Política de senha: comprimento versus complexidade

Política de Senhas: Comprimento vs Complexidade -- O que o NIST Realmente Recomenda

O NIST SP 800-63B (atualizado em 2024) mudou décadas de conselhos sobre senhas: pare de forçar regras de complexidade, comece a exigir comprimento. Aqui está o porquê, com a matemática para provar.

A Matemática da Entropia

A entropia mede quão difícil é uma senha para ser quebrada por força bruta. A fórmula é log2(tamanho_conjunto ^ comprimento).

Uma senha de 16 caracteres em minúsculas é 8 milhões de vezes mais difícil de quebrar do que uma senha "complexa" de 8 caracteres. O comprimento vence.

O que o NIST SP 800-63B Diz

Por que as Regras de Complexidade Falham

Quando você força padrões P@ssw0rd!, os usuários fazem exatamente isso -- substituições previsíveis que as ferramentas de cracking exploram primeiro. Ataques de dicionário com regras de leet-speak quebram Tr0ub4dor&3 em segundos. Enquanto isso, cavalo bateria staple correto (4 palavras aleatórias, ~44 bits de uma lista de 2048 palavras, ou escolha 5-6 palavras para 55-66 bits) é tanto mais forte quanto memorável.

Implementação Prática

# Pseudocódigo para validação alinhada ao NIST
def validate_password(password: str, blocklist: set) -> bool:
    if len(password) < 12:
        return False  # impor comprimento mínimo
    if password.lower() in blocklist:
        return False  # rejeitar senhas conhecidas-violadas
    return True  # nenhuma regra de complexidade necessária

Use um gerenciador de senhas para gerar senhas aleatórias de 16-20 caracteres para cada conta. Experimente a Ferramenta de Geração de Senhas para criar senhas de alta entropia instantaneamente -- defina o comprimento para 16+ e pule o headache de complexidade.

Principais Conclusões

Atualize a política de senhas da sua organização: mínimo de 12 caracteres, verificação de lista de bloqueio, sem rotação forçada, sem regras de complexidade. Você obterá segurança mais forte e menos tickets de helpdesk.

Relacionado