Resolução PGE 66, de 06-10-2010
Aprova a Política de Senhas proposta pela Assessoria de Tecnologia da Informação e Comunicação.
O Procurador Geral do Estado, considerando a necessidade de aprimoramento dos níveis de segurança de acesso a dados e informações disponibilizados no site www.pge.sp.gov.br, Resolve:
Artigo 1º - Fica aprovada a Política de Senhas, proposta pela Assessoria de Tecnologia da Informação e Comunicação, anexa a esta Resolução
Artigo 2º - Esta Resolução entra em vigor na data de sua publicação.
PROPOSTA DE POLÍTICA DE SENHAS
A Assessoria de Tecnologia da Informação e Comunicação do Gabinete do Procurador Geral do Estado, considerando a necessidade de aprimoramento da segurança de acesso a dados e informações disponibilizados pelo site www.pge.sp.gov.br, propõe uma nova Política de Senhas. Tal política incorporará novas regras de seguranças, às quais todos os usuários (usuários PGE ou Usuários Externos) do site estarão submetidos.
1 - Necessidade de troca periódica da senha A troca periódica de senha incrementa a segurança porque, mesmo que o usuário tenha uma senha ‘forte’, em um determinado momento, ele poderá ter sido vítima de um malware (Sniffer, Trojan, etc) e a troca periódica obstará o acesso do terceiro que a obteve.
Outra vantagem da troca periódica de senha é que ela ajuda a Administração do site a encontrar contas de usuários que não mais são utilizadas. Se, por exemplo, um funcionário da PGE é transferido definitivamente para outra Secretaria (ou um funcionário de outra Secretaria – afastado na PGE – retorna definitivamente à origem) ele raramente avisa a Administração do site para que sua conta de usuário seja inativada. Uma conta dessas é uma potencial porta aberta para acessos indevidos.
A ASSESSORIA DE TECNOLOGIA DA INFORMAÇÃO e COMUNICAÇÃO vai implantar tal medida de segurança no mês de outubro de 2010. Segundo essa nova regra, uma senha terá validade de 365 dias, ou seja, a cada 365 dias, o usuário deverá substituí-la. Para lembrar o usuário da necessidade de troca de senha, o sistema apresentará uma mensagem de alerta dentro dos dez dias em que a senha esteja para expirar.
2 – Substituição imediata da senha padrão.
Por uma razão ou por outra, é muito comum usuários esquecerem suas senhas. Quanto tal ocorre, eles acionam a Administração do site, que restabelece para aquele usuário a senha-padrão: ‘testeteste’. Os usuários são avisados de que a senha-padrão, por ser do conhecimento da Administração, é uma senha ‘fraca’ e, nessa condição, deve ser usada provisoriamente, ou seja, deve ser trocada imediatamente no primeiro acesso do usuário. Até o momento, a substituição da senha-padrão era apenas uma recomendação. A partir de outubro de 2010, o usuário que tenha recebido a senha-padrão só terá acesso à Área Restrita do site se substituir a aquela senha-padrão no primeiro acesso.
3 – Complexidade da nova senha.
A nova senha não poderá conter exatamente a mesma sequência de caracteres da senha anterior. Caso contrário, não se tratará de uma ‘nova’ senha de fato.
A nova senha não poderá corresponder à senha-padrão ‘teste’ ou ‘testeteste’
ESPAÇOS EM BRANCO. A nova senha não poderá conter espaços.
A nova senha deverá ter, no mínimo, 8(oito) caracteres.
A nova senha PODERÁ conter caracteres especiais (OBS: senhas com caracteres especiais tendem a incrementar a segurança mas dificultam a memorização).
ORIENTAÇÕES DE SEGURANÇA
Uma boa senha é uma senha ‘forte’. Uma boa senha é aquela difícil de ser advinhada por terceiros. Uma senha fácil de ser advinhada por terceiros expõe o usuário ao chamado ‘ataque de força bruta’ (tentativas de quebra de senha através de programas chamados ‘robôs’). ‘Robôs’ são programas que tentam diversas senhas até acertar ou esgotar suas possibilidades.
Essa prática é chamada ‘força bruta’. Por isso, evite definir senhas consideradas triviais (datas de nascimento, partes do nome próprio, etc.) que deixam usuário à mercê de terceiros indivíduos e de ‘robôs’.
Na composição de senhas, evite:
- o nome do usuário.
- o uso de sobrenomes, nome do meio, apelidos.
- palavras de dicionário, ainda que modificadas, como (boneca, tempo, justica, etc)
- anagramas do próprio nome ou sobrenome; (ocsicnarf, anagrama da palavra Francisco).
- o uso apenas de números.
- data de aniversário.
Por outro lado, para conferir à senha um mínimo de complexidade, é recomendável a mistura de três dos quatro grupos abaixo: Letras maiúsculas (A-Z); Letras minúsculas (a-z); Números (0-9); Caracteres especiais (!, #, $, etc).
Uma boa senha é fácil de ser lembrada pelo próprio usuário.
É evidente que a criação de uma senha que seja fácil de lembrar e, ao mesmo tempo, difícil de ser advinhada por terceiros não é tarefa fácil.
Normalmente, por comodidade de memorização, os usuários tendem a usar senhas facilmente violáveis, como datas de nascimentos (própria, de cônjuge, de filhos, etc), parte do próprio nome ou mesmo anagramas desses nomes. Uma boa alternativa é usar uma ‘frase secreta’ (que não seja ‘lugar comum’ como ‘Batatinha quando nasce se esparrama pelo chão’). Uma boa dica é a utilização de uma frase incomum que tenha marcado a vida do usuário e que – por ter marcado a sua vida – seja fácil de ser lembrada. Por exemplo, ‘Eu aprecio blueberry com calda’ pode dar origem a uma senha ‘forte’ com o‘EuAprecioBlueBerryComCalda’ Outra opção é compor a senha com as primeiras letras de uma frase como ‘Quando eu nasci em 1998, eu ganhei um presente lindo: minha família e amigos’ (que poderia dar origem à senha ‘forte’ Qene1998eguplmfea).
Senhas compostas dessa forma são consideradas ‘fortes’ por ‘especialistas em violação de senha’.
Não revele sua senha a terceiros. Não revele sua senha para ninguém, nem compartilhe com colegas de trabalho, etc, mesmo quando viajar ou sair de férias. A senha é pessoal e intransferível.
As operações realizadas em programas do site são de inteira responsabilidade do titular da senha. Num caso extremo, ou seja, se for inafastável a cessão da senha, forneça uma senha provisória. Passada a situação excepcional, modifique a senha provisória cedida.
Não envie sua senha por e-mail a ninguém. Os e-mails de recibo de cadastro e lembrança de senha devem ser mantidos em local seguro ou preferencialmente apagados.
Não escreva sua senha em papel. Decore-a ou utilize-se do recurso ‘Lembrar senha’. Sua memória é o melhor cofre para a sua senha.
Altere sua senha periodicamente.
Evite utilizar sua senha em ambiente compartilhado de acesso (Lan Houses, por exemplo). Tais ambientes de acesso à Internet são os mais propícios para a violação de senhas.
Evite armazenar a senha em softwares como browsers (Internet Explorer, etc), leitores de e-mail (Outlook, etc) . Como alguém já disse, armazenar senhas nesses sofwares é como ‘ fechar uma porta fechada, e deixar a chave na fechadura”.
Evite armazenar senhas em arquivos do computador.
Fonte: D.O.E, Caderno Executivo I, seção PGE, 7/10/2010