Diretrizes de senhas do NIST
As diretrizes de senhas do NIST, conforme descritas na Publicação Especial (PE) 800-63B do National Institute of Standards and Technology (NIST), foram elaboradas para aumentar a força das senhas. Desde 2014, os padrões de senhas do NIST são revisados praticamente todos os anos, considerando insights de especialistas em quebra de senhas, práticas de senhas vulneráveis, comportamento de hackers e violações de senhas anteriores. Isso torna os padrões do NIST os mais recomendados para criação de senhas. Uma senha compatível com o NIST é difícil de violar, mas simples de usar.
Quais são as diretrizes de senhas mais recentes do NIST?
O NIST SP 800-63B vai além das melhores práticas de senhas, fornecendo também diretrizes sucintas para autenticação e gestão de identidades digitais. A tabela a seguir lista os requisitos do autenticador e verificador do NIST encontrados no SP 800-63B e como o ADSelfService Plus pode ajudar sua organização a cumprir esses requisitos.
| Requisito do NIST | Descrição do requisito | Como o ADSelfService Plus ajuda a atender o requisito |
| Seção 5.1.1.1 | Um segredo memorizado, ou seja, uma senha, frase secreta ou PIN, deve ter no mínimo oito caracteres. | Com o Executor da Política de Senhas do ADSelfService Plus, você pode personalizar o comprimento mínimo da senha para oito caracteres ou mais, dependendo dos requisitos da sua organização. Você também pode personalizar o comprimento máximo da senha conforme necessário. |
| Seção 5.1.1.1 | Todos os caracteres do Código Padrão Americano para Intercâmbio de Informações (ASCII), incluindo o caractere de espaço e caracteres Unicode devem ser aceitos pelos verificadores em segredos memorizados. | O ADSelfService Plus permite-lhe configurar o número de caracteres especiais, Unicode, numéricos, maiúsculos e minúsculos que os usuários devem incluir nas suas senhas. Você também pode configurar o tipo de caractere com o qual uma senha deve começar. |
| Seção 5.1.1.1 | Os segredos memorizados fornecidos pelo verificador padrão devem ter um comprimento mínimo de seis caracteres e ser gerados usando um gerador de bits aleatórios aprovado. | O ADSelfService Plus utiliza um gerador de bits aleatórios para gerar senhas com um comprimento mínimo padrão de sete caracteres automaticamente. |
| Seção 5.1.1.1 | Os usuários não devem receber dicas dos verificadores para ajudá-los a lembrar seu segredo memorizado. | O ADSelfService Plus não fornece dicas de senha para usuários durante a verificação de identidade. |
| Seção 5.1.1.1 | Os segredos memorizados pelos usuários não devem conter segredos previamente violados, palavras de dicionário, caracteres repetidos ou sequenciais (por exemplo, aaaaaa, 1234abcd) e palavras específicas do contexto, como o nome do serviço, nome de usuário, entre outros. Os verificadores devem solicitar que os usuários escolham um segredo diferente caso quaisquer dessas condições forem atendidas. | O ADSelfService Plus permite-lhe restringir os usuários de utilizar palavras de dicionário, palíndromos, padrões previsíveis, caracteres repetidos e caracteres consecutivos de nomes de usuário e senhas antigas ao definir novas senhas. Ao integrar-se com o Have I Been Pwned?, um banco de dados de senhas violadas, ele garante que seus usuários não definam senhas fracas ou comprometidas durante redefinições e mudanças de senha. |
| Seção 5.1.1.1 | Os verificadores devem oferecer um medidor de força da senha para ajudar os usuários a escolher segredos fortes e memorizados. | O ADSelfService Plus fornece um Analisador de Força da Senha que oferece feedback visual instantâneo sobre a força da senha quando os usuários as alteram ou redefinem. |
| Seção 5.1.1.1 | Segredos memorizados não devem ser alterados periodicamente, a menos que haja evidências do seu comprometimento. | O ADSelfService Plus não incentiva a troca frequente ou periódica de senha do usuário final. No entanto, os administradores podem acionar uma ação automática de redefinição de senha para usuários com senhas potencialmente comprometidas. |
