após cada uso para credenciais altamente confidenciais). Além
disso, essas credenciais devem ser injetadas e nunca diretamente visíveis ou conhecidas pelo
usuário final, para uma medida adicional de segurança.

12. Mantenha seu negócio offline

Não coloque informações vitais de segurança da empresa na internet pública. Isso tornará
mais fácil para os hackers roubarem. Além disso, remova quaisquer permissões de aplicativos
quando terminar com eles.

13. Evite Armazenar Senhas

Evite armazenar senhas digitalmente ou em papel, pois essas informações podem ser
roubadas por pessoas mal-intencionadas.

14. Fique atento à segurança

Não importa quão fortes sejam suas senhas e quão meticuloso você seja em relação à
segurança, as senhas não estarão seguras se o programa espião de um hacker estiver
monitorando o que você digita no seu teclado. Torne o mais difícil possível para os
cibercriminosos obterem suas credenciais usando soluções antimalware e gerenciamento de
vulnerabilidades atualizadas, que permitem fortalecer seus sistemas para prevenir e mitigar
pontos fracos que podem permitir a entrada e/ou movimentação de invasores seu ambiente.

15. Use gerenciadores de senhas

Ao aproveitar um gerenciador de senhas, você só precisa se lembrar de uma senha, pois o

gerenciador de senhas armazena e até cria senhas para suas diferentes contas, conectando
você automaticamente quando você faz logon.

Veja um gerenciador de senhas como um livro de suas senhas, bloqueado por uma chave
mestra que só você conhece. Alguns de vocês acham que isso soa mal porque, se alguém
adquirir a senha mestra, eles terão TODAS as suas senhas. Mas se você escolheu uma senha
mestra forte e exclusiva, mas fácil de lembrar, você estabeleceu uma maneira quase perfeita
de proteger o restante de suas senhas pessoais contra acesso indevido.

Os gerenciadores de senhas não apenas armazenam suas senhas, mas também geram e
salvam senhas fortes e exclusivas quando você se inscreve em novos sites. Isso significa que
sempre que você visita um site ou aplicativo, pode abrir seu gerenciador de senhas, copiar sua
senha, colá-la na caixa de login e pronto. Muitas vezes, os gerenciadores de senhas vêm com
extensões de navegador que preenchem automaticamente sua senha para vocês. E como
muitos dos gerenciadores de senhas têm sincronização criptografada entre dispositivos, você
pode levar suas senhas com você para qualquer lugar — até mesmo em seu telefone.

Os gerenciadores de senhas são projetados para fornecer acesso a todas as suas senhas em
um formato criptografado que não é acessível a hackers ou softwares maliciosos. Eles podem
oferecer conveniência significativa, ao mesmo tempo em que oferecem proteção excepcional
e garantem que suas informações permaneçam privadas.

Bibliografia

https://pages.nist.gov/800-63-3/

https://doi.org/10.6028/NIST.SP.800-63-3

https://doi.org/10.6028/NIST.SP.800-63b

https://doi.org/10.6028/NIST.SP.800-63c
Gerenciamento de arquivos
File management

Resumo da necessidade

O gerenciamento de informações é necessário para garantir uma eficácia para encontrar os

arquivos em uma estrutura de arquivos. Ter uma estrutura de organizada ajuda para
economizar tempo para encontrar esses dados e garantir que tais arquivos estão sendo
armazenados no local ideal, garantido que as pessoas certas vão ter o acesso.

1. Evite guardar documentos desnecessários.

Não crie o hábito de guardar tudo o que chega até você. Reserve alguns segundos para
examinar o conteúdo e mantenha um arquivo apenas se for relevante para sua atividade de
trabalho ou exigido por sua empresa. Ter muitos documentos desnecessários aumenta a
confusão e torna mais difícil encontrar coisas no futuro.

2. Siga um método consistente para nomear seus arquivos e pastas.

Por exemplo, compartilhe uma pasta principal em subpastas para clientes, fornecedores e
colegas de trabalho. Use nomes abreviados para identificar a que ou a quem as pastas se
relacionam. Você pode até usar o código de cores para facilitar a identificação de diferentes
categorias de pastas.

