A última atualização das recomendações de palavras-passe NIST(nova janela) está aqui, e está a mudar a forma como abordamos as palavras-passe com a usabilidade a ter precedência sobre a complexidade.
Deve importar-se? Sim. As diretrizes NIST não refletem apenas as melhores práticas a que todos devem aderir, mas também influenciam a conformidade de segurança. Ficar para trás nestas diretrizes pode significar a não conformidade com quadros regulamentares como HIPAA, GDPR e GLBA — arriscando auditorias falhadas e penalizações dispendiosas. Este guia ajudá-lo-á a compreender as principais alterações e a melhor forma de as implementar no seu negócio.
O que são as diretrizes de palavras-passe NIST?
As diretrizes de palavras-passe NIST são normas de segurança publicadas pelo National Institute of Standards and Technology(nova janela), uma agência federal dos EUA. Estas diretrizes formam a base das políticas de palavras-passe em todas as indústrias e, em alguns setores, como o governamental, são obrigatórias.
As diretrizes são criadas com base em investigação do mundo real e não são meras suposições sobre a segurança das palavras-passe. É por isso que os principais quadros de conformidade são frequentemente moldados pelas recomendações de palavras-passe NIST, e porque implementá-las reforça a sua postura de segurança e conformidade regulamentar.
Requisitos de palavras-passe NIST de 2025
Aqui está um resumo rápido dos requisitos de palavras-passe NIST atualizados:
1. Utilize palavras-passe mais longas
O NIST recomenda um comprimento mínimo de palavra-passe de 8 caracteres e um máximo de 64 caracteres. Palavras-passe mais longas são mais difíceis de piratear, uma vez que tendem a ser mais únicas do que palavras-passe curtas mas complexas que seguem frequentemente um padrão previsível.
2. Abandone os requisitos de complexidade
Com base na diretriz acima, os requisitos de caracteres especiais resultam em palavras-passe complexas que, infelizmente, levam a padrões previsíveis que os hackers podem adivinhar facilmente. Em vez disso, aceite todos os tipos de caracteres, incluindo espaços, e encoraje os colaboradores a criar frases únicas e memoráveis, também conhecidas como frases-passe, para as suas palavras-passe.
3. Acabaram-se as redefinições forçadas de palavra-passe
A única altura em que uma redefinição forçada de palavra-passe deve ser imposta é quando há provas de um comprometimento. Caso contrário, forçar os colaboradores a redefinir as suas palavras-passe a cada poucos meses é considerado uma má prática, uma vez que o NIST descobriu que isso torna, na verdade, a segurança das palavras-passe mais fraca.
4. Mantenha uma lista de bloqueio de palavras-passe
O NIST recomenda que as empresas mantenham uma lista de bloqueio de palavras-passe para evitar a utilização de palavras-passe facilmente exploradas, como “1234”, ou palavras-passe que apresentem variações do nome do colaborador ou da empresa. Além disso, recomenda a utilização de serviços de verificação de palavras-passe para garantir que os colaboradores não utilizam palavras-passe comprometidas que tenham sido expostas em incidentes.
5. Elimine perguntas e dicas de segurança
Dicas e perguntas de recuperação baseadas em conhecimento, como “Qual é o seu primeiro animal de estimação?”, são uma prática ultrapassada. Estas respostas são facilmente obtidas através das redes sociais. Em vez disso, confie em métodos de recuperação seguros, como ligações de recuperação e códigos de verificação durante as redefinições.
6. Utilize ferramentas de segurança modernas
Limitar o número de tentativas de início de sessão falhadas, exigir a utilização de autenticação multifator (MFA) e utilizar ferramentas como um gestor de palavras-passe empresarial proporciona uma proteção crucial contra ameaças cibernéticas modernas e ajuda a detetar o comprometimento.
Como mudaram os requisitos de palavras-passe NIST?
| Diretrizes de palavras-passe NIST antigas | Novas diretrizes de palavras-passe NIST | |
| Comprimento da palavra-passe | Limite de 8-16 caracteres | Palavras-passe mais longas até 64 caracteres |
| Complexidade de caracteres | Encorajada | Não exigida |
| Alterações obrigatórias de palavra-passe | Exigidas mensalmente | Apenas quando comprometidas |
| Lista de bloqueio de palavras-passe | Termos básicos | Palavras-passe violadas, padrões e variações comuns |
| Métodos de recuperação | Perguntas de segurança | Ligações e códigos de verificação |
| Precauções adicionais | – | MFA e gestores de palavras-passe |
Como implementar as recomendações de palavras-passe NIST
Implementar as recomendações de palavras-passe NIST atualizadas é crucial para manter a conformidade com os quadros regulamentares. Mesmo que não esteja vinculado a estes quadros, estas diretrizes melhorarão a sua postura de segurança e protegerão o seu negócio. Eis como implementá-las.
