m1027-password-policies

# M1027 — Password Policies ## Descrição Definir e aplicar políticas de senha seguras para contas, reduzindo a probabilidade de acesso não autorizado. Políticas de senha robustas incluem a aplicação de complexidade de senha, exigência de alterações regulares e prevenção de reutilização de senhas. Esta mitigação pode ser implementada por meio das seguintes medidas: Sistemas Windows: - Usar o Group Policy Management Console (GPMC) para configurar: - Comprimento mínimo da senha (ex: 12+ caracteres). - Requisitos de complexidade de senha. - Histórico de senhas (ex: proibir as últimas 24 senhas). - Duração e limites de bloqueio de conta. Sistemas Linux: - Configurar Pluggable Authentication Modules (PAM): - Usar `pam_pwquality` para aplicar requisitos de complexidade e comprimento. - Implementar `pam_tally2` ou `pam_faillock` para bloqueio de contas. - Usar `pwunconv` para desabilitar reutilização de senhas. Gerenciadores de Senhas: - Aplicar o uso de gerenciadores de senhas corporativos (ex: Bitwarden, 1Password, LastPass) para gerar e armazenar senhas fortes. Blocklist de Senhas: - Usar ferramentas como Have I Been Pwned ou soluções de blocklist baseadas no NIST para impedir que usuários definam senhas comprometidas. Auditoria Regular: - Auditar periodicamente políticas de senha e configurações de contas para garantir conformidade usando ferramentas como LAPS (Local Admin Password Solution) e scanners de vulnerabilidades. *Ferramentas para Implementação* Windows: - Group Policy Management Console (GPMC): Aplicar políticas de senha. - Microsoft Local Administrator Password Solution (LAPS): Aplicar senhas administrativas aleatórias e únicas. Linux/macOS: - Módulos PAM (pam_pwquality, pam_tally2, pam_faillock): Aplicar regras de senha. - Lynis: Auditar políticas de senha e configurações de sistema. Cross-Platform: - Gerenciadores de Senhas (Bitwarden, 1Password, KeePass): Gerenciar e aplicar senhas fortes. - API Have I Been Pwned: Prevenir o uso de senhas vazadas. - Ferramentas compatíveis com NIST SP 800-63B: Aplicar diretrizes de senha e blocklisting. ## Fluxo de Implementação ```mermaid graph TB A["Definir Política Comprimento, complexidade, histórico"] --> B["Aplicar via GPO/PAM Windows GPO ou PAM Linux"] B --> C["Bloquear Senhas Vazadas Have I Been Pwned / listas NIST"] C --> D["Auditar Compliance Varredura periódica de contas"] D --> E["Monitorar Ataques Brute force, password spray"] ``` ## Contexto LATAM > [!globe] Relevância Regional > Políticas fracas de senha são um vetor crítico no Brasil, onde credential stuffing e password spraying são usados por grupos de fraude financeira para comprometer contas bancárias e portais corporativos. O uso de senhas default em dispositivos IoT e roteadores é amplamente explorado por botnets brasileiros como o Mirai-BR. > - Adoção em SOCs brasileiros: alto para grandes empresas, baixo a médio em PMEs > - Regulamentações relevantes: LGPD (Art. 46 — medidas de proteção), BACEN 4893 (autenticação forte para sistemas financeiros), PCI-DSS 8.3 (requisitos de senha para dados de cartão) > - Desafios regionais: resistência de usuários a senhas longas, falta de gestores de senha corporativos em PMEs, senhas padrão em sistemas legados nacionais ## Técnicas Mitigadas | ID | Técnica | |---|---------| | T1599.001 | [[t1599-001-network-address-translation-traversal\|T1599.001 — Network Address Translation Traversal]] | | T1078.004 | [[t1078-004-cloud-accounts\|T1078.004 — Cloud Accounts]] | | T1556.005 | [[t1556-005-reversible-encryption\|T1556.005 — Reversible