Lihtsalt turvaline: paroolinõuete muutmine on kasutajatel lihtsam

Autor: Roger Morrison
Loomise Kuupäev: 24 September 2021
Värskenduse Kuupäev: 1 Juuli 2024
Anonim
Lihtsalt turvaline: paroolinõuete muutmine on kasutajatel lihtsam - Tehnoloogia
Lihtsalt turvaline: paroolinõuete muutmine on kasutajatel lihtsam - Tehnoloogia

Sisu



Allikas: designer491 / iStockphoto

Ära võtma:

Uued NIST-i reeglid annavad kasutajatele paroolipoliitika osas kergenduse

Haugi taga on suured muutused, mida võivad armastada nii süsteemi administraatorid kui ka tavakasutajad - need on seotud parooliprotokollidega.

Paroolid on elu tõsiasi - enamikul meist on neid liiga palju. Me ei mäleta neid kõiki ja vaevalt on meil võimalik neid jälgida, kui me ei hakka neid kirja panema. Teine võimalus on lihtsalt korrapäraselt kasutatavate paroolide meeldejätmine ja paroolide lähtestamise küsimine, kui peate juurde pääsema teistele saitidele, kuid paroolide lähtestamine on palju! Eksperdid, nagu Microsofti teadlane Cormac Herley, on jõudnud rekordini, et räägivad paroolide lähtestamise tohututest ajakuludest ja sellest, kuidas see võib suurtele ettevõtetele maksta igal aastal miljoneid dollareid. See maksab kasutajatele ka miljoneid minuteid, klappides klaviatuurilt ära, kas nad proovivad vaadata isikuandmeid, registreeruda teenuse saamiseks või osta midagi e-poe poest.


Mida me siis teha saame? Ja mis on paroolikasutuse kõige takistavamad ja tüütumad aspektid, mis panevad meid tahtma oma arvutid ja seadmed aknast välja visata?

Uued teated näitavad, et ühiskonnana võime me vabaneda neist tüütutest parooliprobleemidest. Uute küberturvalisuse uuringutega jõuame tõenäoliselt kaugemale mõnedest praegustest turvastandarditest, mis on meile viimastel aastatel nii palju stressi tekitanud.

Wall Street Journali artikkel ulatub nii mõnegi nende reeglite taga olevate kaaslaste esiletoomiseni ja annab oma panuse, miks neid võib-olla enam vaja pole.

7. augustil 2017 edastas WSJ-i kirjanik Robert McMillan uuritava teose vormis pommi Bill Burri kohta, kes on 2003. aasta artikli autor, millel oli suur mõju ettevõtte paroolistandarditele. Burr töötas Riiklikus Standardite ja Tehnoloogia Instituudis, föderaalameti ülesandeks oli hinnata USA tehnoloogilisi uuendusi.


"Mees, kes kirjutas paroolihalduse raamatu, peab tegema ülestunnistuse," alustab McMillani tüki juht. "Ta puhus selle ära."

Sealt edasi kirjeldatakse artiklis kahte digitaalajastu viga, mis on meie elu keerukamaks teinud. Esimene neist on raskendavad nõuded paroolis erimärkide lisamiseks. Teine on sagedased paroolivahetused.

Pole vigu ega stressi - teie samm-sammuline juhend elumuutva tarkvara loomiseks ilma oma elu hävitamata

Programmeerimisoskust ei saa parandada, kui keegi tarkvara kvaliteedist ei hooli.

Mõlemad praktikad võtavad palju aega, kui räägime kümnetest individuaalsetest paroolidest. Esimene neist on aga ka klassikaline halva liidese juhtum - see pole lihtsalt intuitiivne ja sunnib inimesi ümber minema.

Kognitiivne dissonants ja karja mentaliteet

Enamik meist suudab omamoodi tunnetada, kuidas need paroolistandardid meie ajus segadust tekitavad. Seistes silmitsi väga abstraktse valikuga, kuidas parooli lisada number ja erimärk, mis muidu on tähestikuline string, kriipsutavad paljud meist lihtsalt numbri „1!”, Mis ei kipugi häkkerite tõrjumiseks. Tegelikult, mida rohkem me valime samu üldisi valikuid, seda hõlpsam on meie paroolide purustamine. (Lisateave häkkerite kohta jaotises Kas turbeuuringud aitavad häkkereid tegelikult?)

Lisage lisaks sellele nõue, et kasutajad uuendaksid oma paroole iga kuu või umbes iga kolme kuu tagant.

Selle nõude põhjus on see, et vana parool tuleks muuta millekski erinevaks - kuid liiga sageli see just nii ei toimi. Proovides hakkama saada täiesti uue parooli meeldejätmisega kaasneva ajupeksmisega, võtab kasutaja vana parooli ja muudab ühe tähe või numbri. Nüüd on vana parool uue jaoks oluline „käsk” - sellest saab vastutus.

Uued NIST-i standardid: mis on sisemuses?

