Sistema institucional de TI para troca de senha a cada três meses

Tecnologia
Wukong  
em 28/07/23 11:00

Comentários

Último comentário 1º comentário do autor Só moderadores Só quem eu sigo Ordenar por gostei
CarameloHolder  
em 28/07/2023 11:03
Aqui no meu setor público é assim mesmo, pelo menos nos sistemas antigos, felizmente nos novos não estão adotando essa política, mas sim autenticação em 2 passos ou sistemas como autenticator.

Entendo como sendo uma política ruim, pois por mais que recomendem usar um gerenciador de senha, a imensa maioria das pessoas vai esquecer a senha ou anotar num lugar ridículo ou ainda usar alguma variação idiota da senha como asdfgh01, asdfgh02 e por aí vai.
; 4; ; 0;
0 '; 0';
Sistema institucional de TI para troca de senha a cada três meses - #1 de 27
Dogoncio  
em 28/07/2023 11:07
Na minha experiencia com setor publico, ainda se usa estabilizador nos computadores. Então por aí tu vê o nível de familiariedade da coisa com tecnologia...
; 5; ; 3;
0 '; 0';
Sistema institucional de TI para troca de senha a cada três meses - #2 de 27
big_boss  
em 28/07/2023 11:08
Boas praticas compiladas após anos de observação! Não resolve nada, porém aumenta sim o nível de segurança!
; 0; ; 6;
0 '; 0';
Sistema institucional de TI para troca de senha a cada três meses - #3 de 27
Rekz  
em 28/07/2023 11:10


Só o que importa Ver mais

Com todo respeito, isso é irrelevante se você não possui credencial pra tomar a decisão de mudar o sistema de segurança institucional.

Já que provavelmente você não tem esse controle, podemos pensar em algo que facilite sua vida pra essa sua demanda específica, acho que vai ser mais útil do que uma discussão sobre a usabilidade desse tipo de sistema, por que isso não vai te melhorar ou facilitar a vida.

Uma sugestão que consigo pensar é usar um gerenciador de senhas, como o Bitwarden. Coloque essa sua senha principal como a "senha mestra", e quando o sistema pedir troca, gere uma senha aleatória e substitua a senha antiga por essa nova no gerenciador, e pronto. Você usa a mesma senha sempre e cumpre o protocolo do trabalho.
; 12; ; 0;
0 '; 0';
Sistema institucional de TI para troca de senha a cada três meses - #4 de 27
fuderosodaesquina  
em 28/07/2023 11:11
Meu estagiário veio postar aqui que no meio da minha senha tem um 01 que quando pede p mudar eu mudo p 02, 03, 04.... 
; 9; ; 0;
0 '; 0';
Sistema institucional de TI para troca de senha a cada três meses - #5 de 27
buy_and_nemo  
em 28/07/2023 11:12
Tenho a mesma opinião. Na empresa que trabalho eles exigem uma senha de pelo menos 20 caracteres (uma frase), mas uso a mesma há anos...
Lembro que quanto tinha que trocar sempre no fim era a mesma senha e só trocava o numero no final ou anotava em papel, bem pior

Isso vem dos tempos que cada sistema tinha uma senha e se presumia que o usuário compartilhava senhas de forma informal. Hoje em dia com SSO e segundo fator a pessoa só tem uma senha na empresa e nunca compartilha... Logo não tem necessidade de trocar e nem de usar gerenciador de senhas

Essa regra vem da ISO 27001, que muitas empresas e ONREVOGs seguem/precisam seguir para auditoria ou certificação.
A ISO 27001 está em fase de revisão inclusive. Vamos ver como virá o novo padrão
; 7; ; 0;
0 '; 0';
Sistema institucional de TI para troca de senha a cada três meses - #6 de 27
semPAS  
em 28/07/2023 11:12
A melhor prática é você usar essa senha que você tem na cabeça para o gerenciador de senhas. Todo o resto você usa as senhas aleatórias geradas pelo gerenciador.

