Gerenciamento de senhas
by El Cohen
Na penúltima edição do HDI Support World, novembro/dezembro-2006, Robert S. Last traz boas sugestões para o gerenciamento de senhas.
Sua equipe de atendimento pode passar o dia inteiro reinicializando senhas, mas como ela pode aperfeiçoar os processos relacionados?
Dentro do artigo do meu xará americano, uma citação interessante e irônica:
Se você pudesse ter apenas uma senha, algo tão fácil e simples como seu sobrenome, e pudesse usá-la em cada site de WEB ou aplicações que exigissem autenticação, a vida poderia ser muito mais simples.
Extraído do site Storing and Remembering Passwords Securely.
E em seguida, como era de se esperar, o articulista diz que infelizmente precisamos viver no mundo real (hehehe). E que este desejo não tem espaço nele.
Em seguida, aponta OITO melhores práticas para um adequado gerenciamento de senhas.
São elas:
- Análise. A política de senhas é razoável? Qual o percentual de modificações em dado dia? Os gerentes são responsáveis pelo uso de senha dos seus funcionários?
- Avaliação da causa-raiz. Compreenda por que os usuários ligam tanto e onde está a causa raiz (esquecimento, falha tecnológica, prazo de expiração muito curto, etc…).
- Treinamento dos usuários para compreenderem a importância das senhas, a disciplina envolvendo o uso das mesmas, etc.
- Discrição, segurança e liderança. Em um grupo de 4 pessoas, provavelmente duas mantém suas senhas anotadas em algum lugar, como agenda, bloco de notas, etc. Reforçe a importância das mesmas e escolha líderes para coordenarem tais assuntos.
- Duplo fator de autenticação. Combinação do uso de senha com algo adicional, como um cartão de ingresso, uso da íris, reconhecimento digital, etc.
- Bloqueio de intrusos. Detecção de softwares ladrões de senhas aplicado a todos os usuários, com exceção do administrador.
- Evitar senhas muito simples. Usar recursos extras como questões desafiadoras (algo como seu livro favorito, quantas vezes você se mudou quando criança, etc). Usar senhas com fotos, que você deve escolher entre várias apresentadas.
- Envolver mais pessoas, logo cedo. Apesar de ficar a cargo de uma área específica (redes ou segurança), o melhor é colocar todo mundo a discutir para que aconteça mais reflexão e debate.
Yeah, sei que minha tradução não é das melhores, hehehe.
Mas você pode se associar ao Help Desk Institute e solicitar uma cópia deste material, que é disponibilizado exclusivamente para associados e, claro, é bem mais completo que este pequeno resumo apresentado.
Mas também pode:
Preocupar-se com esse assunto e desenvolver sua própria política.
DESENVOLVER!
Isso significa que ela não nasce pronta, mas vai melhorando na medida que o tempo passa.
Abraços
El Co
Comentários
Mais temos nossa parcela de culpa nisso, pois não damos a clareza exata para o usuário o quanto importante é a senha dele, e se ele perder qual poderá ser o prejuizo para a empresa e seu trabalho.
O que acontece muito em Helpdesk é que quano um usuário esquece a senha a prioridade de atendimento é a mais alta possível, logo temos que criar ou alterar a senha o quanto antes. Isso faz com que a culpa do usuário ter perdido a senha e não ter conseguido acessar o sistema e liberar aqueles pedidos urgentes, seja culpa do helpdesk que ainda não alterou ou criou uma senha nova para o ele, mais pera aí, quem perdeu a senha foi ele e não eu, estou errado ?
Na minha humilde opinião deviamos rever os conceitos de prioridades em alteração de senha, nesses casos. Pois assim quanto o usuário tiver que esperar digamos alguma horas para a sua senha ser recriada, ele irá tomar mais cuidado para não perde-lá da próxima vez. Pois o único culpado disso foi ele e não o Helpdesk.
Falow abraços e até mais .
Obs: estou em fase de politica de senhas na empresa que trabalho, vamos ver no que dá.
Esse é um bom registro de quem vem ajudar e vira o culpado: quando o usuário esquece sua senha e transfere a responsabilidade (do esquecimento e junto, do erro) para o analista que demora em retornar a nova senha.
Eu não sei se atrasar a entrega da senha seria o melhor, pois isso também gera um impacto no negócio, além do próprio usuário.
Mas uma coisa mais sutil, como gráficos por departamentos apresentados para o diretor administrativo ou sei-lá-o-quê, indicando quais os usuários que mais perdem senhas, hehehe…
Pode ser um caminho mais elegante. Mas também eficaz.
Abraços
Cohen