Encryption]] | | T1552.002 | [[t1552-002-credentials-in-registry\|T1552.002 — Credentials in Registry]] | | T1550.003 | [[t1550-003-pass-the-ticket\|T1550.003 — Pass the Ticket]] | | T1552.004 | [[t1552-004-private-keys\|T1552.004 — Private Keys]] | | T1558.002 | [[t1558-002-silver-ticket\|T1558.002 — Silver Ticket]] | | T1599 | [[t1599-network-boundary-bridging\|T1599 — Network Boundary Bridging]] | | T1003.003 | [[t1003-003-ntds\|T1003.003 — NTDS]] | | T1558.003 | [[t1558-003-kerberoasting\|T1558.003 — Kerberoasting]] | | T1078 | [[t1078-valid-accounts\|T1078 — Valid Accounts]] | | T1552 | [[t1552-unsecured-credentials\|T1552 — Unsecured Credentials]] | | T1110.004 | [[t1110-004-credential-stuffing\|T1110.004 — Credential Stuffing]] | | T1110.002 | [[t1110-002-password-cracking\|T1110.002 — Password Cracking]] | | T1550 | [[t1550-use-alternate-authentication-material\|T1550 — Use Alternate Authentication Material]] | | T1187 | [[t1187-forced-authentication\|T1187 — Forced Authentication]] | | T1003.006 | [[t1003-006-dcsync\|T1003.006 — DCSync]] | | T1556 | [[t1556-modify-authentication-process\|T1556 — Modify Authentication Process]] | | T1003.002 | [[t1003-002-security-account-manager\|T1003.002 — Security Account Manager]] | | T1558.004 | [[t1558-004-as-rep-roasting\|T1558.004 — AS-REP Roasting]] | | T1003.004 | [[t1003-004-lsa-secrets\|T1003.004 — LSA Secrets]] | | T1072 | [[t1072-software-deployment-tools\|T1072 — Software Deployment Tools]] | | T1003 | [[t1003-os-credential-dumping\|T1003 — OS Credential Dumping]] | | T1003.005 | [[t1003-005-cached-domain-credentials\|T1003.005 — Cached Domain Credentials]] | | T1078.003 | [[t1078-003-local-accounts\|T1078.003 — Local Accounts]] | | T1003.007 | [[t1003-007-proc-filesystem\|T1003.007 — Proc Filesystem]] | | T1003.008 | [[t1003-008-etcpasswd-and-etcshadow\|T1003.008 — /etc/passwd and /etc/shadow]] | | T1078.001 | [[t1078-001-default-accounts\|T1078.001 — Default Accounts]] | | T1601 | [[t1601-modify-system-image\|T1601 — Modify System Image]] | | T1110.001 | [[t1110-001-password-guessing\|T1110.001 — Password Guessing]] | | T1555.001 | [[t1555-001-keychain\|T1555.001 — Keychain]] | | T1563.001 | [[t1563-001-ssh-hijacking\|T1563.001 — SSH Hijacking]] | | T1563 | [[t1563-remote-service-session-hijacking\|T1563 — Remote Service Session Hijacking]] | | T1078.002 | [[t1078-002-domain-accounts\|T1078.002 — Domain Accounts]] | | T1555 | [[t1555-credentials-from-password-stores\|T1555 — Credentials from Password Stores]] | | T1110.003 | [[t1110-003-password-spraying\|T1110.003 — Password Spraying]] | | T1558 | [[t1558-steal-or-forge-kerberos-tickets\|T1558 — Steal or Forge Kerberos Tickets]] | | T1110 | [[t1110-brute-force\|T1110 — Brute Force]] | | T1555.003 | [[t1555-003-credentials-from-web-browsers\|T1555.003 — Credentials from Web Browsers]] | | T1601.002 | [[t1601-002-downgrade-system-image\|T1601.002 — Downgrade System Image]] | | T1201 | [[t1201-password-policy-discovery\|T1201 — Password Policy Discovery]] | | T1021 | [[t1021-remote-services\|T1021 — Remote Services]] | | T1555.005 | [[t1555-005-password-managers\|T1555.005 — Password Managers]] | | T1021.002 | [[t1021-002-smbwindows-admin-shares\|T1021.002 — SMB/Windows Admin Shares]] | | T1003.001 | [[t1003-001-lsass-memory\|T1003.001 — LSASS Memory]] | | T1552.001 | [[t1552-001-credentials-in-files\|T1552.001 — Credentials In Files]] | | T1601.001 | [[t1601-001-patch-system-image\|T1601.001 — Patch System Image]] | --- *Fonte: [MITRE ATT&CK — M1027](https://attack.mitre.org/mitigations/M1027)*