Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
Diretrizes de Senha NIST: O que Você Precisa Saber

Diretrizes de Senha NIST: O que Você Precisa Saber

Aug 13, 2024

National Institute of Standards and Technology (NIST) auxilia organizações a implementar as melhores práticas em suas operações, incluindo cibersegurança. Em particular, os contornos das diretrizes de senhas do NIST são considerados o padrão ouro para a criação e gestão de políticas de senhas sólidas.

Este artigo explica as atuais diretrizes de senha do NIST, detalhadas na Publicação Especial 800-63B, “Diretrizes de Identidade Digital”, e como as organizações podem implementá-las para fortalecer sua estratégia de cibersegurança.

A Evolução das Diretrizes de Senha do NIST

A primeira versão das diretrizes de senha NIST 800-63 foi lançada em 2014. O padrão atual é a versão 3, lançada em 2019 e atualizada em 2020. Uma quarta revisão (diretrizes de senha NIST 2024) está sendo elaborada para responder à evolução da paisagem de ataques.

Um motivo principal pelo qual o NIST alterou suas diretrizes de senha ao longo do tempo é a observação do comportamento real dos usuários. Especificamente, embora regras rigorosas de senha pareçam aumentar a segurança, elas podem sobrecarregar os usuários, levando-os a adotar práticas que na verdade prejudicam a segurança.

Por exemplo, exigir que os usuários escolham senhas altamente complexas e as alterem frequentemente pode ser mais prejudicial do que benéfico — usuários ansiosos para evitar a frustração de bloqueios de conta podem recorrer a anotar suas senhas e mantê-las bem próximas aos seus postos de trabalho. Assim, o NIST agora busca facilitar práticas recomendadas mais amigáveis ao usuário que melhoram a segurança geral.

Terminologia-chave

As seções da publicação especial NIST são apresentadas como informativas, normativas ou ambas. Material informativo é destinado a ajudar o leitor a entender conceitos. Normativo o conteúdo fornece recomendações para uma empresa utilizar ao criar password policies. Preste bastante atenção aos seguintes termos-chave:

  • Deve e não deve — Indicam ações que a NIST exige que as organizações realizem (ou não)
  • Deve e não deve — Indicam que o NIST recomenda (ou desaconselha) uma ação
  • Maio e não pode — Indicam que uma ação é permitida (ou não permitida)
  • Podem e não podem — Indicam uma possibilidade ou capacidade (ou a falta dela), seja física, causal ou material

Atenda aos requisitos do NIST com o Netwrix

Diretrizes de Senha NIST

Os componentes principais das recomendações de senha do NIST podem ser agrupados em duas áreas:

  • Composição de senha, que inclui requisitos de comprimento e complexidade para senhas seguras.
  • Gestão de senhas, que abrange tópicos como expiração de senha, políticas de bloqueio e o uso de gerenciadores de senhas.


Composição de Senha

Uma diferença chave entre as antigas diretrizes de senha do NIST e as orientações atuais é a priorização do comprimento da senha em detrimento da complexidade. A razão é simples: Embora os requisitos de complexidade tornem as senhas mais difíceis de serem adivinhadas ou quebradas pelos hackers, muitas vezes levam os usuários a recorrer a práticas arriscadas como anotar suas senhas. Os requisitos de comprimento alcançam muitos dos benefícios de segurança sem a desvantagem, já que os usuários podem escolher frases-senha fortes que são fáceis de lembrar e digitar.

Assim, as diretrizes de senha do NIST 2023 incluem os seguintes requisitos de comprimento e complexidade:

  • Comprimento mínimo — As senhas criadas pelos usuários devem ter pelo menos 8 caracteres e as senhas criadas automaticamente devem ter pelo menos 6. Anteriormente, o comprimento mínimo para ambas era de 6.
  • Comprimento máximo — Tanto as senhas geradas pelo usuário quanto as geradas automaticamente devem ter um comprimento máximo de 64 caracteres.
  • Complexidade de senha — As diretrizes anteriores do NIST exigiam que as senhas incluíssem caracteres especiais e proibiam certos caracteres, como espaços e emojis. Agora o NIST recomenda não ter requisitos de complexidade, mas permitir qualquer caractere do Código Padrão Americano para o Intercâmbio de Informação (ASCII).

