Desenha a tua política de palavra-passe
Obtém insights sobre como criar políticas de palavras-passe para produtos que sejam compatíveis, seguras e fáceis de usar, com o Logto a garantir a segurança do teu processo de autenticação.
Product & Design
A tua palavra-passe protege-te realmente?
No teu produto, é provável que precises de recorrer ao método clássico de autenticação – palavras-passe. Enquanto as palavras-passe não serão substituídas inteiramente, são mais vulneráveis a ataques em comparação com métodos de autenticação alternativos. As tuas políticas de palavra-passe são realmente seguras e compatíveis? Mesmo que estejas familiarizado com diversas técnicas de políticas de palavra-passe, será que as aplicar em camadas é realmente eficaz?
Abordamos a complexidade do design e configuração de políticas de palavra-passe ao realizar pesquisas aprofundadas sobre as especificações NIST, examinando políticas de palavra-passe de produtos líderes e garantindo uma experiência de utilizador equilibrada. Enfatizando a importância da conformidade das palavras-passe, visamos aliviar os desafios associados à estratégia de palavra-passe e fornecer um processo abrangente para garantir a segurança da conta através da integração perfeita das palavras-passe com outros fatores de verificação de Autenticação Multi-Fator (MFA).
Que tipo de palavras-passe os utilizadores precisam?
Os designers de produtos frequentemente se debatem com a questão de saber se os seus produtos são suficientemente seguros, levando à implementação de políticas de palavras-passe rigorosas e complexas. Por exemplo, exigindo uma combinação de letras maiúsculas e minúsculas, números e até caracteres especiais, ou exigindo alterações regulares de palavra-passe para os empregados.
Quando confrontados com tais requisitos de palavras-passe, os utilizadores são rápidos a expressar as suas reclamações: "Por que tem de ser tão complicado? Lembrar-me das minhas palavras-passe parece um trabalho a tempo inteiro!” Isto deixa os gestores de produto coçando a cabeça, perguntando-se se uma política de palavra-passe mais complexa é necessariamente melhor. Vamos desmembrar os componentes de uma política de palavra-passe abrangente para descobrir.
Na próxima seção, vamos aprofundar as nuances das políticas de palavra-passe, alcançando um equilíbrio entre segurança e conveniência do utilizador. Exploraremos como definir os requisitos corretos para as palavras-passe e forneceremos insights baseados em dados para apoiar nossa abordagem.
Uma lista de verificação de todos os fatores de palavra-passe
Primeiro, após analisar numerosos produtos e especificações NIST, compilámos uma lista abrangente de fatores de palavra-passe e recomendações de design.
Nós os categorizamos aproximadamente em três grupos:
- Requisitos de Configuração de Palavra-Passe: Requisitos mínimos para palavras-passe definidas pelo utilizador.
- Monitorização de Segurança de Palavra-Passe: Ação rápida e feedback quando riscos de palavra-passe são detectados.
- Experiência do Utilizador com Palavra-Passe: Melhorar a experiência de entrada do utilizador durante a criação e validação da palavra-passe.
| Catálogo | Fatores | Análise (Consulte https://pages.nist.gov/800-63-3/sp800-63b.html#sec5 ) |
|---|---|---|
| Definindo requisitos de palavra-passe | Comprimento | Aumentar o comprimento da palavra-passe é mais eficaz em deter a quebra de palavras-passe do que a complexidade. O NIST sugere pelo menos 8 caracteres de comprimento, mas palavras-passe mais longas devem ser permitidas. |
| Tipos de caracteres | As palavras-passe podem suportar vários tipos de caracteres, incluindo Letras maiúsculas, Letras minúsculas, Números, Símbolos e Unicode (Caracteres de espaço também devem ser permitidos). | |
| As políticas de palavra-passe NÃO DEVEM solicitar aos utilizadores que recordem tipos específicos de informações, uma vez que isso demonstrou aumentar a complexidade sem melhorar efetivamente a segurança. https://www.notion.so/General-f14f0fb677af44cb840821776831a021?pvs=21 | ||
| Frases de baixa segurança | É aconselhável solicitar aos utilizadores que mudem a sua palavra-passe quando usam padrões facilmente adivinháveis ou quebráveis, como caracteres repetitivos ou sequenciais, palavras comuns, informações do utilizador ou informações de contexto do produto. | |
| Palavra-passe comprometida | As novas palavras-passe dos utilizadores devem ser verificadas contra uma lista de palavras-passe vazadas para assegurar que não estão comprometidas. | |
| Monitorização de segurança de palavra-passe | Limitação da taxa de verificação | Limita o número de tentativas incorretas consecutivas de palavra-passe. Quando este limite é alcançado, implementa medidas de segurança, como exigir Autenticação Multi-Fator (MFA), enviar notificações push, impor tempos de arrefecimento ou até mesmo suspender temporariamente a conta. |
| Forçar a mudança da palavra-passe | As palavras-passe NÃO DEVEM ser exigidas para serem mudadas arbitrariamente. No entanto, os verificadores DEVEM forçar uma mudança de palavra-passe se houver evidência de um autenticador comprometido. | |
| Histórico de palavras-passe | Mantém um registo de palavras-passe passadas que não podem ser reutilizadas. Restrições excessivas sobre a reutilização de palavras-passe não são recomendadas, pois os utilizadores podem contornar esta regra através de pequenas modificações. | |
| Limpar sessão após mudar palavra-passe | Permite que os utilizadores escolham se desejam sair de outros dispositivos após mudar sua palavra-passe. | |
| Experiência de entrada com palavra-passe | Medidores de força de palavra-passe | Oferece orientação aos utilizadores para ajudá-los a selecionar segredos memorizados fortes. |
| Prompt de palavra-passe | Evita exibir dicas de palavras-passe, uma vez que aumentam a probabilidade de acesso não autorizado. | |
| Copiar e colar a palavra-passe | Permite o uso da funcionalidade "colar", que facilita o uso de gestores de palavras-passe. | |
| Visualizar palavra-passe | Fornece uma opção para exibir a palavra-passe conforme inserida, em vez de exibir uma série de pontos ou asteriscos, até ser submetida. |
Uma ferramenta para configurar a tua experiência de palavra-passe
Talvez não tenhas paciência para passar por cada item na lista de verificação. Se projetássemos uma ferramenta de palavra-passe poderosa que abrangesse todas essas opções de configuração, poderia tornar-se numa dor de cabeça para os programadores, ainda mais complexa que as políticas de palavras-passe complexas. Portanto, vamos simplificar ainda mais os fatores de palavra-passe em três passos.
