Recomendações de política de palavras-passe para palavras-passe do Microsoft 365

Veja todos os nossos conteúdos para pequenas empresas sobre a Ajuda e aprendizagem para pequenas empresas.

Enquanto administrador de uma organização, é responsável por definir a política de palavras-passe para os utilizadores na sua organização. Definir a política de palavras-passe pode ser complicado e confuso e este artigo fornece recomendações para tornar a sua organização mais segura contra ataques de palavras-passe.

As contas apenas na cloud da Microsoft têm uma política de palavras-passe predefinida que não pode ser alterada. Os únicos itens que pode alterar são o número de dias até que uma palavra-passe expire e se as palavras-passe expiram ou não.

Para determinar a frequência com que as palavras-passe do Microsoft 365 expiram na sua organização, consulte Definir a política de expiração de palavras-passe para o Microsoft 365.

Para obter mais informações sobre palavras-passe do Microsoft 365, consulte:

Repor palavras-passe (artigo)

Definir a palavra-passe de um utilizador individual para nunca expirar (artigo)

Permitir que os utilizadores reponham as suas próprias palavras-passe (artigo)

Reenviar a palavra-passe de um utilizador (artigo)

Está na altura de repensar as alterações obrigatórias de palavras-passe.

Compreender as recomendações de palavras-passe

As boas práticas de palavras-passe enquadram-se em algumas categorias gerais:

• Resistir a ataques comuns: isto envolve a escolha do local onde o utilizador introduz as palavras-passe (dispositivos conhecidos e de confiança com uma boa deteção de malware, sites validados) e a escolha da própria palavra-passe (comprimento e exclusividade).

• Conter ataques bem-sucedidos: a contenção de ataques bem-sucedidos por parte de hackers baseia-se em limitar a exposição a um determinado serviço ou impedir qualquer tipo de danos caso a palavra-passe de um utilizador seja roubada. Por exemplo, garantir que uma falha de segurança das credenciais das suas redes sociais não torne a sua conta bancária vulnerável ou impedir que uma conta importante que esteja mal protegida aceite ligações de reposição.

• Compreender a natureza humana: muitas práticas de palavras-passe válidas falham face à natureza dos comportamentos humanos. Compreender a natureza humana é fundamental porque a investigação mostra que quase todas as regras impostas aos seus utilizadores resultam num enfraquecimento da qualidade da palavra-passe. Os requisitos de comprimento, de carateres especiais e alteração de palavras-passe resultam na normalização das palavras-passe, o que facilita aos hackers adivinhar ou decifrar as mesmas.

Diretrizes de palavra-passe para administradores

O objetivo principal de um sistema de palavras-passe seguras é a diversidade, pois é recomendável que a sua política de palavras-passe inclua muitas palavras-passe diferentes e difíceis de adivinhar. Eis algumas recomendações para manter a sua organização o mais segura possível.

• Manter um requisito de comprimento mínimo de oito carateres

• Não exija requisitos de composição de carateres Por exemplo, *&(^%$

• Não defina requisitos obrigatórios de reposição periódica de palavras-passe para as contas de utilizador

• Proíba palavras-passe comuns para manter as palavras-passe mais vulneráveis fora do seu sistema

• Informe os seus utilizadores para não reutilizarem as palavras-passe da organização para fins não relacionados com o trabalho

• Imponha a utilização da autenticação multifator

• Ativar desafios de autenticação multifator baseados em riscos

Orientações de palavras-passe para os seus utilizadores

Eis algumas orientações de palavras-passe para os utilizadores na sua organização. Certifique-se de que os utilizadores conhecem estas recomendações e imponha as políticas de palavras-passe recomendadas ao nível da organização.

• Não utilize uma palavra-passe igual ou semelhante a uma palavra-passe que utilize noutros sites

• Não utilize uma única palavra, por exemplo, palavra-passe ou uma expressão frequentemente utilizada, como Iloveyou

• Torne as palavras-passe difíceis de adivinhar, mesmo por pessoas que sabem muito sobre si, como os nomes e aniversários dos seus amigos e familiares, as suas bandas favoritas e frases que gosta de usar

Algumas abordagens comuns e os seus impactos negativos

São algumas das práticas de gestão de palavras-passe mais utilizadas, mas a investigação avisa-nos sobre os seus impactos negativos.

Requisitos de expiração de palavras-passe para utilizadores

Os requisitos de expiração de palavras-passe fazem mais mal do que bem, pois fazem com que os utilizadores selecionem palavras-passe previsíveis, compostas por palavras sequenciais e números que estão intimamente relacionados entre si. Nestes casos, a palavra-passe seguinte pode ser adivinhada com base na palavra-passe anterior. Os requisitos de expiração de palavras-passe não oferecem benefícios de contenção porque os cibercriminosos quase sempre utilizam credenciais assim que as comprometem.

