Recomendações de políticas de senhas para senhas do Microsoft 365
Confira todo o nosso conteúdo para pequenas empresas em Ajuda para pequenas empresas e aprendizado.
Como administrador de uma organização, você é responsável por definir a política de senha para os usuários em sua organização. Definir a política de senhas pode ser complicado e confuso, e este artigo fornece recomendações para tornar sua organização mais segura contra ataques de senhas.
As contas apenas na cloud da Microsoft têm uma política de palavras-passe predefinida que não pode ser alterada. Os únicos itens que você pode alterar são os números de dias até que uma senha expire e se as senhas expiram ou não.
Para determinar a frequência com que as senhas do Microsoft 365 expiram em sua organização, confira Definir política de expiração de senha para o Office 365.
Para obter mais informações sobre senhas do Microsoft 365, consulte:
Redefinir senhas (artigo)
Definir a senha de um usuário individual para nunca expirar (artigo)
Permitir aos usuários redefinir suas próprias senhas (artigo)
Reenviar a palavra-passe de um utilizador (artigo)
Está na altura de repensar as alterações obrigatórias de palavras-passe.
Compreendendo as recomendações de senha
As boas práticas de senha se enquadram em algumas categorias amplas:
Resistir a ataques comuns Isso envolve a escolha de onde os usuários inserem senhas (dispositivos conhecidos e confiáveis com boa detecção de malware, sites validados) e a escolha de qual senha escolher (comprimento e exclusividade).
Conter ataques bem-sucedidos Conter ataques de hackers bem-sucedidas consiste em limitar a exposição a um serviço específico ou impedir completamente esse dano, se a senha de um usuário for roubada. Por exemplo, garantir que uma violação de suas credenciais de rede social não torne sua conta bancária vulnerável ou não permita que uma conta mal protegida aceite links de redefinição para uma conta importante.
Noções básicas sobre a natureza humana Muitas práticas válidas de senha falham diante dos comportamentos humanos naturais. Compreender a natureza humana é fundamental porque a investigação mostra que quase todas as regras impostas aos seus utilizadores resultam num enfraquecimento da qualidade da palavra-passe. Requisitos de comprimento, requisitos especiais de caracteres e requisitos de alteração de senha resultam na normalização de senhas, o que facilita para os invasores adivinharem ou decifrarem senhas.
Diretrizes de senha para administradores
O principal objetivo de um sistema de senhas mais seguro é a diversidade de senhas. Você quer que sua política de senha contenha várias senhas diferentes e difíceis de adivinhar. Aqui estão algumas recomendações para manter sua organização o mais segura possível.
Manter um requisito de comprimento mínimo de catorze carateres
Não exigir requisitos de composição de caracteres. Por exemplo, *&(^%$
Não exigir redefinições de senha periódicas obrigatórias para contas de usuários
Proíba senhas comuns, para evitar senhas mais vulneráveis no seu sistema
Informe os seus utilizadores para não reutilizarem as palavras-passe da organização para fins não relacionados com o trabalho
Impor registro para autenticação multifator
Ativar desafios de autenticação multifator baseados em riscos
Diretrizes de senha para os seus usuários
Aqui estão algumas diretrizes de senha para usuários da sua organização. Lembre-se de permitir que seus usuários saibam sobre essas recomendações e aplicar as políticas de senha recomendadas no nível da organização.
Não use uma senha igual ou similar a uma que você usa em outros sites
Não use uma única palavra, por exemplo, senha ou uma frase habitualmente utilizada com euamovocê
Torne as palavras-passe difíceis de adivinhar, mesmo por pessoas que sabem muito sobre si, como os nomes e aniversários dos seus amigos e familiares, as suas bandas favoritas e frases que gosta de usar
Algumas abordagens comuns e seus impactos negativos
São algumas das práticas de gestão de palavras-passe mais utilizadas, mas a investigação avisa-nos sobre os seus impactos negativos.
Requisitos de expiração de senha para usuários
Os requisitos de expiração de palavras-passe fazem mais mal do que bem, pois fazem com que os utilizadores selecionem palavras-passe previsíveis, compostas por palavras sequenciais e números que estão intimamente relacionados entre si. Nesses casos, a próxima senha poderá ser prevista com base na senha anterior. Os requisitos de expiração de senha não oferecem benefícios de contenção, porque os cibercriminosos quase sempre usam credenciais assim que as comprometem.
Requisitos mínimos de comprimento da palavra-passe
Para incentivar os utilizadores a pensarem numa palavra-passe exclusiva, recomendamos que mantenha um requisito de comprimento mínimo razoável de oito carateres.
Exigir o uso de vários conjuntos de caracteres
Os requisitos de complexidade de senha reduzem o espaço principal e fazem com que os usuários ajam de maneiras previsíveis, causando mais danos do que bem. A maioria dos sistemas aplica alguns níveis de requisitos de complexidade de senha. Por exemplo, as senhas precisam ter caracteres das três categorias a seguir:
caracteres maiúsculos
caracteres minúsculos
caracteres não alfanuméricos
A maioria das pessoas utiliza padrões semelhantes. Por exemplo, uma letra maiúscula na primeira posição, um símbolo na última e um número nos últimos 2. Os criminosos virtuais estão cientes desses padrões, por isso executam os seus ataques de dicionário usando as substituições mais comuns, "$" para "s", "@" para "a", "1" para "l". Forçar seus usuários a escolher uma combinação de caracteres maiúsculos e minúsculos, dígitos, caracteres especiais têm um efeito negativo. Alguns requisitos de complexidade impedem que os usuários usem senhas seguras e memoráveis e os forçam a criar senhas menos seguras e menos memoráveis.
Padrões Bem-sucedidos
Por outro lado, aqui estão algumas recomendações para o incentivo à diversidade de senhas.
Bloquear senhas comuns
O requisito de senha mais importante que você deve colocar para os usuários ao criar senhas é proibir o uso de senhas comuns para reduzir a suscetibilidade da sua organização a ataques de senha de força bruta. As senhas comuns de usuários incluem: abcdefg, password, monkey.
Instrua os usuários a não reutilizar senhas da organização em outro local
Uma das mensagens mais importantes a serem transmitidas aos usuários da organização é não reutilizar a senha da organização em nenhum outro lugar. A utilização de palavras-passe da organização em sites externos aumenta significativamente a probabilidade de os cibercriminosos poderem comprometer estas palavras-passe.
Impor registro de Autenticação Multifator
Verifique se os usuários atualizam informações de contato e segurança, como um endereço de email alternativo, um número de telefone ou um dispositivo registrado para notificações por push, para que possam responder aos desafios de segurança e serem notificados de eventos de segurança. As informações atualizadas de contato e segurança ajudam os usuários a verificar sua identidade se esquecerem sua senha ou se outra pessoa tentar assumir sua conta. Também fornece um canal de notificação fora de banda para eventos de segurança, como tentativas de início de sessão ou palavras-passe alteradas.
Para saber mais, confira Configurar a autenticação multifator.
Ativar a autenticação multifator baseada em riscos
A autenticação multifator baseada no risco garante que, quando o nosso sistema deteta atividades suspeitas, pode desafiar o utilizador a garantir que é o proprietário legítimo da conta.
Próximas etapas
Quer saber mais sobre o gerenciamento de senhas? Eis algumas leituras recomendadas:
Conteúdo relacionado
Redefinir senhas (artigo)
Definir a senha de um usuário individual para nunca expirar (artigo)
Permitir aos usuários redefinir suas próprias senhas (artigo)
Reenviar a senha de um usuário - Ajuda do Administrador (artigo)