| Seção 5.1.1.1 | Os usuários devem ter permissão para utilizar a funcionalidade de colar ao inserir um segredo memorizado, o que facilita o uso de gerenciadores de senhas, aumentando a probabilidade de que os usuários escolham segredos memorizados mais fortes. | Com o ADSelfService Plus, você pode permitir ou impedir que usuários utilizem funções de copiar e colar nos campos de senha. |
| Seção 5.1.1.1 | Para ajudar os usuários a inserir um segredo memorizado com sucesso, os verificadores devem oferecer uma opção para exibir o segredo — em vez de uma série de pontos ou asteriscos — até que ele seja inserido. | O ADSelfService Plus oferece a opção de visualizar suas senhas aos usuários enquanto elas estão sendo inseridas. |
| Seção 5.2.2 | Para se proteger contra ataques de adivinhação online, tentativas consecutivas de autenticação fracassadas em uma única conta devem ser limitadas a no máximo 100. | O ADSelfService Plus permite-lhe configurar o número de tentativas de login malsucedidas permitidas para um usuário dentro de um tempo especificado e a duração do bloqueio. |
| Seção 5.2.2 | To reduce the likelihood that an attacker will lock a legitimate user out of their account, a CAPTCHA should be completed before attempting authentication. | O ADSelfService Plus permite-lhe exibir ou ocultar um CAPTCHA antes que um usuário tente a autenticação. |
| Seção 5.2.2 | Para reduzir a probabilidade de um invasor bloquear o acesso de um usuário legítimo à sua conta, técnicas de autenticação adaptáveis ou baseadas no risco devem ser utilizadas, o que inclui o uso de endereço IP, geolocalização, tempo de padrões de solicitação ou metadados do navegador. | O ADSelfService Plus fornece políticas de acesso condicional que oferecem métodos de MFA adicionais automaticamente, conforme configurados para solicitações de acesso suspeitas, com base nos IPs dos usuários, geolocalização, hora de acesso e dispositivos usados. |
| Seção 5.2.3 | Para determinadas limitações de segurança identificadas e mencionadas nesta seção, a biometria deve ser utilizada apenas como parte da MFA juntamente com um autenticador físico (algo que você tem) e não como um autenticador independente. | O ADSelfService Plus permite-lhe configurar um autenticador biométrico juntamente com outros autenticadores, incluindo YubiKey, TOTPs e smart cards. |
| Seção 5.2.3 | Mais de cinco tentativas consecutivas de autenticação malsucedidas para o autenticador biométrico não devem ser permitidas. | O ADSelfService Plus permite-lhe configurar o número de tentativas de login malsucedidas para um usuário dentro de um período especificado. |
| Seção 5.2.3 | No caso de cinco tentativas consecutivas de autenticação biométrica malsucedidas, um atraso de pelo menos 30 segundos antes da próxima tentativa deve ser imposto ou o autenticador biométrico deve ser desabilitado completamente. | O ADSelfService Plus permite-lhe configurar a duração do bloqueio da conta em caso de falha na tentativa de autenticação biométrica. |
| Seção 5.2.5 | Para resistir a ataques de phishing e MITM, mecanismos de autenticação resistentes à falsificação de identidade (impersonation) do verificador devem ser implantados. | O ADSelfService Plus fornece um autenticador de chaves de acesso FIDO resistente a phishing e MITM, que repele todas as tentativas de falsificação da identidade (impersonation) do verificador com sua tecnologia de criptografia de chave pública. |
| Seção 5.2.8 | Para resistir a ataques de repetição, mecanismos de autenticação resistentes à repetição devem ser implantados. | O ADSelfService Plus fornece o autenticador de chaves de acesso FIDO, que resiste a ataques de repetição com sua tecnologia de criptografia de chave pública. |
Além disso, o NIST classifica os mecanismos de autenticação em três categorias, chamando-os de Níveis de Garantia do Autenticador (AAL): AAL1, AAL2 e AAL3. Clique aqui para saber mais sobre os AALs e como eles diferem uns dos outros.
Cumpra os padrões de senha e autenticação do NIST usando o ADSelfService Plus
O ADSelfService Plus oferece capacidades de Executor da Política de Senhas, Política de Acesso e MFA para ajudar sua organização a cumprir os requisitos de senha e autenticação do NIST.