Requisitos mínimos de comprimento da palavra-passe

Para incentivar os utilizadores a pensarem numa palavra-passe exclusiva, recomendamos que mantenha um requisito de comprimento mínimo razoável de oito carateres.

Requisitos de utilização de múltiplos conjuntos de carateres

Os requisitos de complexidade de palavras-passe reduzem o número de carateres e fazem com que os utilizadores realizem ações previsíveis que têm mais efeitos negativos do que positivos. A maioria dos sistemas impõe um certo nível de requisitos de complexidade de palavras-passe. Por exemplo, as palavras-passe têm de ter carateres das três categorias seguintes:

• Carateres em maiúsculas

• Carateres em minúsculas

• Carateres não alfanuméricos

A maioria das pessoas utiliza padrões semelhantes. Por exemplo, uma letra maiúscula na primeira posição, um símbolo na última e um número nos últimos 2. Os criminosos virtuais estão cientes desses padrões, por isso executam os seus ataques de dicionário usando as substituições mais comuns, "$" para "s", "@" para "a", "1" para "l". Impor aos seus utilizadores que escolham uma combinação de carateres especiais, maiúsculas, minúsculas e dígitos tem um efeito negativo. Alguns requisitos de complexidade impedem inclusivamente os utilizadores de utilizar palavras-passe seguras e fáceis de memorizar, levando-os assim a inventar palavras-passe menos seguras e mais difíceis de memorizar.

Padrões Bem-Sucedidos

Em contrapartida, seguem-se algumas recomendações para encorajar a diversidade de palavras-passe.

Proíba palavras-passe comuns

O requisito mais importante que deve impor aos seus utilizadores na criação de palavras-passe deve ser a proibição de utilizarem palavras-passe comuns de modo a reduzir a suscetibilidade da sua organização a ataques de palavras-passe de força bruta. As palavras-passe de utilizador comuns incluem: abcdefg, palavra-passe, macaco.

Informar os utilizadores para não reutilizarem palavras-passe da organização noutro local

Uma das mensagens mais importantes a passar para os utilizadores na sua organização é não reutilizar a palavra-passe da organização noutro local. A utilização de palavras-passe da organização em sites externos aumenta significativamente a probabilidade de os cibercriminosos poderem comprometer estas palavras-passe.

Imponha a utilização da Autenticação Multifator

Certifique-se de que os seus utilizadores atualizam as informações de contacto e segurança, como um dispositivo registado nas notificações push, um número de telemóvel ou endereço de e-mail alternativo, de modo a possibilitar a resposta aos desafios de segurança e receber notificações de eventos de segurança. As informações de contacto e segurança atualizadas ajudam os utilizadores a verificar a respetiva identidade caso se esqueçam da palavra-passe ou outra pessoa tente assumir o controlo da respetiva conta. Também fornece um canal de notificação fora de banda para eventos de segurança, como tentativas de início de sessão ou palavras-passe alteradas.

Para saber mais, consulte Configurar a autenticação multifator.

Ativar a autenticação multifator baseada em riscos

A autenticação multifator baseada no risco garante que, quando o nosso sistema deteta atividades suspeitas, pode desafiar o utilizador a garantir que é o proprietário legítimo da conta.

Passos seguintes

Quer saber mais sobre a gestão de palavras-passe? Eis algumas leituras recomendadas:

• Esquecer palavras-passe, ficar sem palavra-passe

• Documentação de Orientação sobre Palavras-passe da Microsoft

• Do Strong Web Passwords Accomplish Anything? (As Palavras-Passe da Web Fortes Realmente Ajudam?)

• Password Portfolios and the Finite-Effort User (Portefólios de Palavras-Passe e os Utilizadores de Esforço Limitado)

• Preventing Weak Passwords by Reading Users' Minds (Impedir a Utilização de Palavras-Passe Fracas ao Ler as Mentes dos Utilizadores)

• Choosing Secure Passwords (Escolher Palavras-Passe Seguras)

• Time to rethink mandatory password changes (Está na altura de repensar as alterações obrigatórias de palavras-passe)

Conteúdos relacionados

Repor palavras-passe (artigo)
Definir a palavra-passe de um utilizador individual para nunca expirar (artigo)
Permitir que os utilizadores reponham as suas próprias palavras-passe (artigo)
Reenviar a palavra-passe de um utilizador - Administração Ajuda (artigo)