- Realize uma auditoria: Reveja as políticas existentes face às novas diretrizes NIST para identificar requisitos desatualizados a atualizar.
- Atualize os seus sistemas: Reconfigure os sistemas de autenticação de acordo com as novas diretrizes, como permitir palavras-passe mais longas e sem janelas de expiração.
- Construa a sua lista de bloqueio: Implemente o rastreio contra bases de dados de violações para construir a sua lista de bloqueio. Além disso, inclua termos específicos dos colaboradores ou da empresa e variações e padrões comuns na sua lista de bloqueio.
- Reforce as camadas de segurança: Implemente medidas como limitar as tentativas de início de sessão e atrasar novas tentativas, e utilize MFA para fornecer proteção adicional.
- Utilize ferramentas de gestão de palavras-passe: Equipe os colaboradores com ferramentas como um gestor de palavras-passe para automatizar a criação e o armazenamento de palavras-passe. Estas ferramentas eliminam a reutilização de palavras-passe e garantem boas práticas de palavras-passe.
- Comunique as alterações: Explique as alterações aos seus colaboradores e, se necessário, realize formação sobre a utilização de ferramentas de gestão de palavras-passe.
Utilize o Proton Pass para manter a conformidade com as diretrizes de palavras-passe NIST
O Proton Pass é um gestor de palavras-passe empresarial que simplifica a conformidade com as diretrizes de palavras-passe NIST. Construído a pensar na privacidade e totalmente protegido com encriptação ponto a ponto, pode gerir facilmente todas as suas necessidades de palavras-passe com maior tranquilidade.
Muitas das funcionalidades do Proton Pass cumprem as recomendações de palavras-passe NIST — pode gerar palavras-passe longas e únicas, automatizar inícios de sessão e impor políticas de segurança como 2FA. O Proton Pass também capacita as suas equipas com uma ferramenta que torna a adesão a estas diretrizes o caminho de menor resistência. Também é totalmente compatível com o GDPR, HIPAA e outras normas de proteção de dados, simplificando o seu processo de conformidade.
Perguntas mais frequentes
Onde posso ler as diretrizes de palavras-passe NIST completas?
Pode encontrar as diretrizes de palavras-passe NIST completas(nova janela) no website do NIST.
Os requisitos de palavras-passe NIST são obrigatórios para todos os negócios?
Os requisitos de palavras-passe NIST são obrigatórios para agências federais. Para outros negócios, as diretrizes não são obrigatórias, mas podem tornar-se necessárias através de quadros de conformidade como HIPAA e outros. Auditores e contratantes também podem exigir a conformidade NIST.
De acordo com as recomendações de palavras-passe NIST, quão longa deve ser uma palavra-passe?
O NIST recomenda que as palavras-passe tenham pelo menos oito caracteres de comprimento, com um máximo de 64 caracteres. Encoraja palavras-passe ou frases-passe de maior comprimento em detrimento da complexidade, uma vez que tendem a ser mais únicas e mais difíceis de piratear.
Como crio uma palavra-passe forte?
A chave para criar uma palavra-passe forte é evitar padrões previsíveis, informações identificáveis e palavras-passe reutilizadas. Utilize palavras-passe longas e únicas que combinem palavras aleatórias em frases longas, como “lava-leite-nariz-ruído”, ou frases e orações que sejam significativas para si. Um gestor de palavras-passe também pode gerar automaticamente uma palavra-passe forte para si.
Ainda não tem a certeza sobre a melhor forma de criar uma palavra-passe longa e forte e não quer registar-se num gestor de palavras-passe? Utilize a nossa ferramenta geradora de palavras-passe.
Como se enquadram os gestores de palavras-passe nas diretrizes de palavras-passe NIST?
Um gestor de palavras-passe como o Proton Pass ajuda as empresas a cumprir as diretrizes de palavras-passe NIST, gerando palavras-passe longas e únicas e eliminando palavras-passe reutilizadas. De facto, as diretrizes NIST destacam os gestores de palavras-passe como uma ferramenta eficaz para criar palavras-passe fortes e recomendam a sua utilização.
O Proton Pass leva esta conformidade mais longe. Além de gerar palavras-passe longas e únicas para os seus colaboradores, também automatiza inícios de sessão e impõe políticas de segurança como 2FA e é encriptado de ponto a ponto, o que significa que ninguém pode obter acesso não autorizado às suas palavras-passe.
