A Microsoft decidiu quebrar um conceito de segurança tido como incontestável até então: o método de expirar periodicamente as senhas de acesso. Em seu rascunho mais recente sobre os padrões de segurança das versões Windows 10 1903 e Windows Server 1903, a empresa informou que decidiu abandonar as políticas de recomendação de expiração de senhas.

O texto diz que a expiração periódica de senha, aplicada somente para evitar que ela seja roubada durante seu intervalo de validade, é um método de mitigação obsoleto com muito pouco valor de segurança. “Se uma senha nunca for roubada, não há necessidade de expirá-la. E, se você tiver provas de que uma senha foi roubada, presumivelmente você agiria imediatamente, em vez de esperar pela expiração para corrigir o problema”, explica a empresa.

Por conta disso, a Microsoft definiu que, em vez de indicar uma prática específica de segurança, uma validade padrão da senha ou nenhuma expiração, vai competir às organizações escolherem o que melhor atende às suas necessidades. Ao mesmo tempo, reiterou que recomenda “fortemente” que usuários incluam proteções adicionais aos sistemas “mesmo que elas não estejam expressas em nossa linha de base de segurança”.

A empresa salientou que a sua posição se refere apenas à expiração periódica de senhas. “Não estamos propondo a alteração dos requisitos de comprimento, histórico ou complexidade mínimos da senha”. Isso porque, para a Microsoft, a característica do código pode ser sozinha um risco à segurança, já que senhas costumam ser simples e fáceis de adivinhar. Do mesmo modo, a obrigação de trocar senhas regularmente faz com que o usuário acabe realizando “pequenas e previsíveis” alterações e até mesmo esqueça as novas senhas.

Já existem alternativas melhores

Segundo a Microsoft, já existem melhores alternativas que a expiração de senhas. Uma delas é a aplicação de listas de senhas proibidas, um sistema que bloqueia a criação e uso de códigos considerados inseguros ou que fazem parte de grandes bases de dados de violações de segurança.

A empresa sugere também a autenticação multifator, um método que utiliza mais do que o nome de usuário e senha para autorizar o acesso. A proposta se baseia no conceito das três perguntas “o que você sabe” (uma senha), “o que você é” (autenticação biométrica por reconhecimento facial ou impressão digital) ou “o que você tem” (uma chave física USB ou um token gerador de códigos). 

Tanto esta quanto a lista de senhas proibidas são técnicas que podem ser usadas tanto em âmbito empresarial quanto pelos próprios usuários para a proteção de dados.