Microsoft irá abandonar exigência de alteração periódica de senhas

A Microsoft anunciou algumas modificações para a sua linha de base de segurança do Windows, uma norma que norteia as políticas sugeridas e suas respectivas configurações para redes Windows. Entre as novidades está uma mudança drástica na questão de alterações periódicas da senha: em vez de exigir a troca de senhas a cada 60 dias, a nova norma abandona completamente a necessidade de trocas periódicas. Essas recomendações são utilizadas por empresas para decidir estratégias e políticas internas de segurança. Algumas dessas recomendações trazem uma configuração correspondente no Windows, permitindo que o próprio sistema se encarregue de garantir o cumprimento da norma. Em uma publicação no blog oficial de recomendações de segurança, a Microsoft explica que a alteração periódica de senha é uma prática antiga que, por acaso, pode ser observada com um simples ajuste de configuração. No entanto, há outros métodos mais efetivos para garantir a segurança da autenticação — como o uso de autenticação de duas etapas e proibição de senhas fracas e comuns. Uma empresa que adotou todas essas práticas, mas que não exige a troca periódica de suas senhas, poderia ser penalizada por auditores que verificam o cumprimento das normas recomendadas pela Microsoft. Essas outras práticas não podem ser configuradas nas políticas do próprio Windows, então não aparecem nas recomendações específicas da Microsoft para os ajustes do sistema. As exigências de complexidade, tamanho mínimo e histórico de senhas (que proíbe a reutilização de senhas anteriores) não serão modificadas. Por que trocar uma senha periodicamente? O objetivo da troca periódica de senha é expulsar um invasor que já obteve a senha. Se um hacker obtiver acesso ao e-mail de um funcionário após conseguir a senha dele, a troca periódica vai bloquear os acessos futuros desse hacker. O problema com essa mentalidade — como explica a própria publicação da Microsoft — é que até uma empresa que segue a recomendação e exige a troca ainda poderia ficar exposta pelos 60 dias até a troca. O ideal, nesses casos, é que a invasão seja detectada e a troca realizada imediatamente. Segundo a Microsoft, estudos científicos recentes deixam dúvidas sobre possíveis ganhos obtidos com trocas regulares de senhas. Esse argumento já vem sendo levantado por especialistas da área há alguns anos, e o instituto que define as normas técnicas para os Estados Unidos (NIST) também removeu a exigência de trocas periódicas, passando a recomendar trocas apenas após atividades fraudulentas. Embora as recomendações da Microsoft sejam voltadas a empresas, elas também acabam valendo para outros serviços, inclusive no mundo on-line.