Recomendações de políticas de senhas para senhas do Microsoft 365

Enquanto administrador do Microsoft 365, é responsável por definir a política de palavras-passe para os utilizadores na sua organização. Definir a política de senhas pode ser complicado e confuso, e este artigo fornece recomendações para tornar sua organização mais segura contra ataques de senhas.

As contas apenas na cloud da Microsoft têm uma política de palavras-passe predefinida que não pode ser alterada. Os únicos itens que você pode alterar são os números de dias até que uma senha expire e se as senhas expiram ou não.

Para determinar a frequência com que as senhas do Microsoft 365 expiram em sua organização, confira Definir política de expiração de senha para o Office 365.

Compreendendo as recomendações de senha

As boas práticas de senha se enquadram em algumas categorias amplas:

• Resistir a ataques comuns: isto envolve a escolha de onde os utilizadores introduzem palavras-passe (dispositivos conhecidos e fidedignos com boa deteção de malware, sites validados) e a escolha da palavra-passe a escolher (comprimento e exclusividade).

• Conter ataques bem-sucedidos: a contenção de ataques de hackers com êxito tem a ver com limitar a exposição a um serviço específico ou evitar esses danos completamente, se a palavra-passe de um utilizador for roubada. Por exemplo, garantir que uma violação de suas credenciais de rede social não torne sua conta bancária vulnerável ou não permita que uma conta mal protegida aceite links de redefinição para uma conta importante.

• Compreender a natureza humana: muitas práticas de palavra-passe válidas falham face a comportamentos humanos naturais. Compreender a natureza humana é fundamental porque a investigação mostra que quase todas as regras impostas aos seus utilizadores resultam num enfraquecimento da qualidade da palavra-passe. Requisitos de comprimento, requisitos especiais de caracteres e requisitos de alteração de senha resultam na normalização de senhas, o que facilita para os invasores adivinharem ou decifrarem senhas.

Diretrizes de senha para administradores

O principal objetivo de um sistema de senhas mais seguro é a diversidade de senhas. Quer que a sua política de palavras-passe contenha muitas palavras-passe diferentes e difíceis de adivinhar. Aqui estão algumas recomendações para manter sua organização o mais segura possível.

• Mantenha um requisito de comprimento mínimo de 14 carateres. (Embora o Microsoft 365 necessite de, pelo menos, oito carateres, para maior segurança, recomendamos um mínimo de 14 carateres.)
• Não utilize palavras-passe fáceis de adivinhar, como abcdefg ou password
• Informar os utilizadores para não reutilizarem as palavras-passe da organização para fins de não trabalho
• Impor o registo para autenticação multifator
• Ativar desafios de autenticação multifator baseados em risco

Orientação de palavra-passe para utilizadores

Aqui estão algumas diretrizes de senha para usuários da sua organização. Lembre-se de permitir que seus usuários saibam sobre essas recomendações e aplicar as políticas de senha recomendadas no nível da organização.

• Não use uma senha igual ou similar a uma que você usa em outros sites
• Não utilize uma única palavra, por exemplo, passwordou uma expressão frequentemente utilizada, como Iloveyou
• Defina palavras-passe difíceis de adivinhar, mesmo por pessoas que sabem muito sobre si. Os exemplos incluem a utilização de nomes e aniversários dos seus amigos e familiares, as suas bandas favoritas e expressões que gosta de utilizar

Proibir palavras-passe fáceis de adivinhar

O requisito de palavra-passe mais importante que deve colocar aos seus utilizadores ao criar palavras-passe é proibir a utilização de palavras-passe fáceis de adivinhar que tornam a sua organização vulnerável a ataques de palavra-passe de força bruta. Os exemplos incluem:

• abcdefg
• password
• monkey
• 123456

Instrua os usuários a não reutilizar senhas da organização em outro local

Uma das mensagens mais importantes a serem transmitidas aos usuários da organização é não reutilizar a senha da organização em nenhum outro lugar. A utilização de palavras-passe da organização em sites externos aumenta significativamente a probabilidade de os cibercriminosos poderem comprometer estas palavras-passe.

Impor o registo de autenticação multifator

Verifique se os usuários atualizam informações de contato e segurança, como um endereço de email alternativo, um número de telefone ou um dispositivo registrado para notificações por push, para que possam responder aos desafios de segurança e serem notificados de eventos de segurança. As informações atualizadas de contato e segurança ajudam os usuários a verificar sua identidade se esquecerem sua senha ou se outra pessoa tentar assumir sua conta. Também fornece um canal de notificação fora de banda para eventos de segurança, como tentativas de início de sessão ou palavras-passe alteradas.

Para saber mais, veja Configurar a autenticação multifator.

Ativar a autenticação multifator baseada em riscos

A autenticação multifator baseada em riscos garante que, quando o nosso sistema deteta atividades suspeitas, pode desafiar o utilizador a garantir que é o proprietário legítimo da conta.

Conteúdo relacionado

• Redefinir senhas
• Permitir que os usuários redefinam as próprias senhas
• Reenviar a senha de um usuário – ajuda para administradores
• Ajuda para pequenas empresas & aprendizagem