Share via

Recomendações de políticas de senhas para senhas do Microsoft 365

  • Artigo

Confira todo o nosso conteúdo para pequenas empresas em Ajuda para pequenas empresas e aprendizado.

Como administrador de uma organização, você é responsável por definir a política de senha para os usuários em sua organização. Definir a política de senhas pode ser complicado e confuso, e este artigo fornece recomendações para tornar sua organização mais segura contra ataques de senhas.

As contas somente na nuvem da Microsoft têm uma política de senha predefinida que não pode ser alterada. Os únicos itens que você pode alterar são os números de dias até que uma senha expire e se as senhas expiram ou não.

Para determinar a frequência com que as senhas do Microsoft 365 expiram em sua organização, confira Definir política de expiração de senha para o Office 365.

Para obter mais informações sobre senhas do Microsoft 365, consulte:

Redefinir senhas (artigo)

Definir a senha de um usuário individual para nunca expirar (artigo)

Permitir aos usuários redefinir suas próprias senhas (artigo)

Reenviar a senha de um usuário (artigo)

Hora de repensar as alterações obrigatórias de senha.

Compreendendo as recomendações de senha

As boas práticas de senha se enquadram em algumas categorias amplas:

  • Resistir a ataques comuns Isso envolve a escolha de onde os usuários inserem senhas (dispositivos conhecidos e confiáveis com boa detecção de malware, sites validados) e a escolha de qual senha escolher (comprimento e exclusividade).

  • Conter ataques bem-sucedidos Conter ataques de hackers bem-sucedidas consiste em limitar a exposição a um serviço específico ou impedir completamente esse dano, se a senha de um usuário for roubada. Por exemplo, garantir que uma violação de suas credenciais de rede social não torne sua conta bancária vulnerável ou não permita que uma conta mal protegida aceite links de redefinição para uma conta importante.

  • Noções básicas sobre a natureza humana Muitas práticas válidas de senha falham diante dos comportamentos humanos naturais. Entender a natureza humana é fundamental porque pesquisas mostram que quase todas as regras impostas aos seus usuários resultam em um enfraquecimento da qualidade da senha. Requisitos de comprimento, requisitos especiais de caracteres e requisitos de alteração de senha resultam na normalização de senhas, o que facilita para os invasores adivinharem ou decifrarem senhas.

Diretrizes de senha para administradores

O principal objetivo de um sistema de senhas mais seguro é a diversidade de senhas. Você quer que sua política de senha contenha várias senhas diferentes e difíceis de adivinhar. Aqui estão algumas recomendações para manter sua organização o mais segura possível.

  • Manter um requisito de comprimento mínimo de oito caracteres

  • Não exigir requisitos de composição de caracteres. Por exemplo, *&(^%$

  • Não exigir redefinições de senha periódicas obrigatórias para contas de usuários

  • Proíba senhas comuns, para evitar senhas mais vulneráveis no seu sistema

  • Educar seus usuários para não reutilizar suas senhas de organização para fins não relacionados ao trabalho

  • Impor registro para autenticação multifator

  • Habilitar desafios de autenticação multifator baseados em risco

Diretrizes de senha para os seus usuários

Aqui estão algumas diretrizes de senha para usuários da sua organização. Lembre-se de permitir que seus usuários saibam sobre essas recomendações e aplicar as políticas de senha recomendadas no nível da organização.

  • Não use uma senha igual ou similar a uma que você usa em outros sites

  • Não use uma única palavra, por exemplo, senha ou uma frase habitualmente utilizada com euamovocê

  • Tornar as senhas difíceis de adivinhar, mesmo por pessoas que sabem muito sobre você, como os nomes e aniversários de seus amigos e familiares, suas bandas favoritas e frases que você gosta de usar

Algumas abordagens comuns e seus impactos negativos

Elas são algumas das práticas de gerenciamento de senhas mais usadas, mas a pesquisa nos alerta sobre seus impactos negativos.

Requisitos de expiração de senha para usuários

Os requisitos de expiração de senha fazem mais mal do que bem, pois fazem com que os usuários selecionem senhas previsíveis, compostas por palavras sequenciais e números que estão intimamente relacionados uns aos outros. Nesses casos, a próxima senha poderá ser prevista com base na senha anterior. Os requisitos de expiração de senha não oferecem benefícios de contenção, porque os cibercriminosos quase sempre usam credenciais assim que as comprometem.

Requisitos mínimos de comprimento de senha

Para incentivar os usuários a pensar em uma senha exclusiva, recomendamos manter um requisito razoável de comprimento mínimo de oito caracteres.

Exigir o uso de vários conjuntos de caracteres

Os requisitos de complexidade de senha reduzem o espaço principal e fazem com que os usuários ajam de maneiras previsíveis, causando mais danos do que bem. A maioria dos sistemas aplica alguns níveis de requisitos de complexidade de senha. Por exemplo, as senhas precisam ter caracteres das três categorias a seguir:

  • caracteres maiúsculos

  • caracteres minúsculos

  • caracteres não alfanuméricos

A maioria das pessoas usa padrões semelhantes. Por exemplo, uma letra maiúscula na primeira posição, um símbolo no último e um número no último 2. Os criminosos cibernéticos estão cientes desses padrões, então eles executam seus ataques de dicionário usando as substituições mais comuns, "$" para "s", "@" para "a", "1" para "l". Forçar seus usuários a escolher uma combinação de caracteres maiúsculos e minúsculos, dígitos, caracteres especiais têm um efeito negativo. Alguns requisitos de complexidade impedem que os usuários usem senhas seguras e memoráveis ​​e os forçam a criar senhas menos seguras e menos memoráveis.

Padrões Bem-sucedidos

Por outro lado, aqui estão algumas recomendações para o incentivo à diversidade de senhas.

Bloquear senhas comuns

O requisito de senha mais importante que você deve colocar para os usuários ao criar senhas é proibir o uso de senhas comuns para reduzir a suscetibilidade da sua organização a ataques de senha de força bruta. As senhas comuns de usuários incluem: abcdefg, password, monkey.

Instrua os usuários a não reutilizar senhas da organização em outro local

Uma das mensagens mais importantes a serem transmitidas aos usuários da organização é não reutilizar a senha da organização em nenhum outro lugar. O uso de senhas de organização em sites externos aumenta consideravelmente a probabilidade de que os cibercriminosos possam comprometer essas senhas.

Impor registro de Autenticação Multifator

Verifique se os usuários atualizam informações de contato e segurança, como um endereço de email alternativo, um número de telefone ou um dispositivo registrado para notificações por push, para que possam responder aos desafios de segurança e serem notificados de eventos de segurança. As informações atualizadas de contato e segurança ajudam os usuários a verificar sua identidade se esquecerem sua senha ou se outra pessoa tentar assumir sua conta. Ele também fornece um canal de notificação fora da banda para eventos de segurança, como tentativas de logon ou senhas alteradas.

Para saber mais, confira Configurar a autenticação multifator.

Habilitar a autenticação multifator baseada em risco

A autenticação multifator baseada em risco garante que, quando nosso sistema detecta atividades suspeitas, ele possa desafiar o usuário para garantir que ele seja o proprietário da conta legítima.

Próximas etapas

Quer saber mais sobre o gerenciamento de senhas? Aqui está uma leitura recomendada:

Conteúdo relacionado

Redefinir senhas (artigo)
Definir a senha de um usuário individual para nunca expirar (artigo)
Permitir aos usuários redefinir suas próprias senhas (artigo)
Reenviar a senha de um usuário - Ajuda do Administrador (artigo)