Naujos NIST slaptažodžio taisyklės – ką reikia žinoti – „Naked Security“

Tai ne paslaptis. Mes tikrai blogai mokame slaptažodžius. Nepaisant to, jie netrukus neišnyks.

Kadangi tiek daug svetainių ir internetinių programų reikalauja skubėti susikurti paskyras ir sugalvoti slaptažodžius, nenuostabu, kad daugelis iš mūsų stengiasi laikytis vadinamųjų slaptažodžių saugumo ekspertų patarimų.

Tuo pačiu metu slaptažodžių nulaužimui reikalinga skaičiavimo galia tik didėja ir didėja.

Gerai, todėl pradėjau nuo blogų naujienų, tačiau šis debesis turi sidabrinį pamušalą.

Tai neturi būti taip sunku, kaip mes tai darome, ir vyriausybė yra čia, kad padėtų.

Tiesa, Jungtinių Valstijų nacionalinis standartų ir technologijų institutas (NIST) formuluoja naujas slaptažodžių politikos gaires, kurios bus naudojamos visoje JAV vyriausybėje (viešajame sektoriuje).

Kodėl tai svarbu? Nes politika yra protinga ir puikus šablonas, kurį visi galime naudoti savo organizacijose ir programų kūrimo programose.

Visi, kuriuos domina specifikacijos projektas Specialioji publikacija 800-63-3: Skaitmeninio autentifikavimo gairės gali jį peržiūrėti, kai jis vystosi „Github“ arba labiau prieinama forma NIST svetainėje.

Siekdamas žmogiškesnio požiūrio, saugumo tyrėjas Jimas Fentonas šio mėnesio pradžioje pristatymą pristatė Las Vegaso „PasswordsCon“ renginyje, kuriame gražiai apibendrinti pokyčiai.

Kas naujo ?

Kokie yra pagrindiniai dabartinės išminties apie „saugius slaptažodžius“ ir „NIST“ dabar rekomenduojamų skirtumų skirtumai?

Kai kurias rekomendacijas tikriausiai galite atspėti; kiti gali jus nustebinti.

Pradėsime nuo dalykų, kuriuos turėtumėte padaryti.

Palanku vartotojui. Pirmiausia sukurkite savo slaptažodžių politiką draugiškas vartotojui ir įdėti tikrintojui tenkanti našta kai įmanoma.

Kitaip tariant, turime nustoti prašyti vartotojų atlikti veiksmus, kurie iš tikrųjų nepagerina saugumo.

Daugybė mūsų vadinamosios „geriausios praktikos“ veiksmingumo tyrimų atlikta, ir paaiškėja, kad jie nepakankamai padeda verti sukeltą skausmą.

Dydis rūpi. Bent jau taip yra kalbant apie slaptažodžius. Naujose NIST gairėse sakoma, kad jums reikia mažiausiai 8 simbolių. (Tai nėra maksimalus minimumas – galite padidinti minimalų slaptažodžio ilgį jautresnėms paskyroms.)

Dar geriau, NIST sako, kad turėtumėte leisti maksimalų ilgį mažiausiai 64, taigi ne daugiau „Atsiprašome, jūsų slaptažodis negali būti ilgesnis nei 16 simbolių“.

Programos turi leisti naudoti visus spausdinamus ASCII simbolius, įskaitant tarpus, ir turėtų priimti visus UNICODE simbolius, įskaitant jaustukus!

Tai puikus patarimas. Turint omenyje, kad saugant slaptažodžius reikia maišyti ir sūdyti (o tai paverčia juos fiksuoto ilgio atvaizdais), neturėtų būti nereikalingų ilgio apribojimų.

Mes dažnai patariame žmonėms naudoti slaptafrazes, todėl jiems turėtų būti leidžiama naudoti visus įprastus skyrybos ženklus ir bet kokią kalbą, kad pagerėtų patogumas ir padidėtų įvairovė.

Patikrinkite naujus slaptažodžius pagal žinomų ir blogų pasirinkimų žodyną. Nenorite leisti žmonėms naudotis ChangeMe, thisisapassword, yankees, ir taip toliau.

Reikia atlikti daugiau tyrimų, kaip pasirinkti ir naudoti „draudžiamų sąrašą“, tačiau Jimas Fentonas mano, kad 100 000 įrašų yra geras atspirties taškas.

Negalima

Dabar apie visus dalykus, kurių neturėtumėte daryti.

Jokių kompozicijos taisyklių. Tai reiškia, kad nebėra taisyklių, kurios priverstų naudoti tam tikrus simbolius ar derinius, pvz., Tas bauginančias sąlygas kai kuriuose slaptažodžio nustatymo iš naujo puslapiuose, kuriuose sakoma: „Jūsų slaptažodyje turi būti viena mažoji raidė, viena didžioji raidė, vienas skaičius, keturi simboliai, bet ne &%#@_ir bent vieno astronauto pavardė “.

