Gerenciando senhas
Atualmente, as credenciais de nome de usuário e senha são as credenciais mais comuns usadas para autenticação. Embora outros tipos de credenciais, como certificados e biometria, estejam começando a encontrar seu caminho para o mundo dos sistemas e da rede, eles geralmente são apoiados por senhas. E, mesmo onde os certificados são usados, suas chaves de criptografia devem ser protegidas. Portanto, nomes de usuário e senhas continuarão a ser utilizados como credenciais por um futuro previsível.
Dado que as senhas e as chaves de criptografia estarão em torno de um tempo, é importante que os sistemas de software as usem de forma segura. Se um sistema de rede ou computador permanecer seguro, as senhas deverão ser protegidas contra invasores. Isso pode, a princípio, parecer trivial. No entanto, sistema após sistema e rede após rede foram comprometidos porque um invasor foi capaz de capturar as senhas dos usuários. Os problemas vão desde os usuários compartilhando suas senhas com alguém até softwares que podem ser penetrados por um invasor.
É impossível armazenar informações secretas no software de forma completamente segura. E como armazenar senhas e chaves de criptografia em um sistema de software nunca pode ser completamente seguro, é recomendável que elas não sejam armazenadas em um sistema de software.
No entanto, quando as senhas devem ser armazenadas em um sistema de software, que geralmente é o caso, há precauções que podem ser tomadas. A principal precaução é tornar o mais difícil possível para um intruso descobrir uma senha. Assim como fechar as portas da sua casa, se alguém está determinado a invadir, é quase impossível impedi-lo de fazê-lo. Mas espero que você tenha aumentado o nível de dificuldade suficientemente que o suposto intruso preferiria encontrar presas mais fáceis.
Há muitas maneiras de dificultar o trabalho de um invasor de descobrir senhas. No entanto, a extensão do que realmente pode ser feito é geralmente uma compensação entre o que os usuários da rede ou do sistema estão dispostos a aceitar. Por exemplo, use o caso em que o "logon único" não é usado e o usuário é solicitado a obter uma senha sempre que um aplicativo é iniciado. Na maioria dos casos, isso criaria um fardo significativo para os usuários e eles provavelmente reclamariam. Não só isso, mas a falta de um único logon é ineficiente e degradaria a produtividade dos usuários. Portanto, praticamente falando, uma senha geralmente não é coletada de um usuário, exceto no momento do logon.
Dado que as senhas geralmente devem ser armazenadas no sistema de software, torna-se importante garantir que as senhas sejam mantidas o mais segura possível e que a conveniência para os usuários seja mantida. Para obter mais informações, consulte os seguintes tópicos:
- Avaliação de Ameaças de Senha
- técnicas de mitigação de ameaças
Nota
Quando terminar de usar senhas em aplicativos, desmarque as informações confidenciais da memória chamando a função SecureZeroMemory.