Desenhe sua política de senha
Obtenha insights sobre como criar políticas de senha de produto que sejam compatíveis, seguras e fáceis de usar, com o Logto garantindo a segurança do seu processo de autenticação.
Product & Design
Sua senha realmente te protege?
No seu produto, é provável que você precise contar com o método clássico de autenticação – senhas. Embora senhas não sejam substituídas completamente, elas são mais vulneráveis a ataques em comparação com métodos de autenticação alternativos. Suas políticas de senha são genuinamente seguras e compatíveis? Mesmo se você estiver familiarizado com várias técnicas de política de senha, realmente é eficaz aplicá-las em camadas?
Abordamos a complexidade do design e configuração de políticas de senha realizando uma pesquisa aprofundada sobre especificações NIST, examinando as principais políticas de senha de produtos e garantindo uma experiência equilibrada para o usuário. Enfatizando a importância da conformidade das senhas, buscamos aliviar você dos desafios associados à estratégia de senhas e fornecer um processo abrangente para garantir a segurança da conta através da integração perfeita de senhas com outros fatores de verificação de Autenticação Multifatorial (MFA).
Que tipo de senhas os usuários precisam?
Designers de produtos muitas vezes se debatem com a questão de saber se seus produtos são seguros o suficiente, levando à implementação de políticas de senha rigorosas e complexas. Por exemplo, exigindo uma combinação de letras maiúsculas e minúsculas, números e até caracteres especiais, ou exigindo mudanças regulares de senha para os funcionários.
Quando confrontados com essas exigências de senha, os usuários rapidamente expressam suas reclamações: "Por que tem que ser tão complicado? Lembrar minhas senhas parece um trabalho em tempo integral!" Isso deixa os gerentes de produto coçando a cabeça, se perguntando se uma política de senha mais complexa é necessariamente melhor. Vamos analisar os componentes de uma política de senha abrangente para descobrir.
Na próxima seção, vamos nos aprofundar nas nuances das políticas de senha, equilibrando entre segurança e conveniência do usuário. Exploraremos como definir os requisitos de senha corretos e forneceremos insights baseados em dados para apoiar nossa abordagem.
Um checklist de todos os fatores de senhas
Primeiro, após analisar inúmeros produtos e especificações NIST, compilamos uma lista abrangente de fatores de senha e recomendações de design.
Nós os categorizamos grosseiramente em três grupos:
- Requisitos de Definição de Senha: Requisitos mínimos para senhas definidas por usuários.
- Monitoramento de Segurança de Senha: Ação e feedback quando riscos de senha são detectados.
- Experiência do Usuário de Senha: Melhorando a experiência de entrada do usuário durante a criação e validação de senha.
| Catálogo | Fatores | Análise (Refira-se a https://pages.nist.gov/800-63-3/sp800-63b.html#sec5 ) |
|---|---|---|
| Definindo os requisitos de senha | Comprimento | Aumentar o comprimento da senha é mais eficaz em deter o cracking da senha do que a complexidade. NIST sugere pelo menos 8 caracteres de comprimento, mas senhas mais longas devem ser permitidas. |
| Tipos de caracteres | As senhas podem suportar vários tipos de caracteres, incluindo Letras maiúsculas, Letras minúsculas, Números, Símbolos e Unicode (Carismas de espaço também devem ser permitidos). | |
| Políticas de senha NÃO devem solicitar aos usuários que se lembrem de tipos específicos de informações, pois isso tem se mostrado aumentar a complexidade sem melhorar efetivamente a segurança. https://www.notion.so/General-f14f0fb677af44cb840821776831a021?pvs=21 | ||
| Frases de baixa segurança | É aconselhável solicitar aos usuários que alterem suas senhas quando usarem padrões facilmente adivinháveis ou violáveis, como caracteres repetitivos ou sequenciais, palavras comuns, informações do usuário ou informações de contexto do produto. | |
| Senha violada | As novas senhas de usuário devem ser verificadas em relação a uma lista de senhas vazadas para garantir que não estejam comprometidas. | |
| Monitoramento de segurança de senhas | Limitação de taxa de verificação de senha | Limitar o número de tentativas consecutivas incorretas de senha. Quando este limite é alcançado, implementar medidas de segurança, como exigir Autenticação Multifatorial (MFA), enviar notificações push, impor tempos de espera, ou até mesmo suspender temporariamente a conta. |
| Forçar alteração de senha | Senhas NÃO devem ser obrigadas a serem alteradas arbitrariamente. No entanto, verificadores DEVEM forçar a mudança de senha se houver evidência de um autenticador comprometido. | |
| Histórico de senha | Manter um registro de senhas passadas que não podem ser reutilizadas. Restrições excessivas sobre o reuso de senhas não são recomendadas, pois os usuários podem burlar essa regra através de pequenas modificações. | |
| Limpar sessão após mudança de senha | Permitir que os usuários escolham se desejam sair de outros dispositivos após mudar sua senha. | |
| Experiência de entrada de senha | Medidores de força de senha | Oferecer orientação aos usuários para ajudá-los a escolher segredos memorizados fortes. |
| Solicitação de senha | Evitar exibir dicas de senha, pois elas aumentam a probabilidade de acesso não autorizado. | |
| Copiar e colar a senha | Permitir o uso da funcionalidade "colar", que facilita o uso de gerenciadores de senha. | |
| Visualizar senha | Fornecer uma opção para exibir a senha conforme inserida, em vez de exibir uma série de pontos ou asteriscos, até que seja enviada. |
Uma ferramenta para configurar sua experiência de senha
Talvez você não tenha paciência para passar por cada item do checklist. Se fôssemos projetar uma poderosa ferramenta de senha que englobasse todas essas opções de configuração, ela poderia se tornar uma dor de cabeça para os desenvolvedores, ainda mais complexa que as políticas de senha complexas em si. Portanto, vamos simplificar ainda mais os fatores de senha em três etapas.