3. Armazene os documentos relacionados juntos, qualquer que seja o tipo.

Por exemplo, armazene relatórios, cartas, notas de apresentação, planilhas e gráficos

relacionados a um projeto específico em uma única pasta – em vez de ter uma pasta para
apresentações para todos os projetos, outra pasta para planilhas para todos os projetos e
assim por diante. Dessa forma, será muito mais rápido encontrar documentos para um projeto
específico.

4. Separe o trabalho em andamento do trabalho concluído.

Algumas pessoas preferem manter o trabalho atual ou em andamento em sua mesa ou na área
de trabalho do computador até que um trabalho seja concluído. Então, uma vez feito, eles o
movem para o local apropriado, onde os arquivos da mesma categoria são armazenados. Em
intervalos periódicos (por exemplo, semanalmente ou a cada duas semanas), mova os arquivos
nos quais você não está mais trabalhando para as pastas onde seu trabalho concluído está
armazenado.

5. Evite encher demais as pastas.

Se você tiver muitos arquivos em uma pasta ou um grande número de subpastas em uma
pasta principal, divida-os em grupos menores (subpastas ou subsubpastas). A ideia é colocar
cada arquivo em uma pasta ou subpasta lógica, em vez de ter uma lista enorme de arquivos.

6. Organize os documentos por data.

Certifique-se de que a data de um documento esteja clara, destacando-a ou adicionando-a a

um documento em papel, ou incluindo-a no título de um documento eletrônico. Isso o ajudará
a organizar seus documentos cronologicamente, sem precisar abrir cada um. E você poderá
encontrá-los mais facilmente no futuro.
7. Faça cópias digitais de documentos em papel.

Isso é útil se você não tiver muito espaço para armazenar documentos em papel; você deseja
arquivar documentos sem destruí-los completamente; você precisa compartilhar documentos
eletronicamente; ou deseja tornar seu armazenamento de informações mais seguro. (Isso não
será apropriado para todos os tipos de documentos – por exemplo, contratos legais ou
documentos com assinaturas originais – então use seu bom senso aqui.)

Bibliografia

https://www.cloudwards.net/document-management-best-practices/
LOOMIS, Mary ES. Data Management and File Structures. Prentice-Hall, Inc., 1988.
Proteção de dados
Data protection

Resumo da necessidade

A proteção de dados visa garantir controle sobre os dados tanto dos usuários quantos das
informações que a aplicação possui.

1.Implementar o privilégio mínimo

Restringir os usuários apenas à funcionalidade, dados e informações do sistema necessárias

para executar suas tarefas. Garantir que cada usuário tenha somente o necessário para
executar as suas tarefas.

2. Controle de arquivos em cache ou temporários

Proteja todas as cópias em cache ou temporárias de dados confidenciais armazenados no

servidor contra acesso não autorizado e elimine esses arquivos de trabalho temporários assim
que não forem mais necessários.

3. Criptografar dados confidenciais

Criptografe informações altamente confidenciais armazenadas, como dados de verificação de

autenticação, mesmo no lado do servidor. Sempre use algoritmos bem verificados, consulte
"Práticas Criptográficas" para obter orientação adicional.

4. Não armazenar senhas (validar)

Não armazene senhas, cadeias de conexão ou outras informações confidenciais em texto não
criptografado ou de qualquer maneira não criptograficamente segura no lado do cliente. Isso
inclui a incorporação em formatos inseguros como: MS viewstate, Adobe Flash ou código
compilado.

5. Remover comentários do código

Remova comentários no código de produção acessível ao usuário que possam revelar o

sistema de back-end ou outras informações confidenciais.

6. Desative recurso de preenchimento automático

Desative os recursos de preenchimento automático em formulários que devem conter

informações confidenciais, incluindo autenticação.
7. Desative o cache da aplicação cliente

Desative o cache da aplicação cliente em páginas que contêm informações confidenciais.

Cache-Control: no-store, pode ser usado em conjunto com o controle de cabeçalho HTTP
"Pragma: no-cache", que é menos eficaz, mas é compatível com versões anteriores do
HTTP/1.0.