NISTi väljatöötatavad uued reeglid muudavad seda kõike.

Eriväljaanne 800-63-3 on algse versiooni värskendus, mis täidab paljuski seda, mida mõned eksperdid väidavad, et see oleks tulnud kogu aeg rakendada.

Esiteks võtab see ära nii kompositsioonireeglid, nagu näiteks hüüumärgi sisestamine parooli, kui ka rutiinse aegumise nõude.

See, mida NIST 800-63-3 lisab, on keskendumine “realistlikele” turbepraktikatele.

Uued reeglid rõhutavad mitmefaktorilist autentimist, mille autorid kirjeldavad salasõna (midagi, mida mäletate) segamist füüsilise võtme või võtmekaardiga (midagi, mis teil on) või biomeetriliste andmete tükiga (midagi, mis on teie osa). Muud soovitused hõlmavad krüptograafiliste võtmete kasutamist ja kõigi aktsepteeritavate ASCII-tähemärkide aktsepteerimise vajadust, samuti maksimaalset pikkust 64 tähemärki ja minimaalset kaheksa pikkust. (Lisateavet biomeetria kohta leiate teemast, kuidas passiivne biomeetria võib aidata IT-andmete turvalisuses.)

Turvalisuse uuringute ekspert Jim Fenton kirjeldab avalikus slaidiseansi esitluses pealkirjaga „Parimate paremate paroolinõuete poole” paljusid nendest parandustest: „sa pead pahandama” ja „sa pead tegema märkusi”, selgitades ühtlasi, kuidas NIST soovitab luua hõlpsasti häkkeritavate paroolide sõnastiku. see peaks olema automaatselt keelatud.

"Kui see pole lihtne, petavad kasutajad," kirjutab Fenton, uurides mõnda tavamõtte reeglit, mis raskendab nõrkade paroolide kasutamist võrgu ohustamisel.

Samuti soovitavad eksperdid kasutajatel mõelda parooli jaoks parooliks parooli, mitte tähtnumbrilise supi, mida me oleme koolitatud pakkuma.

Miks on parool parem?

On palju viise, kuidas seletada, miks pikk parool, nagu “munaraku täiskompleks”, on tugevam paroolivalik kui “MisterA1!” -, aga kõige lihtsam on teha väga arusaadavat mõõdikut: pikkus.

Uute NIST-i määruste keskmes on üks mõte, et mõnes mõttes oleme oma paroolistrateegia lähtunud sellest, mis on inimeste jaoks mõistlik, jättes samal ajal arvestamata sellega, mis on masinate jaoks mõistlik.

Mõned juhuslikud märgid võivad häkkerid segadusse ajada, kuid lisanumbri või -märgi parooli lõppu ei pane arvutid tõenäoliselt kergesti liikuma. Seda seetõttu, et erinevalt inimestest ei loe arvutid tähenduse mõttes paroole. Nad lugesid neid lihtsalt stringi kaupa.

Julma jõu rünnak on see, kui arvuti läbib kõik võimalikud märkide permutatsioonid, et proovida sisse murda, leides kasutaja poolt algselt valitud kombinatsiooni. Kui need rünnakud aset leiavad, on oluline vaid see, kui keeruline on teie parool - ja iga järgmine märk lisab tohutut, peaaegu eksponentsiaalset keerukust.

Seda silmas pidades muutub parool eksponentsiaalselt tugevamaks, ehkki see "paistab" inimsilmale lihtsam.

Laiendades parooli maksimaalset pikkust 64 tähemärgini, annavad uued NIST-i juhised kasutajatele vajaliku parooli tugevuse, kehtestamata palju vastuintuitiivseid reegleid.

Pole vihjeid!

Paljud administraatorid armastavad vabaneda erimärginõuetest ja kõigist nendest töömahukatest paroolivärskendustest, kuid on veel üks funktsioon, mis lisab kirve ka siis, kui spetsialistid loevad uusi NIST-i juhiseid.

Paljud süsteemid paluvad uutel kasutajatel lisada pardalevõtmise ajal andmebaasi enda kohta fakte: idee on see, et hiljem, kui nad parooli unustavad, saab süsteem neid autentida, tuginedes nende mineviku mõttele, mida keegi teine ​​ei teaks. Näiteks: milline oli teie esimene auto? Mis oli su esimese lemmiklooma nimi? Mis on su ema neiupõlvenimi?

See on veel üks neist suundumustest, mis on paljudele meist tundnud end ebamugavalt. Mõnikord tunduvad küsimused pealetükkivad. Turvameelsed skeptikud juhivad tähelepanu ka sellele, et meist on palju inimesi, kes sõitsid esmakordselt Chevroletti või nimetasid noorusliku meeleolu tõttu meie esimeseks koeraks Spot.

Seejärel on vaja andmebaasi pidamist ja vastuste sobitamist, kui neid vaja on.