Executor da Política de Senhas
The O Executor da Política de Senhas permite impor uma política de senhas personalizada que se integra às políticas de senhas integradas do AD de maneira transparente, fornecendo um controle mais granular. As políticas de senhas do ADSelfService Plus podem ser definidas para impor os seguintes requisitos:
- Restringir caracteres
- Restringir repetição
- Restringir o padrão
- Restringir o comprimento
Essas configurações incluem a determinação do número de caracteres especiais, numéricos e Unicode. Você também pode definir o tipo de caractere com o qual a senha deve começar.
Atenda aos requisitos de senha do NIST configurando a inclusão de caracteres alfanuméricos nas senhas.
Atenda aos requisitos de senha do NIST configurando a inclusão de caracteres alfanuméricos nas senhas.
Essas configurações ajudam a restringir o uso de caracteres consecutivos de nomes de usuário ou senhas anteriores. A repetição consecutiva do mesmo caractere também pode ser restringida.
Impeça que usuários reutilizem suas senhas anteriores durante a criação de senhas.
Impeça que usuários reutilizem suas senhas anteriores durante a criação de senhas.
As configurações nesta aba ajudam a restringir palavras de dicionário, padrões e palíndromos personalizados que podem ser comumente utilizados.
Impeça que usuários utilizem padrões comuns, palavras de dicionário e palíndromos nas suas senhas.
Impeça que usuários utilizem padrões comuns, palavras de dicionário e palíndromos nas suas senhas.
Essas regras permitem-lhe definir um número mínimo e máximo de caracteres para a senha.
Configure o comprimento mínimo e máximo da senha para atender às diretrizes de senhas do NIST.
Configure o comprimento mínimo e máximo da senha para atender às diretrizes de senhas do NIST.
Política de acesso
O ADSelfService Plus permite definir qualquer número de políticas de autoatendimento em um determinado domínio. Essas políticas podem ser configuradas conforme mostrado abaixo para que sua organização atenda às diretrizes do NIST para senhas.
- Defina o número máximo de vezes que os usuários podem falhar na verificação de identidade, após o qual eles serão bloqueados automaticamente.
- Restrinja o número de vezes que os usuários podem redefinir suas senhas usando o autoatendimento.
- Permita ou impeça ações de copiar e colar em campos de senha.
- Aplique as configurações do histórico de senhas do AD durante as redefinições de senhas para restringir a repetição de senhas.
- Habilite o Analisador de Força da Senha para ajudar os usuários na criação de senhas exibindo a força da senha.
- Forneça verificação de código CAPTCHA para logins de usuários para fornecer segurança adicional.
- 1
Habilite o Analisador de Força da Senha para ajudar os usuários na criação de senhas exibindo a força da senha.
2Aplicar configurações de histórico de senha do AD durante redefinições de senha para restringir a repetição de senhas.
Habilite o Analisador de Força da Senha para ajudar os usuários na criação de senhas exibindo a força da senha.
Aplicar configurações de histórico de senha do AD durante redefinições de senha para restringir a repetição de senhas. - 1
Forneça verificação de código CAPTCHA para logins de usuários para fornecer segurança adicional.
Forneça verificação de código CAPTCHA para logins de usuários para fornecer segurança adicional.
- 1
Defina o número máximo de vezes que os usuários podem falhar na verificação de identidade, após o qual eles serão bloqueados automaticamente.
2Restringir o número de vezes que os usuários podem redefinir suas senhas usando o autoatendimento.
Defina o número máximo de vezes que os usuários podem falhar na verificação de identidade, após o qual eles serão bloqueados automaticamente.
Restringir o número de vezes que os usuários podem redefinir suas senhas usando o autoatendimento.
MFA
O ADSelfService Plus oferece MFA para aplicações, tanto baseadas em nuvem quanto locais, e endpoints. Ele ajuda a reduzir ataques de superfície e protege sua empresa exigindo um nível mais alto de garantia de identidade.
