Recomendações de política de senhaPassword policy recommendations

Como administrador de uma organização, você é responsável por definir a política de senha para os usuários em sua organização.As the admin of an organization, you're responsible for setting the password policy for users in your organization. Definir a política de senhas pode ser complicado e confuso, e este artigo fornece recomendações para tornar sua organização mais segura contra ataques de senhas.Setting the password policy can be complicated and confusing, and this article provides recommendations to make your organization more secure against password attacks.

Para determinar a frequência com que as senhas do Microsoft 365 expiram em sua organização, confira Definir política de expiração de senha para o Office 365.To determine how often Microsoft 365 passwords expire in your organization, see Set password expiration policy for Microsoft 365.

Para obter mais informações sobre senhas do Microsoft 365, consulte:For more information about Microsoft 365 passwords, see:

Redefinir senhas (artigo)Reset passwords (article)

Definir a senha de um usuário individual para nunca expirar (artigo)Set an individual user's password to never expire (article)

Permitir aos usuários redefinir suas próprias senhas (artigo)Let users reset their own passwords (article)

Reenviar a senha de um usuário - Ajuda do Administrador (artigo)Resend a user's password - Admin Help (article)

Compreendendo as recomendações de senhaUnderstanding password recommendations

As boas práticas de senha se enquadram em algumas categorias amplas:Good password practices fall into a few broad categories:

  • Resistir a ataques comuns Isso envolve a escolha de onde os usuários inserem senhas (dispositivos conhecidos e confiáveis com boa detecção de malware, sites validados) e a escolha de qual senha escolher (comprimento e exclusividade).Resisting common attacks This involves the choice of where users enter passwords (known and trusted devices with good malware detection, validated sites), and the choice of what password to choose (length and uniqueness).

  • Conter ataques bem-sucedidos Conter ataques de hackers bem-sucedidas consiste em limitar a exposição a um serviço específico ou impedir completamente esse dano, se a senha de um usuário for roubada.Containing successful attacks Containing successful hacker attacks is about limiting exposure to a specific service, or preventing that damage altogether, if a user's password gets stolen. Por exemplo, garantir que uma violação de suas credenciais de rede social não torne sua conta bancária vulnerável ou não permita que uma conta mal protegida aceite links de redefinição para uma conta importante.For example, ensuring that a breach of your social networking credentials doesn't make your bank account vulnerable, or not letting a poorly guarded account accept reset links for an important account.

  • Noções básicas sobre a natureza humana Muitas práticas válidas de senha falham diante dos comportamentos humanos naturais.Understanding human nature Many valid password practices fail in the face of natural human behaviors. Entender a natureza humana é fundamental porque a pesquisa mostra que quase todas as regras que você impõe aos usuários resultam em um enfraquecimento da qualidade da senha.Understanding human nature is critical because research shows that almost every rule you impose on your users will result in a weakening of password quality. Requisitos de comprimento, requisitos especiais de caracteres e requisitos de alteração de senha resultam na normalização de senhas, o que facilita para os invasores adivinharem ou decifrarem senhas.Length requirements, special character requirements, and password change requirements all result in normalization of passwords, which makes it easier for attackers to guess or crack passwords.

Diretrizes de senha para administradoresPassword guidelines for administrators

O principal objetivo de um sistema de senhas mais seguro é a diversidade de senhas.The primary goal of a more secure password system is password diversity. Você quer que sua política de senha contenha várias senhas diferentes e difíceis de adivinhar.You want your password policy to contain lots of different and hard to guess passwords. Aqui estão algumas recomendações para manter sua organização o mais segura possível.Here are a few recommendations for keeping your organization as secure as possible.

  • Manter um requisito de comprimento mínimo de 8 caracteres (maior não é necessariamente melhor)Maintain an 8-character minimum length requirement (longer isn't necessarily better)

  • Não exigir requisitos de composição de caracteres.Don't require character composition requirements. Por exemplo, *&(^%$For example, *&(^%$

  • Não exigir redefinições de senha periódicas obrigatórias para contas de usuáriosDon't require mandatory periodic password resets for user accounts

  • Proíba senhas comuns, para evitar senhas mais vulneráveis no seu sistemaBan common passwords, to keep the most vulnerable passwords out of your system

  • Instrua seus usuários para não reutilizarem as senhas da organização para fins não relacionados ao trabalhoEducate your users to not re-use their organization passwords for non-work related purposes

  • Impor registro para autenticação multifatorEnforce registration for multi-factor authentication

  • Ativar desafios de autenticação multifator baseados em riscoEnable risk-based multi-factor authentication challenges

Diretrizes de senha para os seus usuáriosPassword guidance for your users

Aqui estão algumas orientações de senha para os usuários de sua organização. Lembre-se de informar seus usuários sobre estas recomendações e imponha as políticas de senhas recomendadas em nível organizacional.Here's some password guidance for users in your organization. Make sure to let your users know about these recommendations and enforce the recommended password policies at the organizational level.

