logo

Senhas o elo mais fraco na cibersegurança das organizações

publicado em:11/03/21 3:36 PM por: Renata Gonçalves EstratégicosSegurança Da Informção

Senhas o elo mais fraco na cibersegurança. A segurança da senha há muito tempo é um problema para as empresas e seus padrões de segurança cibernética. As senhas de contas costumam ser o elo mais fraco na postura geral de segurança de muitas organizações.

Muitas empresas usam as políticas de senha padrão da Microsoft por décadas. Embora possam ser personalizados, as empresas geralmente aceitam os valores padrão para sua organização.

A política de senha padrão do Windows é um bom começo, mas há vulnerabilidades de segurança associadas a ela? Vamos examinar as recomendações atuais das principais autoridades de segurança cibernética e ver como elas se comparam à política de senha padrão do Windows.

Configurações de política de senha padrão do Windows

Muitos ambientes de negócios, senão a maioria, hoje usam o Microsoft Active Directory como sua solução de gerenciamento de identidade e acesso na empresa. O Active Directory serve a organizações nessa função há décadas.

Um dos recursos internos fornecidos pelos Serviços de Domínio Active Directory (ADDS) da Microsoft é o recurso interno de fornecer política de senha para uma organização.

Senhas o elo mais fraco na cibersegurança, mas o que é uma política de senha?

Uma política de senha fornece o conjunto de características de senha exigidas que os usuários finais devem atender ao escolher a senha de sua conta. Abaixo está uma olhada na configuração da Política de Senha de Política de Domínio Padrão do Active Directory com valores típicos que muitas organizações podem usar.

Uma política de grupo de domínio padrão do controlador de domínio do Windows Server 2019 recém-promovida mostra as configurações padrão para a política de senha.

 

 

A segurança da senha há muito tempo é um problema para as empresas e seus padrões de segurança cibernética. As senhas de contas costumam ser o elo mais fraco na postura geral de segurança de muitas organizações.

Configurações de política de senha padrão do Windows definidas na Política de grupo de domínio padrão

 

Como você pode ver, configurações de política específicas são definidas para você por padrão. Esses incluem:

  • Aplicar histórico de senha – 24 senhas memorizadas

  • Duração máxima da senha – 42 dias

  • Idade mínima da senha – 1 dia

  • Comprimento mínimo da senha – 7 caracteres

  • A senha deve atender aos requisitos de complexidade – Habilitado

  • Armazenar senhas usando criptografia reversível – Desativado

Como esses padrões estão de acordo com as recomendações atuais das principais autoridades de segurança cibernética em relação às recomendações de senha?

Senhas o elo mais fraco na cibersegurança, mas as configurações de política de senha padrão do Windows são inseguras?

Houve mudanças e fortes recomendações feitas nos últimos anos em relação à segurança de senha que representam uma mudança nas recomendações de segurança de senha. Os especialistas em segurança cibernética do setor estão enfatizando a necessidade de verificar as senhas em relação a listas de senhas (dicionários) fracas e estão dando menos ênfase às políticas de expiração de senhas que há muito fazem parte das políticas de senhas corporativas.

O Instituto Nacional de Padrões e Tecnologia (NIST) lançou a Publicação Especial NIST 800-63B ( Diretrizes de Identidade Digital – Gerenciamento de Autenticação e Ciclo de Vida ).

Na Seção 5.1.1, ‘Segredos memorizados’, eles observam esta orientação específica em relação à comparação de senhas com senhas conhecidas de um dicionário ou lista de violação:

“Ao processar solicitações para estabelecer e alterar segredos memorizados, os verificadores DEVEM comparar os segredos em potencial com uma lista que contém valores conhecidos por serem comumente usados, esperados ou comprometidos. Por exemplo, a lista PODE incluir, mas não está limitada a:

  • Senhas obtidas de conjuntos de violações anteriores.

  • Palavras do dicionário.

  • Caracteres repetitivos ou sequenciais (por exemplo, ‘aaaaaa’, ‘1234abcd’).

  • Palavras específicas do contexto, como o nome do serviço, o nome de usuário e derivados

  • disso. “

Outra seção da orientação do NIST a ser observada em relação às alterações obrigatórias de senha em intervalos periódicos:

“Os verificadores NÃO DEVEM exigir que os segredos memorizados sejam alterados arbitrariamente (por exemplo, periodicamente). No entanto, os verificadores DEVEM forçar uma alteração se houver evidência de comprometimento do autenticador.”

A orientação do NIST em relação às alterações periódicas de senha agora é passivamente recomendada pela Microsoft. Na linha de base de segurança (RASCUNHO) para Windows 10 v1903 e Windows Server v1903 , a Microsoft observa o seguinte em relação às alterações periódicas de senha obrigatórias:

“Uma pesquisa científica recente questiona o valor de muitas práticas de segurança de senha de longa data, como políticas de expiração de senha, e aponta, em vez disso, para melhores alternativas, como a aplicação de listas de senhas proibidas (um ótimo exemplo é a proteção por senha do Azure AD) e autenticação de fator. Embora recomendemos essas alternativas, elas não podem ser expressas ou aplicadas com nossas linhas de base de configuração de segurança recomendadas, que são criadas nas configurações de Diretiva de Grupo integradas do Windows e não podem incluir valores específicos do cliente.