O porque disso é muito simples: se vazar alguma das tuas senhas, desde que não seja a do gerenciador de senhas, todo o resto não fica comprometido.

Para aprimorar ainda mais a segurança, você pode também adicionar 2FA.
; 1; ; 0;
0 '; 0';
Sistema institucional de TI para troca de senha a cada três meses - #7 de 27
tonim  
em 28/07/2023 11:14
Não sei se isso é só do setor público, aqui começaram a fazer isso por imposição contratual da empresa fornecedora dos serviços. 
; 1; ; 0;
0 '; 0';
Sistema institucional de TI para troca de senha a cada três meses - #8 de 27
ademirqueixada  
em 28/07/2023 11:28


postado por @fuderosodaesquina em 28/07/2023 11:11

Meu estagiário veio postar aqui que no meio da minha senha tem um 01 que quando pede p mudar eu mudo p 02, 03, 04.... 

faço a mesma coisa kkkk
; 3; ; 0;
0 '; 0';
Sistema institucional de TI para troca de senha a cada três meses - #9 de 27
Guga.tm  
em 28/07/2023 11:29
Acho que está mais próximo da primeira opção.
; 1; ; 0;
0 '; 1';
Sistema institucional de TI para troca de senha a cada três meses - #10 de 27
Giovanni  
em 28/07/2023 11:29
Essa política é ultrapassada. Só estimula a gerar senhas cada vez mais bestas porque tem que trocar a cada três meses

Aí vira fulano@01, fulano@02, por aí vai

Sempre o arroba e número tbm, que é mais ou menos ultrapassado e tbm estimula a gerar senhas com caracteres inúteis soh para cumprir aquele monte de caractere especial

fuck@this01!
fuck@this02!

E por aí vai

Uma senha como "euodeioessemontedecaracteteinutil" é impossível de quebrar com força bruta, difícil de adivinhar, e muito mais fácil de decorar

A motivação de um sistema de TI atualizado deveria ser impedir várias tentativas consecutivas e estimular a criar uma senha que não seja um monte de caractere inútil sem sentido, pq aí tbm evita do cara anotar num papel na gaveta do escritório, e não ter validade arbitrária para não virar obrigação chata
; 18; ; 0;
0 '; 0';
Sistema institucional de TI para troca de senha a cada três meses - #11 de 27
Charlito  
em 28/07/2023 11:29


postado por @Dogoncio em 28/07/2023 11:07

Na minha experiencia com setor publico, ainda se usa estabilizador nos computadores. Então por aí tu vê o nível de familiariedade da coisa com tecnologia...


É um grande atrativo a estabilidade no emprego.
; 6; ; 0;
0 '; 0';
Sistema institucional de TI para troca de senha a cada três meses - #12 de 27
o_o_o  
em 28/07/2023 11:32
Tb sou obrigado a trocar a cada 3 meses.

No sistema que utilizo, também não é possível utilizar as últimas 3 senhas.

Então, no dia do vencimento, gero 3 senhas aleatórias e faço a alteração 3 vezes consecutivas e na quarta volto para a minha senha padrão. Utilizando o "BUG" ao meu favor.
; 25; ; 0;
0 '; 0';
Sistema institucional de TI para troca de senha a cada três meses - #13 de 27
matheussa  
em 28/07/2023 11:36
Essa é uma prática da indústria, nao se restringe ao serviço público.