  • Não use uma senha igual ou similar a uma que você usa em outros sitesDon't use a password that is the same or similar to one you use on any other websites

  • Não use uma única palavra, por exemplo, senha ou uma frase habitualmente utilizada com euamovocêDon't use a single word, for example, password, or a commonly-used phrase like Iloveyou

  • Torne as senhas difíceis de adivinhar, mesmo para quem sabe muito sobre você, como nomes e aniversários de seus amigos e familiares, suas bandas favoritas e frases que você gosta de usarMake passwords hard to guess, even by those who know a lot about you, such as the names and birthdays of your friends and family, your favorite bands, and phrases you like to use

Algumas abordagens comuns e seus impactos negativosSome common approaches and their negative impacts

Essas são algumas das práticas de gerenciamento de senhas mais usadas, mas a pesquisa nos alerta sobre seus impactos negativos.These are some of the most commonly used password management practices, but research warns us about the negative impacts of them.

Requisitos de expiração de senha para usuáriosPassword expiration requirements for users

Os requisitos de expiração de senha causam mais danos do que bem, porque fazem com que os usuários selecionem senhas previsíveis, compostas por palavras e números sequenciais intimamente relacionados entre si.Password expiration requirements do more harm than good, because these requirements make users select predictable passwords, composed of sequential words and numbers which are closely related to each other. Nesses casos, a próxima senha poderá ser prevista com base na senha anterior.In these cases, the next password can be predicted based on the previous password. Os requisitos de expiração de senha não oferecem benefícios de contenção, porque os cibercriminosos quase sempre usam credenciais assim que os comprometem.Password expiration requirements offer no containment benefits because cyber criminals almost always use credentials as soon as they compromise them. Confira Hora de repensar as alterações de senha obrigatórias para obter mais informações.Check out Time to rethink mandatory password changes for more info.

Exigir senhas longasRequiring long passwords

Os requisitos de tamanho da senha (maiores que cerca de 10 caracteres) podem resultar em comportamento do usuário previsível e indesejável.Password length requirements (greater than about 10 characters) can result in user behavior that is predictable and undesirable. Por exemplo, os usuários que precisam ter uma senha de 16 caracteres podem escolher padrões de repetição como quatroquatroquatroquatro ou senhasenha que atendem aos requisitos de comprimento de caractere, mas não são difíceis de adivinhar.For example, users who are required to have a 16-character password may choose repeating patterns like fourfourfourfour or passwordpassword that meet the character length requirement but aren't hard to guess. Além disso, os requisitos de tamanho aumentam as chances de os usuários adotar outras práticas inseguras, como anotar suas senhas, reutilizá-las ou armazená-las descriptografadas em seus documentos.Additionally, length requirements increase the chances that users will adopt other insecure practices, such as writing their passwords down, re-using them, or storing them unencrypted in their documents. Para incentivar os usuários a pensar em uma senha exclusiva, recomendamos manter um requisito de comprimento mínimo de 8 caracteres.To encourage users to think about a unique password, we recommend keeping a reasonable 8-character minimum length requirement.