A orientação da Microsoft ajuda a apontar uma falha com os recursos integrados da Política de Grupo do Active Directory. Não há meios internos para fazer cumprir as senhas banidas facilmente. Embora a Microsoft documente o processo de registro de um filtro de senha .dll em seu guia aqui , as organizações devem escrever seu próprio filtro de senha personalizado .dlls. Esse processo pode envolver seu próprio conjunto de desafios.

Olhando para os outros padrões de Política de Senha de Política de Grupo habilitados, o comprimento mínimo de senha de 7 caracteres fica aquém do que é observado por muitas das melhores práticas de segurança cibernética e recomendações de autoridades líderes.

Observe abaixo o comprimento mínimo padrão da senha específica da política de senha e se eles recomendam comparar as senhas com uma lista de dicionário.

  • SANS Institute (admins) – 12 caracteres, dicionário

  • NIST – 8 caracteres, dicionário

  • NCSC – dicionário

  • Microsoft Technet – 14 caracteres

  • Microsoft Research – 8 caracteres, dicionário

Como as organizações podem auditar facilmente suas políticas de senha atuais em seu ambiente e garantir que atendam às melhores práticas de segurança de senha recomendadas? Como as listas de senhas proibidas podem ser facilmente implementadas em ambientes Active Directory sem esse recurso integrado?

Auditor de senha e política de senha Specops

Tanto o Specops Password Auditor (gratuito) quanto a Specops Password Policy do Specops Software fornecem ferramentas extremamente robustas que podem ajudar as organizações a auditar suas políticas de senha atuais e implementar rapidamente a proteção de senha violada e dicionários personalizados.

As organizações podem implementar essa funcionalidade sem a necessidade de programar e desenvolver um filtro de senha personalizado .dll.

O Specops Password Auditor fornece uma maneira fácil de obter visibilidade dos riscos de segurança de senha em seu ambiente rapidamente. Notavelmente, isso inclui contas com senhas em branco , senhas definidas para não expirar, senhas violadas , contas de administrador obsoletas e muitos outros. Um dos recursos que ele oferece é a capacidade de auditar suas políticas de senha.

Abaixo, o Specops Password Auditor permite que você audite de forma rápida e fácil suas políticas de senha de domínio atuais e compare-as com as recomendações de política de senha padrão da indústria.

 

A segurança da senha há muito tempo é um problema para as empresas e seus padrões de segurança cibernética. As senhas de contas costumam ser o elo mais fraco na postura geral de segurança de muitas organizações.

Comparando a política de domínio do Active Directory com as recomendações de práticas recomendadas do setor para senhas

 

Você pode analisar cada recomendação e ver quais requisitos específicos não são atendidos por sua política de senha atual do Active Directory.

 

A segurança da senha há muito tempo é um problema para as empresas e seus padrões de segurança cibernética. As senhas de contas costumam ser o elo mais fraco na postura geral de segurança de muitas organizações.

Visualização das configurações de política de senha em comparação com as melhores práticas específicas da indústria

 

Além da visibilidade e dos recursos fornecidos pelo Specops Password Auditor, a Specops Password Policy fornece uma maneira fácil de implementar listas de senhas proibidas em seu ambiente Active Directory . Ele também leva isso um passo adiante, permitindo que você implemente a proteção de senha violada.

 

A segurança da senha há muito tempo é um problema para as empresas e seus padrões de segurança cibernética. As senhas de contas costumam ser o elo mais fraco na postura geral de segurança de muitas organizações.

Política de senha de Specops violação de proteção por senha

 

Você também pode forçar os usuários a alterar as senhas se sua senha for violada.

 

 A segurança da senha há muito tempo é um problema para as empresas e seus padrões de segurança cibernética. As senhas de contas costumam ser o elo mais fraco na postura geral de segurança de muitas organizações.

Forçar uma mudança de senha se a senha de um usuário final for violada

 

A funcionalidade de lista de senha violada e banida fornecida pela Política de Senha Specops estende a política de senha padrão do Windows. Consequentemente, as organizações têm uma política de senha muito mais robusta e segura para seu ambiente.

Empacotando

Senhas o elo mais fraco na cibersegurança. A segurança da senha é crucial para a segurança geral eficaz de seus dados essenciais aos negócios. Os hackers costumam usar o roubo de credenciais como uma maneira fácil de entrar em sua infraestrutura de TI.

Os Serviços de Domínio Active Directory da Microsoft (ADDS) são uma solução amplamente usada na maioria dos ambientes corporativos para gerenciamento de identidade e acesso. Ele também lida com a aplicação da política de senha para muitos.

A política de senha padrão do Windows, conforme configurada e aplicada pelo Active Directory, é insuficiente em muitas áreas. Notavelmente, ele não possui a capacidade interna de verificar as senhas em relação às listas de dicionários personalizados ou listas de senhas violadas.

O Auditor de Senha e Política de Senha da Specops ajuda as empresas a obter visibilidade rápida dos riscos de senha no ambiente e adicionar facilmente senhas proibidas e proteção de lista de senha violada.

Baixe Specops Password Auditor .

Traduzido do original : The Hacker News

 

Leia também:

 Vazamento de dados, porque as empresas não conseguem impedir?

Criando uma política de senha forte com diretrizes Specops e NIST

8 práticas recomendadas de firewall para bloquear Ransomware

 



A última modificação foi feita em:março 16th, 2021 as 7:58 pm




Comentários



Adicionar Comentário