Võib kindlalt öelda, et liiga paljudel inimestel pisarad parooli vihje funktsioonide kadumise üle, kui on paremaid võimalusi kasutaja tegevuse tõeliselt turvaliseks muutmiseks.

Ei, see pole Waffle House! Soolamine, räsimine ja venitamine

Muude uuenduste puhul soovitavad eksperdid nüüd ka paroolid „soolada“, mis hõlmab juhusliku tähemärgiriba loomist enne „räsimise” protsessi, mis kaardistab ühe andmekogumi teisele, muutes seeläbi parooli ülesehituse ja muutes selle murdmise keerukamaks. Samuti on olemas protsess venitamiseks, mis on spetsiaalselt loodud julma jõu rünnakute ärahoidmiseks, osaliselt muutes hindamisprotsessi aeglasemaks.

Kõigil neil funktsioonidel on ühine see, et need toimuvad administratiivsel alal, mitte kasutaja käeulatuses. Keskmine kasutaja ei taha, et taoliste protseduuriliste asjadega oleks midagi pistmist - ta soovib lihtsalt juurde pääseda ja uurida, mida võrgusüsteemis teha, olgu see siis tööülesannete täitmine, sõpradega võrgustumine või millegi ostmine või müümine veebis. Nii et kui eemaldate kliendipoolsed paroolireeglid ja teete palju turbehaldust, saavad ettevõtted ja muud sidusrühmad kasutajakogemust tõesti parandada.

See on põhipunkt, kuna palju uue tehnoloogia uuendusi seisneb just kasutajakogemuse parandamises. Oleme jõudnud punkti, kus oleme arvutitest, nutitelefonidest ja muudest seadmetest palju funktsionaalsust ära kasutanud - palju järgmiste aastate edusamme hõlmab virtuaalsete toimingute lihtsamaks muutmist ja kohmakusest vabanemist. kogemusest: näiteks mitte-esimene-veebisait, läikiv liides, kehv aku tööaeg või tüütu sisselogimine! Sealt tuleb sisse parooliuuendus. Tulles tagasi mitmefaktorilise autentimise idee juurde, on tõenäoline, et biomeetria avab veelgi suurema seadme kasutamise lihtsuse - miks koputada ja sisestada pikki paroole, kui saate oma seadet lihtsalt näidata on näpuga?

Praktiline rakendamine: mõned väljakutsed jäävad alles

Nagu juba öeldud, on meil praegu paroolid ja PIN-koodid ummikus. Näiteks on mõned uuemad opsüsteemid lülitunud neljanumbriliselt PIN-koodilt kuuenumbrilisele PIN-koodile, muutes paljudel meist oma seadmete loomisel palju aeglasemaks.

NIST soovitatud paroolifraasi lähenemisviisi üks probleem on see, et paroolide lähtestamine toimub endiselt (nagu seda käsitletakse alasti turvalisuse lõigus). Inimesed unustavad endiselt oma paroolid. Mõned arvavad, et IT-inimestel võib olla raskem uute paroolide väljastamine, kui algsed on palju pikemad.

Mitmefaktorilises autentimises võib siin siiski olla potentsiaali. Biomeetria pole veel eriti järele jõudnud, kuid peaaegu kõigil on mobiiltelefon. Paljud Interneti-pangandussüsteemid ja muud süsteemid kasutavad kasutajate autentimiseks SMS-e. See võib olla lihtne viis kontode kontrollimiseks, kus parool on kadunud või unustatud. See on ka peamine viis parooli tugevdamiseks üldiselt, nagu eespool mainitud.

Eemaldatavad

Kui olete võrguadministraator, siis mida räägivad teile uued NIST-i reeglid?

Põhimõtteliselt näib föderaalamet juhtidele ütlevat: lõdvestuge. Laske kasutajatel teha seda, mida nad teevad, intuitiivselt, parema krüptimisega, keelatud keelte sõnastikuga ja pikema sisestusväljaga, mis on mitmekülgsem. Ärge õpetage neid tärnide ja nutikate erimärkidega paroole pekkima. Ja ärge pange neid kogu protsessi iga paari nädala tagant uuesti üles seadma.

Kõik see muudab antud platvormi lihtsamaks ja mõttekamaks. Lihtsalt paroolivihjete kaotamine võtab ära kõigi oluliste ressursinõuetega arvestatava koodbaasi. Uued NIST-i reeglid seavad parooliturvalisuse sinna, kuhu see kuulub: omapärase kasutaja käest väljas ja varjatud paika, kus tehnilised funktsioonid muudavad eilse lihtsa jõuga rünnakute ajaloo. Nad lubavad meil kõigil proovida proovitud protsessi suhtes uue jahutatud lähenemise: meisterdada unikaalseid väikeseid sõnu ja fraase meie digitaalse elu igasse nurka. See on veel üks samm intuitiivsemate kasutajaliideste maailma poole - uus ja parendatud digitaalne maailm, kus see, mida teeme, tundub loomulikum ja vähem segane.