Passo 1: Descartar regras desnecessárias
Como mencionado na tabela, algumas regras de palavra-passe obsoletas podem parecer aumentar a segurança, mas oferecem pouco retorno, frequentemente causando frustração e confusão entre os utilizadores.
- Evita limitar a combinação de caracteres que os utilizadores devem usar; restringir o número de tipos de caracteres é suficiente. Por exemplo, Facebook, Discord e Stripe não exigem uma combinação específica de tipos de caracteres, e a política de palavras-passe do Google apenas pede "Pelo menos dois tipos de letras, números, símbolos."
- Não exijas mudanças periódicas regulares de palavra-passe, pois isso coloca uma carga desnecessária na memória dos utilizadores. Em vez disso, requer uma mudança de palavra-passe apenas quando há um risco de comprometimento das credenciais.
- Escolhe apenas um dos limites de palavra-passe, entre requisitos claros mínimos de palavra-passe e medidores de força de palavra-passe para prevenir mal-entendidos dos utilizadores.
- Evita exibir regras excessivamente complexas desde o início, prevenindo que os utilizadores se concentrem em ler sobre erros que não necessariamente ocorrem.
- Evita usar dicas de palavras-passe para evitar dar vantagem a potenciais atacantes.
Passo 2: Oferecer personalização para diferentes produtos
Oferecemos opções flexíveis de configuração para políticas mínimas de palavra-passe, com valores recomendados para reduzir a curva de aprendizagem dos programadores e proporcionar uma Experiência de Início de Sessão pronta a usar. Estas opções incluem:
- Comprimento mínimo: Valor padrão de 8 caracteres, mínimo de 1.
- Tipos de caracteres mínimos exigidos: Nenhuma restrição recomendada, ou seja, definir para 1 em 4.
- Vocabulário de restrição de palavra-passe: Sugerido ativar todas as restrições. Os utilizadores não podem evitar acionar o mesmo vocabulário, mas adicionar três ou mais caracteres não consecutivos é permitido para aumentar a complexidade da palavra-passe. Esta adição aumenta a desordem das palavras-passe.
- Proibir palavra-passe comprometida: Usa uma base de dados confiável de palavras-passe comprometidas para apoio, prevenindo os utilizadores de usar palavras-passe idênticas para evitar ataques diretos ao diretório.
Passo 3: Garantir segurança com valores fixos
Para parâmetros que não podem ser personalizados, implementamos lógica de backup para garantir a segurança da palavra-passe. Se tiveres requisitos de personalização específicos, por favor, informa-nos.
- Limitação de Taxa de Verificação de Palavra-Passe: Restringimos o número de verificações incorretas consecutivas de palavra-passe e o tempo de arrefecimento para suspender o início de sessão. Isso protege contra ataques contínuos de palavra-passe. Além disso, fornecemos um webhook para verificações consecutivas de falha de palavra-passe e podes usá-lo para enviar notificações por e-mail ou suspender contas sob alto risco de comprometimento.
- Por padrão, limpamos sessões em outros dispositivos após redefinir a palavra-passe e atualizar o token. Esta camada extra de segurança ajuda a prevenir o acesso não autorizado à tua conta, garantindo que teus dados permaneçam confidenciais e protegidos.
Conclusão
Com estes três passos simples, podes simplificar o processo de configuração da tua experiência de palavra-passe, equilibrando a segurança com a conveniência do utilizador. Logto torna fácil configurar um sistema de autenticação seguro e fácil de usar para o teu produto. Fica atento para a nossa funcionalidade MFA que está para vir e assume o controle da segurança do teu produto como nunca antes.