04 Nov Com que frequência devo alterar a minha password?
A alteração frequente de passwords é há vários anos um dos princípios da segurança informática. Mas será que esta recomendação faz sentido?
Recentemente, este princípio começou a ser repensado. Por exemplo, o National Institute of Standards and Technology (NIST) passou a recomendar que as passwords só devem ser alteradas quando existe indicação de que estas foram comprometidas. A Microsoft também passou a recomendar que as passwords apenas devem ser alteradas quando existe indicação de que estas foram comprometidas, removendo inclusive a política de expiração de password do Windows 10 e do Windows Server.
Esta mudança de pensamento está relacionada com estudos científicos recentes, que indicam que, quando os utilizadores são obrigados a mudar de password (no caso do referido estudo, a cada 3 meses), tendem a criar passwords que seguem padrões previsíveis, como aumentar um número (por exemplo, passar de 18 para 19), mudar uma letra para um símbolo de aparência semelhante (por exemplo, alterar um S para $), adicionar ou remover um carácter especial (por exemplo, passar de três pontos de exclamação no final da password para apenas dois), ou mudar a ordem dos dígitos ou caracteres especiais (por exemplo, mudando os números do final para o princípio da password). Com base nestas transformações, os investigadores desenvolveram um algoritmo para prever a nova password de um utilizador com base na sua password anterior. Aplicando este algoritmo, num ataque online, em que o número de tentativas é limitado, os investigadores conseguiram descobrir as passwords de 17% dos utilizadores em menos de 5 tentativas. Num ataque offline, os investigadores conseguiram descobrir as novas passwords de 41% dos utilizadores em menos de 3 segundos.
Sabendo que este é o comportamento do típico utilizador quando é obrigado a alterar a sua password, estes resultados demonstram a importância de utilizar um gestor de passwords. A alteração frequente de passwords só faria sentido se você utilizasse a mesma password em todas as contas. Nesse caso, faria sentido que alterasse frequentemente a sua password pois, se um site fosse comprometido sem você ter conhecimento disso, o atacante conseguiria aceder a todas as suas outras contas, pois a password que você utiliza nesse site seria igual à password que utiliza em todas as suas outras contas. No entanto, se você utilizar um gestor de passwords para criar uma password única e segura para cada conta, mesmo que um atacante saiba a sua password anterior, não conseguirá descobrir a sua password actual.
Em suma, não é necessário alterar a sua password a cada 3 meses, 6 meses ou qualquer outro período de tempo. Se utiliza uma password única para cada conta e esta segue as boas práticas, apenas deve alterar a sua password quando existir algum indício de que esta foi comprometida.