Passo 1: Descartar regras desnecessárias
Como mencionado na tabela, algumas regras de senha obsoletas podem parecer aumentar a segurança, mas pouco oferecem em retorno, frequentemente causando frustração e confusão entre os usuários.
- Evite limitar a combinação de caracteres que os usuários devem usar; limitar o número de tipos de caracteres é suficiente. Por exemplo, Facebook, Discord e Stripe não exigem uma combinação específica de tipos de caracteres, e a política de senha do Google apenas pede "Pelo menos dois tipos de letras, números, símbolos."
- Não exija mudanças de senha regulares periodicamente, pois isso impõe um fardo desnecessário na memória dos usuários. Em vez disso, exija uma mudança de senha apenas quando houver risco de comprometimento de credenciais.
- Escolha apenas um dos limites de senha, entre requisitos mínimos de senha claros e medidores de força de senha para evitar mal-entendidos dos usuários.
- Evite exibir regras excessivamente complexas desde o início, impedindo os usuários de focar em ler sobre erros que não necessariamente ocorrem.
- Refrain de usar dicas de senha para evitar dar vantagem a potenciais atacantes.
Passo 2: Fornecer personalização para diferentes produtos
Oferecemos opções de configuração flexíveis para políticas mínimas de senha, com valores recomendados para reduzir a curva de aprendizado para desenvolvedores e proporcionar uma experiência de sign-in pronta para uso. Essas opções incluem:
- Comprimento mínimo: Valor padrão de 8 caracteres, mínimo 1.
- Tipos mínimos de caracteres exigidos: Nenhuma restrição recomendada, ou seja, definir para 1 de 4.
- Vocabulário de restrições de senha: Recomenda-se habilitar todas as restrições. Os usuários não podem evitar acionar o mesmo vocabulário, mas adicionar três ou mais caracteres não consecutivos é permitido para aumentar a complexidade da senha. Esta adição aumenta a desordem das senhas.
- Proibir senha comprometida: Use uma base de dados confiável de senhas violadas para suporte, impedindo os usuários de usar senhas idênticas para evitar ataques de diretório diretos.
Passo 3: Garantir segurança com valores fixos
Para parâmetros que não podem ser personalizados, implementamos uma lógica de backup para garantir a segurança da senha. Se você tiver requisitos específicos de personalização, sinta-se à vontade para nos informar.
- Limitação de taxa de verificação de senha: Restringimos o número de verificações de senha incorretas consecutivas e o tempo de espera para suspensão de login. Isso protege contra ataques contínuos de senha. Além disso, fornecemos um webhook para verificações de senha falhadas consecutivas e você pode usá-lo para enviar notificações por e-mail ou suspender contas em alto risco de comprometimento.
- Por padrão, limpamos sessões em outros dispositivos após redefinir a senha e atualizar o token. Essa camada extra de segurança ajuda a prevenir o acesso não autorizado à sua conta, garantindo que seus dados permaneçam confidenciais e protegidos.
Conclusão
Com estas três etapas simples, você pode agilizar o processo de configuração da sua experiência de senha, equilibrando adequadamente entre segurança e conveniência do usuário. Logto facilita a configuração de um sistema de autenticação seguro e fácil de usar para o seu produto. Fique atento à nossa próxima funcionalidade MFA e assuma o controle da segurança do seu produto como nunca antes.