Aplicar e monitorar requisitos de senhas para usuários

Esta página é destinada a administradores que gerenciam contas de outros usuários em uma organização. Para redefinir a senha da sua conta, clique aqui.

Como admin, você pode aplicar requisitos de senhas para proteger as Contas do Google gerenciadas dos usuários e atender às demandas de compliance da sua organização. Também é possível monitorar o nível de segurança das senhas para identificar aquelas que são fracas.

Se você estiver usando o SSO…

Se você estiver usando o Logon Único (SSO, na sigla em inglês) para seus usuários, faça o seguinte:

  1. Desative a aplicação de senha.
  2. Verifique se as contas de usuário não estão configuradas para exigir uma mudança de senha no próximo login.

Há um problema conhecido em que as políticas de senha são aplicadas a usuários que fazem autenticação com um provedor de identidade (IdP, na sigla em inglês) de terceiros e perfis de SSO. Desative a aplicação de senha para evitar esse problema. Se os usuários receberem uma solicitação única para redefinir a senha do Google, isso não vai afetar o uso do SSO, a forma de fazer login ou a senha usada com o SSO.

Ajudar a proteger as contas de usuário

  • Exija uma senha forte: você pode exigir que os usuários alterem senhas fracas ou utilizem senhas com um determinado número de caracteres.
  • Impeça que os usuários reutilizem senhas antigas.
  • Explique a importância das senhas fortes: para ajudar os usuários a criar senhas fortes, compartilhe estas dicas.

Antes de começar

Quando as políticas de senha não são válidas

  • O Google não pode aplicar requisitos de nível de segurança e tamanho a senhas definidas usando um método de hash (por exemplo, senhas criadas usando a ferramenta de upload de usuários em massa, a API Directory ou ferramentas de sincronização, como o Password Sync ou o Google Cloud Directory Sync). Para mais detalhes, acesse o SDK Admin do Google Workspace ou confira o artigo sobre o Password Sync.
  • Os requisitos de nível de segurança e tamanho da senha não são válidos para nenhuma senha de usuário que você redefina manualmente. Se você redefinir uma senha manualmente, marque a caixa Pedir para o usuário alterar a senha ao fazer login para o usuário em questão.
  • As políticas de senha que você configura não são válidas quando os usuários fazem a autenticação usando um IdP de terceiros com OIDC.

Observação: no momento, as políticas de senha serão aplicadas se você estiver usando um IdP SAML. Para mais detalhes, consulte Se você estiver usando o SSO (anteriormente nesta página).

O que torna uma senha forte

Se você aplica senhas fortes, o Google usa um algoritmo de classificação do nível de segurança da senha para garantir que ela:

  • tenha um alto nível de aleatoriedade, chamado de entropia de senha, que você pode conseguir usando uma string longa com caracteres de diferentes tipos, como letras maiúsculas, letras minúsculas, números e caracteres especiais;

    Observação: uma senha forte não precisa ter um número específico de caracteres de um determinado tipo.

  • não seja uma senha fraca muito utilizada, como "123456" ou "senha123";
  • não seja fácil de adivinhar, como palavras ou frases simples ou padrões em que a senha é igual ao nome de usuário;
  • não esteja sabidamente comprometida, isto é, não esteja em um banco de dados de contas violadas.

Como funciona a validade de senhas

A validade de senhas é desativada por padrão porque as pesquisas mostraram que isso tem pouco impacto positivo na segurança. Você pode definir a validade das senhas dos usuários (como 90 ou 180 dias) se precisar atender a algum requisito de compliance.

A validade de senhas é aplicada apenas para logins em aplicativos baseados em navegador. Ela não é aplicada a usuários que usam apenas smartphones ou que fizeram login usando apps autenticados por OAuth.

Alertas de senha

Se você definir um período de validade para as senhas, os usuários receberão alertas pop-up (mas não lembretes por e-mail) nos Serviços do Google, como Gmail e Agenda, 30 dias antes da data de validade das senhas. Os usuários podem alterar a senha ou fechar o alerta. Se um usuário não alterar a senha, o alerta aparecerá na próxima vez que ele fizer login na própria conta. Quando o usuário fecha o alerta 3 vezes, ele para de ser exibido. No entanto, depois que a senha expirar, o usuário precisará alterá-la no próximo login.

Quando os usuários precisam alterar a própria senha

Quando você configura uma política de validade de senhas pela primeira vez, é possível que alguns usuários precisem alterar a própria senha imediatamente. Por exemplo:

  • Se você configurar uma política de validade de 90 dias e um usuário da sua organização tiver mudado a própria senha pela última vez há 100 dias, a senha desse usuário vai expirar assim que você definir a política. O usuário precisará alterar a senha na próxima vez que tentar fazer login na própria conta.
  • Se você configurar uma política de validade de 90 dias e um usuário da sua organização tiver mudado a própria senha pela última vez há 30 dias, a senha desse usuário ainda não terá expirado. Depois de 60 dias, o usuário receberá um pedido para alterar a senha na próxima vez que tentar fazer login.

Definir os requisitos da senha

Antes de começar: revise as informações em Se você estiver usando o SSO (anteriormente nesta página).

  1. No Google Admin Console, acesse Menu e depois Segurança e depois Autenticação e depois Gerenciamento de senhas.

    Exige o privilégio de admin Configurações de segurança.

  2. À esquerda, selecione a unidade organizacional onde você quer definir as políticas de senha.

    Para incluir todos os usuários, selecione a unidade organizacional de nível mais alto. Você também pode selecionar outra organização e definir as configurações para os usuários dela. A princípio, uma empresa herda as configurações da organização mãe.

  3. Na seçãoNível de segurança, marque a caixa Aplicar senha forte.

    Saiba mais sobre senhas fortes.

  4. Na seção Tamanho, digite um tamanho mínimo e máximo para as senhas dos seus usuários. A senha pode ter entre 8 e 100 caracteres.

  5. (Opcional) Para forçar os usuários a alterar a senha, marque a caixa Aplicar a política de senha no próximo login.

    Se você não marcar essa opção, os usuários com senhas fracas poderão acessar os Serviços do Google da sua organização até que decidam alterar a própria senha.

  6. (Opcional) Para permitir que os usuários reutilizem uma senha antiga, marque a caixa Permitir a reutilização da senha.

    Não é possível definir o histórico de senhas que o Google analisa para impedir a reutilização.

  7. Na seção Validade, selecione quando as senhas vão expirar.

    Observação: se uma conta de usuário tiver adicionado um usuário delegado, esse delegado ainda poderá acessar a conta, mesmo que a senha dela tenha expirado. Para impedir o acesso contínuo, redefina a senha da conta ou remova o usuário delegado.

  8. Clique em Substituir para manter a configuração atual, mesmo que a configuração mãe seja alterada.

  9. Se o status da unidade organizacional já foi Modificado, escolha uma opção:

    • Herdar: reverte para a configuração mãe
    • Salvar: salva a nova configuração (mesmo se a configuração mãe for alterada)

  10. Dê dicas para seus usuários criarem uma senha forte.

Monitorar o nível de segurança das senhas dos seus usuários

  1. No Google Admin Console, acesse Menu e depois Relatórios e depois Relatórios de usuário e depois Contas.

    Exige o privilégio de administrador Relatórios.

  2. (Opcional) Para conferir as informações de nível de segurança da senha no formato de gráfico, acesse Relatórios e depois Relatórios de apps e depois Contas. Saiba mais sobre os Relatórios de contas.