Gerenciamento de Senhas

A atual publicação do NIST também oferece orientações revisadas sobre a gestão de segurança de senhas. As principais revisões dizem respeito ao seguinte:

  • Alterações de senha — Anteriormente, os requisitos de expiração de senha do NIST obrigavam os usuários a alterar suas senhas periodicamente. No entanto, à luz de pesquisas subsequentes, o NIST agora recomenda exigir que os usuários mudem suas senhas apenas quando houver um motivo específico, como comprometimento da conta.
  • Histórico de senhas— As organizações são incentivadas a verificar a nova senha proposta pelo usuário em relação às antigas para garantir originalidade suficiente.
  • Verificação de senhas — O NIST exige que as organizações verifiquem as novas senhas propostas contra uma lista negra de senhas proibidas. Essas listas de senhas podem incluir credenciais comprometidas em violações anteriores, palavras de dicionário, senhas contendo caracteres repetitivos ou consecutivos como “12345” ou “aaaa”, e palavras específicas do contexto como o nome do usuário ou da empresa.
  • Bloqueios de conta — A NIST 800-63B recomenda que as contas sejam bloqueadas após no mínimo 10 tentativas de login sem sucesso.
  • Armazenamento de senhas — O NIST exige o uso de hash e salting de senhas para tornar os ataques de adivinhação de senhas proibitivamente caros para os adversários.
  • Dicas de senha — As atuais diretrizes de senha do NIST desaconselham as organizações a permitir dicas de senha (por exemplo, “Em que ano você nasceu?”) porque podem facilitar para os hackers adivinharem a senha de um usuário.

Melhores práticas para implementar o NIST Password Guidance

As diretrizes do NIST oferecem informações valiosas para manter sistemas de TI, serviços e dados protegidos contra ameaças cibernéticas. Aqui estão algumas das melhores práticas a seguir:

  • Seja prático. Como vimos, requisitos de senha excessivamente rigorosos muitas vezes são contraproducentes. Além disso, eles podem não melhorar a segurança tanto quanto pretendido. Por exemplo, o NIST observa que requisitos de complexidade e comprimento de senha não ajudam a defender contra ataques de registro de teclas, phishing e engenharia social.
  • Ofereça um gerenciador de senhas. As diretrizes do NIST incentivam as organizações a permitirem que os usuários utilizem gerenciadores de senhas, pois essas ferramentas facilitam a escolha de senhas longas e complexas sem se preocupar em esquecê-las e ficar bloqueado. Com um gerenciador de senhas, você pode adotar com confiança os requisitos de comprimento e complexidade que funcionam melhor para a sua organização.
  • Melhore a autenticação — A maioria das organizações ainda usa senhas como fator primário de autenticação. O NIST lembra às organizações que a autenticação baseada em conhecimento (solicitar ao usuário para responder perguntas) não é um método aceitável de autenticação. Além disso, biometrias como impressões digitais não são por si só uma forma suficiente de autenticação, embora possam ser usadas em autenticação multifatorial. As diretrizes do NIST desaconselham o uso de mensagens SMS em autenticação multifatorial.
  • Adote uma abordagem aprofundada para a segurança. Políticas fortes de senha são importantes para toda organização, mas são apenas um componente de uma estratégia abrangente de cibersegurança. Certifique-se de implementar outras melhores práticas de segurança essenciais, como a aplicação rigorosa do principle of least privilege para controlar rigorosamente o acesso a dados e sistemas sensíveis.