Exigir o uso de vários conjuntos de caracteresRequiring the use of multiple character sets

Os requisitos de complexidade de senha reduzem o espaço principal e fazem com que os usuários ajam de maneiras previsíveis, causando mais danos do que bem.Password complexity requirements reduce key space and cause users to act in predictable ways, doing more harm than good. A maioria dos sistemas aplica alguns níveis de requisitos de complexidade de senha.Most systems enforce some level of password complexity requirements. Por exemplo, as senhas precisam ter caracteres das três categorias a seguir:For example, passwords need characters from all three of the following categories:

  • caracteres maiúsculosuppercase characters

  • caracteres minúsculoslowercase characters

  • caracteres não alfanuméricosnon-alphanumeric characters

A maioria das pessoas usa padrões semelhantes, por exemplo, uma letra maiúscula na primeira posição, um símbolo na última e um número na última 2.Most people use similar patterns, for example, a capital letter in the first position, a symbol in the last, and a number in the last 2. Os cibercriminosos sabem disso, então executam seus ataques de dicionário usando as substituições mais comuns, "$" para "s", "@" para "a", "1" para "l".Cyber criminals know this, so they run their dictionary attacks using the most common substitutions, "$" for "s", "@" for "a," "1" for "l". Forçar seus usuários a escolher uma combinação de caracteres maiúsculos e minúsculos, dígitos, caracteres especiais têm um efeito negativo.Forcing your users to choose a combination of upper, lower, digits, special characters has a negative effect. Alguns requisitos de complexidade impedem que os usuários usem senhas seguras e memoráveis ​​e os forçam a criar senhas menos seguras e menos memoráveis.Some complexity requirements even prevent users from using secure and memorable passwords, and force them into coming up with less secure and less memorable passwords.

Padrões Bem-sucedidosSuccessful Patterns

Por outro lado, aqui estão algumas recomendações para o incentivo à diversidade de senhas.In contrast, here are some recommendations in encouraging password diversity.

Bloquear senhas comunsBan common passwords

O requisito de senha mais importante que você deve colocar para os usuários ao criar senhas é proibir o uso de senhas comuns para reduzir a suscetibilidade da sua organização a ataques de senha de força bruta.The most important password requirement you should put on your users when creating passwords is to ban the use of common passwords to reduce your organization's susceptibility to brute force password attacks. As senhas comuns de usuários incluem: abcdefg, password, monkey.Common user passwords include: abcdefg, password, monkey.

Instrua os usuários a não reutilizar senhas da organização em outro localEducate users to not re-use organization passwords anywhere else

Uma das mensagens mais importantes a serem transmitidas aos usuários da organização é não reutilizar a senha da organização em nenhum outro lugar.One of the most important messages to get across to users in your organization is to not re-use their organization password anywhere else. O uso de senhas da organização em sites externos aumenta significativamente a probabilidade de que os cibercriminosos comprometam essas senhas.The use of organization passwords in external websites greatly increases the likelihood that cyber criminals will compromise these passwords.

Impor registro de Autenticação MultifatorEnforce Multi-Factor Authentication registration

Verifique se os usuários atualizam informações de contato e segurança, como um endereço de email alternativo, um número de telefone ou um dispositivo registrado para notificações por push, para que possam responder aos desafios de segurança e serem notificados de eventos de segurança.Make sure your users update contact and security information, like an alternate email address, phone number, or a device registered for push notifications, so they can respond to security challenges and be notified of security events. As informações atualizadas de contato e segurança ajudam os usuários a verificar sua identidade se esquecerem sua senha ou se outra pessoa tentar assumir sua conta.Updated contact and security information helps users verify their identity if they ever forget their password, or if someone else tries to take over their account. Ele também fornece um canal de notificação fora da banda no caso de eventos de segurança, como tentativas de logon ou senhas alteradas.It also provides an out of band notification channel in the case of security events such as login attempts or changed passwords.

Para saber mais, confira Configurar a autenticação multifator.To learn more, see Set up multi-factor authentication.

Habilitar a autenticação multifator baseada em riscoEnable risk-based multi-factor authentication

A autenticação multifatorial baseada em risco garante que, quando o sistema detectar atividades suspeitas, ele poderá desafiar o usuário a garantir que ele seja o proprietário legítimo da conta.Risk-based multi-factor authentication ensures that when our system detects suspicious activity, it can challenge the user to ensure that they are the legitimate account owner.

Próximas etapasNext steps

Quer saber mais sobre o gerenciamento de senhas?Want to know more about managing passwords? Veja algumas leituras recomendadas:Here is some recommended reading:

Redefinir senhas (artigo)Reset passwords (article)
Definir a senha de um usuário individual para nunca expirar (artigo)Set an individual user's password to never expire (article)
Permitir que os usuários redefinim suas próprias senhas (artigo)Let users reset their own passwords (article)
Reenviar a senha de um usuário - Ajuda do Administrador (artigo)Resend a user's password - Admin Help (article)