Boas práticas

Boas Práticas

Regras para construção e utilização de senhas de acesso

A definição de regras para a construção de senhas visam estabelecer um conjunto de boas práticas que os utilizadores devem adotar na gestão das suas senhas de acesso. A DII estabelece um conjunto de boas práticas na construção de senhas pessoais tais como:

  1. Ter no mínimo 10 caracteres sem acentuação;
  2. Ter pelo menos 1 número;
  3. Ter pelo menos 1 letra maiúscula;
  4. Ter pelo menos 1 letra minúscula;
  5. Ter pelo menos 1 símbolo especial (#, %, $, /, ., *, +, etc.).

 

As regras acima devem de estar presentes na alteração de senhas, nomeadamente no que diz respeito à senha do sistema de autenticação central, a qual é gerida através do CLIP. Adicionalmente devem ser aplicadas as seguintes recomendações às senhas:

  1. Não devem conter o login ou qualquer nome do utilizador;
  2. Não devem ser baseadas numa única palavra do dicionário;
  3. Não devem conter mais do que 2 caracteres repetidos;
  4. Não devem reutilizar as 4 senhas anteriores e as senhas utilizadas durante o último ano. Os requisitos aqui estabelecidos podem porventura servir como regra para a construção de senhas para utilização de outros serviços externos à DII da NOVA FCT.

 

São também definidas algumas regras, no que diz respeito à gestão de senhas pessoais, que devem ser observadas pelos utilizadores:

  1. Não escrever as senhas em papel;
  2. Não guardar as senhas em claro no seu computador ou outro equipamento informático (smartphone, tablet, etc.);
  3. Não transmitir senhas pela Internet, usando para tal o serviço de correio eletrónico ou outras formas de comunicação na Web;
  4. Usar aplicações definidas para gestão de senhas, as quais usem a informação cifrada (Truecrypt, Keepass, etc.);
  5. Não partilhar senhas comuns a vários utilizadores;
  6. Definir um período de validade para as senhas, após o qual a senha tenha de ser alterada;
  7. Os utilizadores devem terminar as sessões nas aplicações após concluírem a utilização das mesmas;
  8. Os utilizadores devem bloquear o acesso aos computadores pessoais quando se afastam dos mesmos. As sessões nos computadores pessoais devem ser bloqueadas após dez minutos de inatividade.

 

Na medida em que seja tecnicamente possível, os sistemas, aplicações e dispositivos devem assegurar que:

  1. As senhas de sistemas críticos devem ser alteradas a cada 90 dias;
  2. A conta deve ser bloqueada a após cinco tentativas de acesso falhadas consecutivas;
  3. A reintrodução de credenciais deve ser exigida após 30 minutos de inatividade;
  4. O posto de trabalho, após 10 minutos de inatividade, deve ficar protegido por senha.