Os problemas de segurança informática cada vez mais frequentes, dão cada vez mais enfâse à Identidade; ou seja, de forma extremamente simplista, aquilo que nos permite identificar (dizer quem somos) perante um sistema informático.
Uma Identidade é alguém, ou algo que pode ser verificado e autenticado, para ser quem diz que é; uma identidade pode ser associada a um utilizador, uma aplicação, um dispositivo, ou algo mais.
A Autenticação garante que uma determinada identidade é suficiente, por outras palavras, o que um sistema de TI necessita de saber sobre uma Identidade, para ter provas suficientes de que realmente são quem dizem que são; no fundo envolve o ato de desafiar uma parte, para utilizar e verificar a utilização de credenciais legítimas.
Para uma introdução à Identidade e Autenticação (assim como Administração, Autorização e Auditoria), poderá consultar o nosso artigo A Identidade e a Segurança (Os Quatro Pilares da Identidade).
De forma simplista, a questão fulcral, coloca-se então sobre a informação do conjunto, utilizador e palavra-passe (password), a sua utilização e inviolabilidade, para isso podemos partir de um conjunto de comportamentos bastante simples:
– Nunca devem ser partilhadas com ninguém e devem ser única e exclusivamente da utilização e conhecimento do seu detentor.
– Nunca devem estar escritas, afixadas, ou disponíveis de forma facilmente localizável e legível.
– Nunca utilize as mesmas palavras-passe (passwords), em mais do que uma conta (e nunca use as mesmas palavras-passe (passwords), dos seus acessos pessoais).
– Nunca inicie sessões através de dispositivos públicos, ou de terceiros (por exemplo, computadores em cibercafés ou hotéis), em aplicações, ou plataformas.
– Se tiver dificuldades, utilize gestores de palavras-passe (password) que criam automaticamente palavras-passe fortes e as armazenam.
– A criação palavras-passe (passwords), devem obedecer a um conjunto de boas práticas, para tornar mais difícil a sua violação.
– Sempre que possível utilize autenticação de dois fatores (ou MFA (Multi-Factor Authentication)); um processo em que além do conjunto utilizador e palavras-passe (passwords), se usa um processo adicional de verificação, usando por exemplo o Microsoft Authenticator, ou Google Authenticator, entre outros. *Em breve, será criado um artigo neste blog sobre este assunto.
– Nos dias de hoje, é também possível ter uma Identidade e uma Autenticação, sem recorrer a um conjunto utilizador e palavra-passe (password), o chamado “Passwordless Authentication”; por exemplo, usando uma impressão digital, com Microsoft Windows Hello. *Em breve, será criado um artigo neste blog sobre este assunto.
Como base de partida, para um conjunto de boas práticas, para manter as palavras-passe (password) robustas, podemos usar os seguintes pressupostos:
Os utilizadores de domínios das redes locais (ou serviços Cloud) deverão usar palavras-passe (password) complexas e mudadas com regularidade.
– Mudar as palavras-passe (password) de 3 em 3 meses (mínimo sugerido, de 6 em 6 meses).
– As palavras-passe (password) devem ter no mínimo de 15 caracteres (aconselhável 20 caracteres), com letras maiúsculas, minúsculas, números e pelo menos dois, ou três caracteres especiais.
– As palavras-passe (password) não devem incluir, nomes de pessoas, empresas, clubes de futebol, animais de estimação, ou algo que possa ser facilmente identificado com o nosso perfil digital (ou seja, informação sobre nós que é pública).
– Para podermos ter uma ideia de quão displicente, é muitas vezes a escolha dos utilizadores para as palavras-passe (password), pode por exemplo ler o artigo do Correio da Manhã, 25 palavras-passe que deve evitar para que hackers não as descubram (sendo um bom exemplo, do que nunca devemos escolher para palavras-passe (password)).
Os utilizadores administradores locais das máquinas, deverão usar palavras-passe (password) bastante complexas (normalmente não mudadas com frequência).
– As palavras-passe (password) devem ter no mínimo de 20 caracteres (aconselhável 30 caracteres).
– Reduzir a um (1) utilizador, o total de utilizadores locais como administrador (Administrator).
– As palavras-passe (password) de preferência devem geradas aleatoriamente, utilizando um gerador, como por exemplo o Norton Password Generator.
Nunca esquecer que cada utilizador deverá ter as permissões mínimas que lhe permitam realizar o seu trabalho e nunca devem ser administradores dos sistemas em que operam a não ser que seja estritamente necessário.
Por fim, a Auditoria dos acessos realizados é extremamente importante, para verificar se existe alguma tentativa não autorizada de acesso, o que em caso de máquinas Microsoft Windows, pode ser por exemplo, facilmente realizado, colocando alertas no “Event Viewer”, nos eventos de “Security”, para os eventos de “Failed Login”.
Data da última atualização: 10 de Outubro de 2022
Autor: Paulo Gameiro – Dataframe (General Manager)
Os seguintes artigos no nosso blog podem também interessar-lhe:
A Identidade e a Segurança (Os Quatro Pilares da Identidade)
Condições básicas de segurança no posto de trabalho (regras comportamentais)
Segurança básica na Internet (regras básicas)