Apesar de que o que é  considerado mais eficiente hoje em dia ser a autenticaçao de multi fatores, onde o usuário tem que prover algo que só ele sabe (por exemplo uma senha) e algo que só ele tem (por exemplo, um celular verificado ou uma impressao digital) e até mesmo autenticaçao sem senha, por biometria, por exemplo, a mudança periódica de senha tem benefícios teóricos, abaixo alguns deles segundo um site que encontrei:
LIMITES DE VIOLAÇÕES PARA MÚLTIPLAS CONTAS -> se vc usa senhas diferentes para contas diferentes, vc dificulta a vida do hacker que por ventura encontrou um meio de obter sua senha em uma aplicacao especifica

EVITA O ACESSO CONSTANTE -> caso vc tenha sofrido um roubo de senha, quando vc a troca, o hacker nao terá mais como acessar sua conta

EVITA O USO DE SENHAS SALVAS -> caso uma senha antiga que vc usava ha anos seja descoberta, ao trocar regularmete o hacker terá uma senha inútil pra ele

LIMITA O ACESSO OBTIDO POR KEYSTROKE LOGGERS -> programas que ficam lendo o que tecla podem dar ao hacker sua senha e quando vc a troca, ele perde acesso a sua senha

Benefits of Changing Your Password Regularly

Aqui uma tabela interesante sobre a segurança das senhas:

TIME IT TAKES A HACKER TO GUESS YOUR PASSWORD
; 7; ; 2;
0 '; 0';
Sistema institucional de TI para troca de senha a cada três meses - #14 de 27
TomW  
em 28/07/2023 11:41
Coisa do ONREVOG. Padrão isso ai.

 
; 1; ; 2;
0 '; 0';
Sistema institucional de TI para troca de senha a cada três meses - #15 de 27
Wukong  
em 28/07/2023 11:48


postado por @Rekz em 28/07/2023 11:10

Só o que importa Ver mais

Com todo respeito, isso é irrelevante se você não possui credencial pra tomar a decisão de mudar o sistema de segurança institucional.

Já que provavelmente você não tem esse controle, podemos pensar em algo que facilite sua vida pra essa sua demanda específica, acho que vai ser mais útil do que uma discussão sobre a usabilidade desse tipo de sistema, por que isso não vai te melhorar ou facilitar a vida.

Uma sugestão que consigo pensar é usar um gerenciador de senhas, como o Bitwarden. Coloque essa sua senha principal como a "senha mestra", e quando o sistema pedir troca, gere uma senha aleatória e substitua a senha antiga por essa nova no gerenciador, e pronto. Você usa a mesma senha sempre e cumpre o protocolo do trabalho.


Concordo com você, realmente eu não tenho "controle" sobre essa mudança de política... Mas, tem alguns problemas aí que eu tenho que resolver, rs

Por exemplo, eu sou gestor da minha equipe e já passamos por alguns problemas de esquecer a senha, ter que ligar no setor competente e pedir alteração, o pessoal que trabalha comigo é mais velho que eu (sou gestor e o mais novo da equipe, rs) e, dito isto, não sei se PRA ELES seria viável esse gerenciador de senhas, mas, pra mim, com certeza vou começar a fazer os testes hj...

Eu não posso MUDAR exatamente a política, mas, temos canais que podemos propor melhorias, alterações de políticas etc.

Não estou falando que vão me ouvir, mas, é um canal aberto para propor melhorias...

Enfim, vou testar esse gerenciador, valeu mesmo!
; 5; ; 2;
0 '; 0';
Sistema institucional de TI para troca de senha a cada três meses - #16 de 27
JohnnyMagruder  
em 28/07/2023 12:08


postado por @fuderosodaesquina em 28/07/2023 11:11:58

Meu estagiário veio postar aqui que no meio da minha senha tem um 01 que quando pede p mudar eu mudo p 02, 03, 04.... 

Eu fazia a mesma coisa nos meus tempos de petrobomba, peguei essa dica com um veterano da casa. Passei seix anos usando as mesmas der senhas
; 1; ; 0;
0 '; 0';
Sistema institucional de TI para troca de senha a cada três meses - #17 de 27
JohnnyMagruder  
em 28/07/2023 12:12


postado por @oExtraTerrestre em 28/07/2023 11:32:58

Tb sou obrigado a trocar a cada 3 meses.

No sistema que utilizo, também não é possível utilizar as últimas 3 senhas.