Leiskite žmonėms laisvai rinktis ir skatinkite ilgesnes frazes, o ne sunkiai įsimenamus slaptažodžius ar iliuzinį sudėtingumą, pvz., pA55w+rd.

Nėra jokių slaptažodžio užuominų. Nė vienas. Jei norėčiau, kad žmonės turėtų daugiau galimybių atspėti mano slaptažodį, tai parašyčiau ant užrašo, pridėto prie mano ekrano.

Žmonės nustato slaptažodžio užuominas kaip rhymes with assword kai leidžiate užuominas. (Tikrai! Turime keletą nuostabių pavyzdžių iš „Adobe“ 2013 m. Slaptažodžio pažeidimo.)

Žiniomis pagrįstas autentifikavimas (KBA) neveikia. KBA yra tada, kai svetainėje rašoma: „Pasirinkite iš klausimų sąrašo – kur lankėte vidurinę mokyklą? Kokia tavo mėgstamiausia futbolo komanda? – ir pasakykite mums atsakymą, jei mums kada nors reikės patikrinti, ar tai jūs “.

Nebegalioja be priežasties galiojimo laikas. Tai mano mėgstamiausias patarimas: jei norime, kad vartotojai laikytųsi ir pasirinktų ilgus, sunkiai atspėjamus slaptažodžius, neturėtume priversti juos be reikalo tuos slaptažodžius keisti.

Vienintelis laikas, kai slaptažodžiai turėtų būti atstatyti, yra tada, kai jie yra pamiršti, jei jie buvo sukčiaujami, arba jei manote (ar žinote), kad jūsų slaptažodžių duomenų bazė buvo pavogta ir todėl gali būti užpulta nepastebimos jėgos atakos.

Yra dar …

NIST taip pat teikia keletą kitų labai vertingų patarimų.

Visi slaptažodžiai turi būti maišomi, sūdomi ir ištempiami, kaip paaiškiname savo straipsnyje Kaip saugiai saugoti savo vartotojų slaptažodį.

Jums reikia 32 ar daugiau bitų druskos, raktinio HMAC maišos naudojant SHA-1, SHA-2 arba SHA-3 ir „tempimo“ algoritmo PBKDF2, kuriame yra bent 10 000 pakartojimų.

Slaptažodžių maišos mėgėjams tikriausiai kyla klausimas: „O kaip yra su„ bcrypt “ir„ scrypt “? Savo straipsnyje „Kaip rašyti“ mes išvardijome abu šiuos dalykus kaip galimybes, tačiau parašėme: „Čia mes rekomenduosime PBKDF2, nes jis pagrįstas maišos primityvais, kurie atitinka daugelį nacionalinių ir tarptautinių standartų“. NIST laikėsi tų pačių samprotavimų.

Be to, tai yra didelis pokytis: SMS nebereikėtų naudoti atliekant dviejų veiksnių autentifikavimą (2FA).

Yra daug problemų, susijusių su SMS pristatymu, įskaitant kenkėjiškas programas, kurios gali nukreipti tekstinius pranešimus; išpuoliai prieš mobiliųjų telefonų tinklą (pvz., vadinamasis SS7 įsilaužimas); ir mobiliojo telefono numerio perkeliamumas.

Telefono prievadai, dar vadinami SIM mainais, yra tai, kur jūsų mobiliojo ryšio paslaugų teikėjas išduoda jums naują SIM kortelę, kad pakeistumėte pamestą, sugadintą, pavogtą arba netinkamo dydžio jūsų naują telefoną.

Deja, nusikaltėliams yra pernelyg lengva įtikinti mobiliųjų telefonų parduotuvę perkelti kieno nors telefono numerį į naują SIM kortelę ir užgrobti visus jų tekstinius pranešimus.

Kas toliau?

Tai tik ledkalnio viršūnė, bet, žinoma, keletas svarbiausių bitų.

Slaptažodžių politika turi būti tobulinama, kai sužinome daugiau apie tai, kaip žmonės jas naudoja ir jomis piktnaudžiauja.

Deja, buvo daugiau nei pakankamai pažeidimų, kad galėtume pamatyti tam tikros rūšies politikos poveikį, pavyzdžiui, aukščiau pateiktus 2013 m. „Adobe“ įsilaužimo įrodymus apie slaptažodžių užuominų pavojų.

NIST tikslas yra priversti mus patikimai apsisaugoti be nereikalingo sudėtingumo, nes sudėtingumas veikia prieš saugumą.

Kokios jūsų mintys apie šiuos pokyčius? Ar juos įgyvendinsite savo organizacijai? Pasakykite mums komentaruose.

Sužinokite daugiau apie slaptažodžio mitus

(Aukščiau esantis garso grotuvas neveikia? Atsisiųskite MP3, klausykite „Soundcloud“ arba pasiekite per „iTunes“.)

Parašykite komentarą

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *

Previous post Ką daryti, jei viskas, ką žinojai apie vaikų drausminimą, buvo neteisinga? – Motina Jones
Next post Kas yra ketozė, kokia nauda ir ar ji saugi? – dietos daktaras