Aplicar e monitorar requisitos de senhas para usuários

Esta página é destinada a administradores que gerenciam contas de outros usuários em uma organização. Para redefinir a senha da sua conta, clique aqui.

Como admin, você pode aplicar requisitos de senhas para proteger as Contas do Google gerenciadas dos usuários e atender às demandas de compliance da sua organização. Também é possível monitorar o nível de segurança das senhas para identificar aquelas que são fracas.

Importante: se você tiver um perfil de SSO legado que esteja ativado para sua organização, as políticas de senha não serão válidas para nenhum dos seus usuários. Para aplicar essas políticas e garantir que os usuários atendam a requisitos de segurança específicos, desative o perfil legado e migre para os perfis de SSO. Saiba mais em Migrar de SSO legado para perfis de SSO.

Ajudar a proteger as contas de usuário

  • Exija uma senha forte: você pode exigir que os usuários alterem senhas fracas ou utilizem senhas com um determinado número de caracteres.
  • Impeça que os usuários reutilizem senhas antigas.
  • Explique a importância das senhas fortes: para ajudar os usuários a criar senhas fortes, compartilhe estas dicas.

Antes de começar

Quando as políticas de senha não são válidas

  • O Google não pode aplicar requisitos de nível de segurança e tamanho a senhas definidas usando um método de hash (por exemplo, senhas criadas usando a ferramenta de upload de usuários em massa, a API Directory ou ferramentas de sincronização, como o Password Sync ou o Google Cloud Directory Sync). Para mais detalhes, acesse o SDK Admin do Google Workspace ou confira o artigo sobre o Password Sync.
  • Os requisitos de nível de segurança e tamanho da senha não são válidos para nenhuma senha de usuário que você redefina manualmente. Se você redefinir uma senha manualmente, marque a caixa Pedir para o usuário alterar a senha ao fazer login para o usuário em questão.
  • As políticas de senha que você configura não são válidas quando os usuários fazem a autenticação por um provedor de identidade (IdP) de terceiros usando SAML ou OIDC.

O que torna uma senha forte

Se você aplica senhas fortes, o Google usa um algoritmo de classificação do nível de segurança da senha para garantir que ela:

  • tenha um alto nível de aleatoriedade, chamado de entropia de senha, que você pode conseguir usando uma string longa com caracteres de diferentes tipos, como letras maiúsculas, letras minúsculas, números e caracteres especiais;

    Observação: uma senha forte não precisa ter um número específico de caracteres de um determinado tipo.

  • não seja uma senha fraca muito utilizada, como "123456" ou "senha123";
  • não seja fácil de adivinhar, como palavras ou frases simples ou padrões em que a senha é igual ao nome de usuário;
  • não esteja sabidamente comprometida, isto é, não esteja em um banco de dados de contas violadas.

Como funciona a validade de senhas

A validade de senhas é desativada por padrão porque as pesquisas mostraram que isso tem pouco impacto positivo na segurança. Você pode definir a validade das senhas dos usuários (como 90 ou 180 dias) se precisar atender a algum requisito de compliance.

A validade de senhas é aplicada apenas para logins em aplicativos baseados em navegador. Ela não é aplicada a usuários que usam apenas smartphones ou que fizeram login usando apps autenticados por OAuth.

Alertas de senha

Se você definir um período de validade para as senhas, os usuários receberão alertas pop-up (mas não lembretes por e-mail) nos Serviços do Google, como Gmail e Agenda, 30 dias antes da data de validade das senhas. Os usuários podem alterar a senha ou fechar o alerta. Se um usuário não alterar a senha, o alerta aparecerá na próxima vez que ele fizer login na própria conta. Quando o usuário fecha o alerta 3 vezes, ele para de ser exibido. No entanto, depois que a senha expirar, o usuário precisará alterá-la no próximo login.

Quando os usuários precisam alterar a própria senha

Quando você configura uma política de validade de senhas pela primeira vez, é possível que alguns usuários precisem alterar a própria senha imediatamente. Por exemplo:

  • Se você configurar uma política de validade de 90 dias e um usuário da sua organização tiver mudado a própria senha pela última vez há 100 dias, a senha desse usuário vai expirar assim que você definir a política. O usuário precisará alterar a senha na próxima vez que tentar fazer login na própria conta.
  • Se você configurar uma política de validade de 90 dias e um usuário da sua organização tiver mudado a própria senha pela última vez há 30 dias, a senha desse usuário ainda não terá expirado. Depois de 60 dias, o usuário receberá um pedido para alterar a senha na próxima vez que tentar fazer login.

Definir requisitos de senhas

  1. No Google Admin Console, acesse Menu e depois Segurança e depoisAutenticação e depoisGerenciamento de senha.

    Exige o privilégio de administrador Configurações de segurança.

  2. À esquerda, selecione a unidade organizacional onde você quer definir as políticas de senha.

    Para incluir todos os usuários, selecione a unidade organizacional de nível mais alto. Você também pode selecionar outra organização e definir as configurações para os usuários dela. A princípio, uma empresa herda as configurações da organização mãe.

  3. Na seçãoNível de segurança, marque a caixa Aplicar senha forte.

    Saiba mais sobre senhas fortes.

  4. Na seção Tamanho, digite um tamanho mínimo e máximo para as senhas dos seus usuários. A senha pode ter entre oito e cem caracteres.

  5. (Opcional) Para forçar os usuários a alterar a senha, marque a caixa Aplicar a política de senha no próximo login.

    Se você não marcar essa opção, os usuários com senhas fracas poderão acessar os Serviços do Google da sua organização até que decidam alterar a própria senha.

  6. (Opcional) Para permitir que os usuários reutilizem uma senha antiga, marque a caixa Permitir a reutilização da senha.

    Não é possível definir o histórico de senhas que o Google analisa para impedir a reutilização.

  7. Na seção Validade, selecione o período de validade das senhas.

    Observação: se uma conta de usuário tiver adicionado um usuário delegado, o usuário delegado ainda poderá acessar a conta, mesmo que a senha da conta tenha expirado. Para impedir o acesso contínuo, redefina a senha da conta ou remova esse usuário.

  8. Clique em Substituir para manter a configuração atual, mesmo que a configuração mãe seja alterada.

  9. Se o status da unidade organizacional já for Modificado, escolha uma destas opções:

    • Herdar: reverte para a configuração mãe
    • Salvar: salva a nova configuração (mesmo se a configuração mãe for alterada)

  10. Dê dicas para seus usuários criarem uma senha forte.

Monitorar o nível de segurança das senhas dos seus usuários

  1. No Google Admin Console, acesse Menu e depois Relatórios e depoisRelatórios de usuário e depoisContas.

    Exige o privilégio de administrador Relatórios.

  2. (Opcional) para conferir as informações de nível de segurança da senha no formato de gráfico, acesse Relatórios e depoisRelatórios de apps e depoisContas. Saiba mais sobre os relatórios de contas.