Motivos pelos quais sua organização precisa do suporte de MFA do ADSelfService Plus:
- Autentica usuários com técnicas de MFA adaptativas além do nome de usuário e senha padrão
- Oferece 20 autenticadores diferentes para escolher, incluindo biometria, chaves de acesso FIDO, Duo Security, TOTPs, YubiKey e smart cards
- Permite a configuração de fluxos de trabalho para personalizar autenticadores para usuários de diferentes UOs, domínios ou grupos
- Protege tentativas de login locais e remotas em servidores e estações de trabalho
- Combate todos os ataques cibernéticos baseados em credenciais, incluindo força bruta, pulverização de senhas e ataques de dicionário
- Ajuda sua organização a cumprir os mandatos de conformidade do GDPR, PCI DSS e HIPAA, além do SP 800-63B do NIST
- 1
Proteja o acesso do usuário a todos os endpoints da sua rede, como máquinas, VPNs, OWAs e aplicações, usando MFA.
Proteja o acesso do usuário a todos os endpoints da sua rede, como máquinas, VPNs, OWAs e aplicações, usando MFA.
- 1
Escolha o número e o tipo de métodos de MFA com os quais seus usuários devem se autenticar para obter acesso aos recursos.
Escolha o número e o tipo de métodos de MFA com os quais seus usuários devem se autenticar para obter acesso aos recursos.
- 1
Selecione entre 20 autenticadores diferentes para verificar as identidades dos seus usuários.
1Configure diferentes fluxos de MFA para diferentes grupos ou departamentos em sua organização.
Selecione entre 20 autenticadores diferentes para verificar as identidades dos seus usuários.
Configure diferentes fluxos de MFA para diferentes grupos ou departamentos em sua organização.
Benefícios de usar o ADSelfService Plus para cumprir os requisitos de senhas do NIST
- Flexibilidade refinada: Adapte políticas de senhas para diversas funções de usuários dentro da organização com base nos seus níveis de acesso a dados confidenciais.
- Integração com o Have I Been Pwned?: Integre-se ao Have I Been Pwned?, um banco de dados de senhas violadas, e garanta que seus usuários evitem escolher senhas fracas ou comprometidas durante redefinições e mudanças de senhas.
- Políticas de acesso condicional: Intensifique os métodos de MFA automaticamente para solicitações de acesso suspeitas usando políticas de acesso condicional com base no IP do usuário, localização e hora de acesso.
- Cumprimento de outros regulamentos: Certifique-se de que sua organização esteja em conformidade com os padrões do PCI DSS, HIPAA, Essential Eight, CJIS, SOX, e GDPR standards.
Aumente a defesa cibernética da sua empresa com o ADSelfService Plus, uma solução completa que ajuda seus funcionários a adotar as melhores práticas para senhas.
Torne sua organização anuente com o NIST usando o ADSelfService Plus
Autoatendimento de senhas
Libere os usuários do Active Directory de atender longas chamadas de help desk, permitindo que eles realizem tarefas de redefinição de senha/desbloqueio de conta por conta própria. Alteração de senhas sem complicações para usuários do AD com o console "Alterar senha" do ADSelfService Plus.
Uma identidade com login único
Obtenha acesso contínuo com um clique a mais de 100 aplicações em nuvem. Com o login único empresarial, os usuários podem acessar todas as suas aplicações com suas credenciais do AD. Graças ao ADSelfService Plus!
Notificação de expiração de senha/conta
Informe os usuários do AD sobre a expiração iminente da sua senha/conta, enviando-lhes essas notificações de expiração.
Sincronizador de senhas
Sincronize mudanças de senhas/contas de usuários do Windows Active Directory em vários sistemas automaticamente, incluindo o Office 365, G Suite, IBM iSeries, e muito mais.
Executor da Política de Senhas
Garanta senhas de usuário fortes que resistam a diversas ameaças de hackers com o ADSelfService Plus, forçando os usuários do Active Directory a utilizarem senhas compatíveis por meio da exibição de requisitos de complexidade de senha.
Autoatualização do diretório e pesquisas corporativas
Portal que permite que os usuários do AD atualizem suas informações mais recentes e um recurso de pesquisa rápida para buscar informações sobre pares usando chaves de pesquisa, como número de contato, da personalidade que está sendo pesquisada.