Como a Netwrix pode ajudar


Escolher as ferramentas certas pode capacitá-lo a alcançar a conformidade com as diretrizes de senha do NIST de forma mais rápida e eficaz. Para ajudar, a Netwrix oferece uma robusta password management solution. Os principais produtos incluem:

  • Netwrix Password Policy Enforcer, que facilita a criação de políticas de senha poderosas e flexíveis, proporcionando uma experiência positiva para os usuários.
  • Netwrix Directory Manager, que permite aos usuários redefinir suas próprias senhas e desbloquear suas contas, reduzindo os custos do helpdesk e a frustração dos usuários.
  • Netwrix Password Secure, que permite aos usuários gerenciar suas senhas de forma segura e aos administradores gerenciar o acesso privilegiado e auditar o uso das senhas.

Conclusão

As diretrizes do NIST são o padrão ouro para composição de senhas e políticas de gerenciamento de senhas que protegem sistemas sensíveis e dados. Mudanças importantes em relação às orientações anteriores incluem enfatizar o comprimento em detrimento da complexidade e não exigir a rotação regular de senhas.


Perguntas Frequentes

Quais são as diretrizes de política de senha do NIST?


NIST 800-63B, “Diretrizes de Identidade Digital,” oferece recomendações para composição de senhas e gerenciamento de senhas. As orientações atuais do NIST incluem o seguinte:

  • Prefira comprimento em vez de complexidade.
  • Exija que as senhas geradas pelos usuários tenham de 8 a 64 caracteres e que as senhas geradas automaticamente tenham de 6 a 64 caracteres.
  • Permita o uso de todos os caracteres ASCII, incluindo espaços e emojis.
  • Verifique as novas senhas do candidato contra uma lista de senhas fracas e comprometidas.
  • Não permita dicas de senha.

Qual é a diretriz de senha NIST 800-63?

As diretrizes de senha NIST 800-63B, intituladas “Digital Identity Guidelines”, servem como uma estrutura para ajudar organizações a implementar as melhores práticas para senhas.


O NIST recomenda a expiração de senha?

Não, o NIST não recomenda mais que os usuários sejam obrigados a mudar suas senhas regularmente, pois políticas de expiração de senha frequentemente levam os usuários a adotarem práticas inseguras, como anotar suas senhas. Em vez disso, as organizações devem exigir uma mudança de senha apenas quando houver um bom motivo, como comprometimento da conta.


Quais são as diretrizes de senha para NIST 800-171?

NIST 800-171 as diretrizes de senha estão detalhadas em NIST Special Publication 800-171 Revision 3, “Protegendo Informações Não Classificadas Controladas em Sistemas e Organizações Não Federais.”

Quais são os padrões de senha para 2024?


As diretrizes de senha do NIST estabelecem padrões para uma ampla gama de aplicações relacionadas a senhas, incluindo, mas não se limitando a:

  • A remoção da autenticação baseada em conhecimento
  • Aceitação de caracteres como emojis ou a barra de espaço
  • Aceitação de gerenciadores de senhas
  • Removendo datas de expiração e dicas de senha
  • Preferindo comprimento em vez de complexidade
  • Estabelecendo comprimentos mínimos e máximos para senhas geradas automaticamente e pelo usuário

Qual deve ser o comprimento das senhas em 2024?

As diretrizes de senha do NIST afirmam que as senhas geradas pelos usuários devem ter de oito a 64 caracteres, enquanto as senhas geradas automaticamente devem ter de seis a 64 caracteres.

Aprenda Como Prevenir a Expiração de Senhas

Saiba Mais

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Joe Dibley

Pesquisador de Segurança

Pesquisador de Segurança na Netwrix e membro da Equipe de Pesquisa de Segurança da Netwrix. Joe é um especialista em Active Directory, Windows e uma ampla variedade de plataformas de software empresarial e tecnologias, Joe pesquisa novos riscos de segurança, técnicas de ataque complexas e as respectivas mitigações e detecções.

Saiba mais sobre este assunto

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

O que é Gerenciamento de Registros Eletrônicos?

Análise de Risco Quantitativa: Expectativa de Perda Anual

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança