Preprosto varno: lažje spreminjanje zahtev za geslo

Avtor: Roger Morrison
Datum Ustvarjanja: 24 September 2021
Datum Posodobitve: 1 Julij. 2024
Anonim
High Density 2022
Video.: High Density 2022

Vsebina



Vir: oblikovalec491 / iStockphoto

Odvzem:

Nova pravila NIST uporabnikom olajšajo vzdih zaradi pravilnikov o geslu

Pri ščuki se dogajajo velike spremembe, ki bi jih lahko imeli tako sistemski skrbniki kot redni uporabniki - povezani so s protokoli z gesli.

Gesla so življenjsko dejstvo - večina od nas jih ima veliko preveč. Ne moremo si jih vseh zapomniti in skoraj ne obstaja način, da jih spremljamo, če jih ne začnemo zapisovati. Druga možnost je, da si preprosto zapomnite gesla, ki jih redno uporabljate, in prosite za ponastavitev gesla, ko morate dostopati do drugih mest - vendar je to veliko ponastavitev gesla! Strokovnjaki, kot je Cormac Herley, Microsoftov raziskovalec, so se pogovarjali o ogromnih časovnih stroških ponastavitve gesla in o tem, kako lahko velika podjetja vsako leto stanejo milijone dolarjev. Uporabnike stane tudi več milijonov minut, saj kljukajo po tipkovnici, ali poskušajo pogledati osebne podatke, se prijavijo na storitev ali kupijo nekaj v trgovini za e-trgovino.


Kaj torej lahko storimo? In kateri so najbolj ovirajoči in nadležni vidiki uporabe gesla, zaradi katerih želimo svoje računalnike in naprave pognati skozi okno?

Nova poročila kažejo, da se bomo kot družba morda znebili nekaterih teh nadležnih težav z geslom. Z novimi raziskavami kibernetske varnosti bomo verjetno napredovali čez nekatere trenutne varnostne standarde, ki so nam v zadnjih nekaj letih povzročili toliko stresa.

Članek v reviji Wall Street Journal sega tako daleč, da je razkril kolega, ki stoji za nekaterimi od teh pravil, in pojasnil, zakaj jih morda ne bodo več potrebovali.

7. avgusta 2017 je pisatelj WSJ Robert McMillan dostavil bombo v obliki preiskovalnega dela Billu Burrju, avtorju dokumenta iz leta 2003, ki je na koncu imel velike učinke na standarde korporativnega gesla. Burr je delal na Nacionalnem inštitutu za standarde in tehnologijo, zvezni agenciji za ocenjevanje tehnoloških inovacij v ZDA.

"Človek, ki je napisal knjigo o upravljanju z geslom, ima priznanje," začne del McMilanovega dela. "Odpihnil ga je."


Od tam naprej bo članek opisal dva žuželka digitalne dobe, ki sta zapletila naše življenje. Prva je tista oteževalna zahteva za vključitev posebnih znakov v geslo. Druga je pogosta menjava gesla.

Brez napak, brez stresa - vaš korak za korakom vodnik za ustvarjanje programske opreme, ki spreminja življenje, ne da bi vam uničila življenje

Ne morete izboljšati svojih programskih sposobnosti, če nikogar ne skrbi za kakovost programske opreme.

Obe teh praks trajata veliko časa, ko govorite o desetinah posameznih gesel. Prvi pa je tudi klasičen primer "slabega vmesnika" - preprosto ni intuitiven in ljudi sili v reševanje.

Kognitivna disonanca in miselnost čred

Večina nas lahko nekako »čuti«, kako ti standardi gesla povzročajo zmedo v naših možganih. Soočeni z zelo abstraktno izbiro, kako v geslo vključiti številko in poseben znak, ki je sicer abecedni niz, bomo mnogi med nami preprosto izpustili črko "1!", Kar v resnici ne povzroča helikopterjev. V bistvu, bolj kot izberemo enake splošne odločitve, lažje bomo pokvarili gesla. (Več o hekerjih v tem, ali varnostne raziskave dejansko pomagajo hekerjem?)

Poleg tega dodajte še zahtevo, da uporabniki vsak mesec ali vsake tri mesece posodabljajo svoja gesla.

Razlog za to zahtevo je, da je treba staro geslo spremeniti v nekaj povsem drugega - vendar prepogosto ne deluje tako. Pri poskusu, da se spopade z dodatnim možganskim udarcem spomina na povsem novo geslo, bo uporabnik vzel staro geslo in spremenil eno črko ali številko. Zdaj je staro geslo glavno "sporočilo" za novo - postane obveznost.

Novi standardi NIST: Kaj je znotraj?

Nova pravila, ki jih je razvil NIST, bodo vse to spremenila.

Posebna publikacija 800-63-3 je posodobitev izvirne različice, ki uresničuje veliko tistega, kar nekateri strokovnjaki pravijo, da bi ga bilo treba izvajati ves čas.

Najprej odvzame tako pravila sestave, kot je, da morate v geslo vnesti klicaj in zahtevo po rutinskih potekih.

NIST 800-63-3 dodaja osredotočenost na "realistične" varnostne prakse.

Nova pravila poudarjajo večfaktorno avtentikacijo, ki jo pisci opisujejo kot mešanje gesla (nekaj, kar se spomnite) s fizičnim ključem ali tipkovnico (nekaj, kar imate) ali koščkom biometričnih podatkov (nekaj, kar je del vas). Drugi predlogi vključujejo uporabo kriptografskih ključev in potrebo po sprejetju vseh sposobnih ASCII znakov, pa tudi največjo dolžino 64 znakov in minimalno dolžino osem. (Preberite več o biometriji v tem, kako lahko pasivna biometrija pomaga pri varnosti podatkov v IT.)

V javni predstavitvi diaprojekcije z naslovom "Za boljše zahteve po geslu" strokovnjak za varnostno raziskovanje Jim Fenton podrobno predstavi mnoge od teh popravkov kot "ti moraš biti" in "ne boš opazil", prav tako pa pojasni, kako NIST priporoča ustvarjanje slovarja enostavno dostopnih gesel to bi bilo treba samodejno prepovedati.

"Če ni enostavno, uporabniki varajo," piše Fenton in preučuje nekaj pravil zdravega zdravja, ki bodo šibkim geslom otežila ogrožanje omrežja.

Strokovnjaki tudi predlagajo, da uporabniki pomislijo na "geslo" ali niz besed za geslo, ne pa na žličke alfanumerične juhe, ki smo jih usposobljeni.

Zakaj je boljša gesla?

Obstaja veliko načinov, kako razložiti, zakaj bo dolga gesla, kot je "osel s skupnim jajčnim kolesom", močnejša izbira gesla kot nekaj takega, kot je "MisterA1!" - najpreprostejši pa ima zelo razumljivo metriko: dolžina.

Ena od zamisli, ki je v središču novih predpisov NIST, je, da smo strategijo gesla na nek način opirali na to, kar je smiselno za ljudi, hkrati pa ne upoštevamo, kaj je smiselno za stroje.

Nekaj ​​naključnih znakov lahko ogrozi človeške hekerje, vendar računalnikov verjetno ne bo enostavno premakniti z dodatnim številom ali znakom na koncu gesla. To je zato, ker računalniki, za razliko od ljudi, ne berejo gesla v pomenu. Preprosto jih preberejo po vrvicah.

Napad z grobo silo je, ko računalnik preide vse možne permutacije likov, da bi se skušal »vdreti«, tako da poišče pravo kombinacijo, tisto, ki jo je prvotno izbral uporabnik. Ko se ti napadi zgodijo, je pomembno, kako zapleteno je vaše geslo - in vsak dodaten znak doda ogromno, skoraj eksponentno velikost zapletenosti.

Glede na to bo geslo eksponentno močnejše - čeprav človeškemu očesu "izgleda" lažje.

Nove smernice NIST s širjenjem največje dolžine gesla na 64 znakov uporabnikom zagotavljajo moč gesla, ki jo potrebujejo, ne da bi vsiljevali veliko kontraintutivnih pravil.

Brez namigov!

Številni skrbniki se bodo radi znebili posebnih zahtev glede znakov in vseh delovnih, intenzivnih posodobitev gesla, vendar obstaja še ena funkcija, ki sekiro dobi tudi, ko profesionalci preberejo nove smernice NIST.

Mnogi sistemi prosijo nove uporabnike, naj med vkrcanjem v bazo dodajo dejstva o sebi: ideja je, da jih lahko pozneje, če pozabijo svoje geslo, sistem potrdi na podlagi neke misli o njihovi preteklosti, ki je nihče drug ne bi poznal. Na primer: Kateri je bil vaš prvi avto? Kako se je imenovala tvoja prva domača žival? Kako je dekliško ime vaše matere?

To je še en tisti trend, ki se je mnogim od nas počutil neprijetno. Včasih se vprašanja zdijo vsiljiva. Tudi varnostno skeptiki bodo opozorili, da je med nami veliko dobrih ljudi, ki so prvič vozili Chevrolet ali pa so v mladostni kondiciji poimenovali svojega prvega psa "Spot."

Potem je na voljo obremenitev vzdrževanja baze in prilagajanja odgovorov, kadar so potrebni.

Varno je reči, da ne bo preveč ljudi pustilo solze zaradi izginotja funkcij "namig za geslo", kadar obstajajo boljše možnosti za resnično varno delovanje uporabnikov.

Ne, to ni vafljeva hiša! Soljenje, rezanje in raztezanje

V zvezi z drugimi novostmi strokovnjaki zdaj priporočajo tudi "soljenje" gesel, kar vključuje ustvarjanje naključnega niza znakov pred postopkom "hashing", ki preslika enega nabora podatkov v drugega, s čimer se spremeni geslo in oteži preboj. Obstaja tudi postopek, imenovan "raztezanje", ki je zasnovan posebej za preprečevanje napadov brutalnih sil, deloma tudi s tem, da je postopek ocenjevanja počasnejši.

Vse te funkcije imajo skupno, da se izvajajo v upravnem območju, ne na dosegu uporabnika. Povprečen uporabnik noče imeti nobene zveze s tovrstnimi postopkovnimi stvarmi - samo želi dobiti dostop in se ukvarjati s tem, kar je treba storiti v omrežnem sistemu, pa naj gre za opravljanje delovnih nalog, povezovanje s prijatelji ali nakup ali prodajo česa na spletu. Torej, če odvzamete pravila za geslo na strani stranke in naredite veliko uprav za varnost, lahko podjetja in druge zainteresirane strani resnično izboljšajo uporabniško izkušnjo.

To je ključna točka, saj gre za izboljšanje uporabniške izkušnje veliko novih tehnoloških inovacij. Prišli smo do točke, ko smo iz računalnikov, pametnih telefonov in drugih naprav izrinili veliko funkcionalnosti - veliko napredka, ki ga bomo dosegli v prihodnjih letih, je lažje opravljanje virtualnih nalog in znebiti nerodnosti. izkušnje: na primer spletna stran, ki ni prva za mobilne naprave, bleščeč vmesnik, slaba življenjska doba baterije ... ali dolgočasno prijava! Tukaj prihaja novost z gesli. Če se vrnete k ideji o večfaktorski avtentikaciji, bo verjetno z biometriko odklenjeno še več enostavnosti uporabe naprav - zakaj se dotaknite in vtipkajte dolga gesla, ko lahko v napravi preprosto pokažete, kdo ste sta s prstom?

Praktična izvedba: ostanejo nekateri izzivi

Kot smo že povedali, smo zaenkrat obdržali gesla in PIN-ove. Na primer, nekateri novejši operacijski sistemi so prešli s štirimestne PIN na šestštevilčno kodo PIN, zaradi česar so mnogi od nas toliko bolj počasni pri žrebu naših naprav.

Ena od težav s pristopom »geslo«, ki ga priporoča NIST, je, da še vedno prihaja do ponastavitve gesla (kot je razpravljeno v tej temi o Naked Security). Ljudje bodo še vedno pozabili gesla. Nekateri menijo, da bo IT-ljudem morda težje izdati nova gesla, ko so originalna veliko daljša.

Vendar pa lahko tu obstaja nekaj potenciala, ko gre za večfaktorno overjanje. Biometrike še niso zajeli, skoraj vsi pa imajo mobilni telefon. Veliko spletnih bančnih sistemov in drugih sistemov uporablja SMS za preverjanje pristnosti uporabnikov. To bi lahko bil preprost način za preverjanje računov, kjer je bilo geslo izgubljeno ali pozabljeno. Kot je navedeno zgoraj, je tudi ključni način za okrepitev gesla na splošno.

Vzeti za seboj

Če ste skrbnik omrežja, kaj vam sporočajo nova pravila NIST?

Zdi se, da zvezna agencija menedžerjem sporoča: sprostite se. Uporabniki naj naredijo intuitivno, z boljšim šifriranjem, slovarjem prepovedanih nizov in daljšim poljem za vnos z večstranskostjo. Ne učite jih, da si gesla pošiljajo z zvezdicami in z natančnimi posebnimi znaki. In ne dajte jim, da vsakih nekaj tednov znova oblikujejo celoten postopek.

Vse to bo postavilo določeno platformo vitko in slabše. Že samo odstranjevanje namigov o geslu odvzame veliko zbirko podatkov z vsemi potrebami po virih. Nova pravila NIST postavljajo varnost gesla tja, kamor spada: iz rok idiosinkratskega uporabnika in v nejasno mesto, kjer tehnične funkcije omogočajo včerajšnjo zgodovino lahkih napadov. Vsi nam omogočajo nov ohlapen pristop k temu, kar je bil preizkušen postopek: oblikovanje edinstvenih majhnih besed in stavkov za vsak kotiček našega digitalnega življenja. To je še en korak do sveta bolj intuitivnih uporabniških vmesnikov - novega in izboljšanega digitalnega sveta, kjer se tisto, kar počnemo, zdi bolj naravno in manj zmedeno.