Então, no dia do vencimento, gero 3 senhas aleatórias e faço a alteração 3 vezes consecutivas e na quarta volto para a minha senha padrão. Utilizando o "BUG" ao meu favor.



criatividade do ser otomanoBrunoSGOrigem do Selo7 posts

Basttein gêniointOrigem do Selo45 posts

; 2; ; 0;
0 '; 0';
Sistema institucional de TI para troca de senha a cada três meses - #18 de 27
Marcelo348  
em 28/07/2023 12:34


postado por @Charlito em 28/07/2023 11:29:37

É um grande atrativo a estabilidade no emprego.


eu entendi a referênciamonkeOrigem do Selo38 posts
; 0; ; 0;
0 '; 0';
Sistema institucional de TI para troca de senha a cada três meses - #19 de 27
bionder  
em 28/07/2023 12:38
Mitiga o risco de ter sua senha vazada, brute force de senha, melhores práticas de segurança da informação, etc.. Existem diversas auditorias para ter determinadas certificações empresarias que cobram isto também.
E eu sei que vocês anotam a senha no bloco de notas do computador da empresa.
; 1; ; 2;
0 '; 0';
Sistema institucional de TI para troca de senha a cada três meses - #20 de 27
Charlito  
em 28/07/2023 12:42

postado por @bionder em 28/07/2023 12:38

Mitiga o risco de ter sua senha vazada, brute force de senha, melhores práticas de segurança da informação, etc.. Existem diversas auditorias para ter determinadas certificações empresarias que cobram isto também.
E eu sei que vocês anotam a senha no bloco de notas do computador da empresa.

Menos a senha de login. Essa eu deixo num post-it colado no monitor.
; 4; ; 0;
0 '; 0';
Sistema institucional de TI para troca de senha a cada três meses - #21 de 27
Giovanni  
em 28/07/2023 13:30
Teoria: maior segurança

Prática: menor segurança porque ser humano vai no caminho menor esforço para coisa trivial, ainda mais quando é da empresa e não pessoal

Só ver o que postaram aí comprovando q mudam o número, e o bug de mudar 3x

Por isso é uma prática ultrapassada essa política de obrigar a mudar

É muito mais eficiente limitar força bruta, forçar 2FA/MFA, ter um sistema de monitoramento de acesso em tempo real tipo um Sophos da vida, acessar somente via VPN, etc
; 9; ; 0;
0 '; 0';
Sistema institucional de TI para troca de senha a cada três meses - #22 de 27
Wukong  
em 28/07/2023 14:10
Engraçado é que 90% concordaram que é inútil e só levei voadora, hahaaha

Obs.: é zuera, eu fiz e já esperava as voadoras.
; 0; ; 9;
0 '; 0';
Sistema institucional de TI para troca de senha a cada três meses - #23 de 27
VentS  
em 28/07/2023 14:40
A maioria das pessoas não entende o que está fazendo, o pq das coisas e, estimulada pela preguiça, procura o caminho de menor esforço.

Um exemplo que vi há alguns dias. Fala-se muito em 2FA, algo que você sabe com algo que você tem. Pois bem, o indivíduo portava um token com certificado digital e, preso a ele por um chaveirinho, a senha que teoricamente só ele sabe
; 3; ; 0;
0 '; 0';
Sistema institucional de TI para troca de senha a cada três meses - #24 de 27
Alea Jacta Est  
em 28/07/2023 16:11
Infelizmente essa prática é norma do ONREVOG federal, teriam que mudar isso.

Microsoft e Google já adotaram a ideia de se livrar de senhas, no mundo corporativo quem domina é Windows, que já disponibiliza login sem senha. 

Em uma página sobre política de senhas da Microsoft eles falam claramente sobre essa questão de mudar a senha a cada período:
Requisitos de expiração de senha para usuários

Os requisitos de expiração de senha causam mais danos que benefícios, porque fazem com que os usuários selecionem senhas previsíveis, compostas por palavras e números sequenciais intimamente relacionados entre si. Nesses casos, a próxima senha poderá ser prevista com base na senha anterior. Os requisitos de expiração de senha não oferecem benefícios de contenção, porque os cibercriminosos quase sempre usam credenciais assim que as comprometem.
Hoje dá pra logar com biometria, token, se o laptop tiver nfc dá pra utilizar o crachá.

Além da troca a cada três meses ainda pedem caracteres especiais, acabamos trocando uma frase de uns 30 caracteres, por uma senha de oito caracteres, porém com caracteres especiais, que é mais fraca.
; 1; ; 0;
0 '; 0';
Sistema institucional de TI para troca de senha a cada três meses - #25 de 27
buy_and_nemo  
em 28/07/2023 18:19


postado por @Alea Jacta Est em 28/07/2023 16:11

Infelizmente essa prática é norma do ONREVOG federal, teriam que mudar isso.

Microsoft e Google já adotaram a ideia de se livrar de senhas, no mundo corporativo quem domina é Windows, que já disponibiliza login sem senha. 

Em uma página sobre política de senhas da Microsoft eles falam claramente sobre essa questão de mudar a senha a cada período:
Requisitos de expiração de senha para usuários

Os requisitos de expiração de senha causam mais danos que benefícios, porque fazem com que os usuários selecionem senhas previsíveis, compostas por palavras e números sequenciais intimamente relacionados entre si. Nesses casos, a próxima senha poderá ser prevista com base na senha anterior. Os requisitos de expiração de senha não oferecem benefícios de contenção, porque os cibercriminosos quase sempre usam credenciais assim que as comprometem.
Hoje dá pra logar com biometria, token, se o laptop tiver nfc dá pra utilizar o crachá.

Além da troca a cada três meses ainda pedem caracteres especiais, acabamos trocando uma frase de uns 30 caracteres, por uma senha de oito caracteres, porém com caracteres especiais, que é mais fraca.


É porque o mundo corporativo funciona assim, mesmo que o CTO/CIO concorde que trocar a senha a cada 3 meses é pior ele não vai tomar o risco de tomar essa decisão, não vale a pena. Ele segue o padrão de mercado (norma ISO aplicavel). Além do mais empresas de auditoria, clientes, seguradoras de ataques cibernéticos, ... tbm vão exigir algo na mesma linha.

Empresas que não exigem a troca periódica geralmente operam 100% em OAuth 2.0 + SSO + token físico, restringem o uso da senha corporativa somente em dispositivos corporativos e outros meios para evitar que a senha vaze ou seja capturada. Se um login estranho for detectado vc será alertado e a senha bloqueada...

Você precisa seguir várias normas de segurança até chegar no ponto de cumpri-las sem exigir a troca de senha periódica.

É como os carros, hoje em dia é fácil ter um carro autonomo, mas até aqui várias coisas acontecem por baixo dos panos para permitir isso (acelerador eletrônico, cambio automatico, direção hidraulica/eletríca, sensores de estacionamento, sensor de chuva, sensor de luminosidade, ...)
; 1; ; 0;
0 '; 0';
Sistema institucional de TI para troca de senha a cada três meses - #26 de 27
acsm1  
em 29/07/2023 10:58
Aqui no meu orgao publico eles obrigam trocar apenas num sistema especifico, oq eu faço é trocar a senha varias vezes até permitirem trocar pela senha antiga q eu sei decorada xD
; 0; ; 0;
0 '; 0';
Sistema institucional de TI para troca de senha a cada três meses - #27 de 27

22 usuários comentaram este tópico.
Clique para ir para o primeiro comentário do usuário.

Ações Pesquisa Videos Livros Análise de Carteira Desconto FAQs Orientação Esportiva Ofertas e Serviços Bastter System Boletim IR Podcasts Revista Tecnologia - Ajuda Eu Assinar Ações Pesquisa Videos Livros Análise de Carteira Desconto FAQs Ofertas e Serviços Orientação Esportiva Boletim BS Podcasts IR Tecnologia Ajuda eu Revista Assinar Assinar

BastterZap