Obsah
- Žiadne chyby, žiadny stres - Váš sprievodca krok za krokom k vytvoreniu softvéru na zmenu života bez zničenia vášho života
- Kognitívna dissonancia a stádová mentalita
- Nové štandardy NIST: Čo je vnútri?
- Prečo je prístupová fráza lepšia?
- Žiadne rady!
- Nie, nie je to Waffle House! Solenie, hasenie a strečing
- Praktická implementácia: Zostávajú niektoré výzvy
- takeaways
Zdroj: designer491 / iStockphoto
Zobrať:
Nové pravidlá NIST umožňujú používateľom dýchať úľavu v politike hesiel
Zaznamenávajú sa veľké zmeny, ktoré sa môžu páčiť administrátorom systémov aj bežným používateľom - majú čo do činenia s protokolmi hesiel.
Heslá sú skutočnosťou života - väčšina z nás ich má príliš veľa. Nemôžeme si ich pamätať všetkých a je takmer nemožné ich sledovať, pokiaľ ich nezačneme písať. Ďalšou alternatívou je iba zapamätať si heslá, ktoré pravidelne používate, a požiadať o obnovenie hesla, keď potrebujete prístup na iné stránky - to je však veľa vynulovaní hesiel! Odborníci ako Cormac Herley, výskumný pracovník spoločnosti Microsoft, zaznamenali rekordné enormné časové náklady na obnovenie hesla a ako môžu každý rok stáť veľké spoločnosti milióny dolárov. Tiež to stojí používateľov milióny minút, klovanie preč od klávesnice, či už sa snaží zobraziť osobné údaje, zaregistrovať sa v službe alebo kúpiť niečo z elektronického obchodu.
Čo teda môžeme urobiť? A aké sú najobťažujúcejší a najnepríjemnejšie aspekty používania hesla, ktoré nás nútia hádzať naše počítače a zariadenia z okna?
Nové správy ukazujú, že ako spoločnosť sa možno možno zbavíme niektorých z týchto nepríjemných problémov s heslom. Pokiaľ ide o nový výskum kybernetickej bezpečnosti, pravdepodobne pokročíme nad rámec súčasných bezpečnostných štandardov, ktoré nás v posledných rokoch spôsobili toľko stresu.
Článok v časopise Wall Street Journal zachádza tak ďaleko, že vynáša kolegu za niektoré z týchto pravidiel a dostáva jeho informácie o tom, prečo už nie sú potrebné.
7. augusta 2017 vydal spisovateľ WSJ Robert McMillan bombový náboj vo forme vyšetrovacieho diela na Billovi Burrovi, autorovi dokumentu z roku 2003, ktorý skončil veľkými účinkami na štandardy podnikového hesla. Burr pracoval v Národnom inštitúte pre normy a technológie, federálna agentúra poverená hodnotením technologických inovácií v USA.
"Muž, ktorý napísal knihu o správe hesiel, musí urobiť priznanie," začína kniha McMillanovej. "Fúkal to."
Odtiaľ sa v článku ďalej opisujú dva bugoblani digitálnej éry, ktoré skomplikovali naše životy. Prvým sú priťažujúce požiadavky na zahrnutie špeciálnych znakov do hesla. Druhou častou je zmena hesla.
Žiadne chyby, žiadny stres - Váš sprievodca krok za krokom k vytvoreniu softvéru na zmenu života bez zničenia vášho života
Nemôžete zlepšiť svoje programovacie schopnosti, keď sa nikoho nezaujíma o kvalitu softvéru.
Obidva tieto postupy zaberajú veľa času, keď hovoríte o desiatkach jednotlivých hesiel. Prvý z nich je však tiež klasickým prípadom „zlého rozhrania“ - jednoducho nie je intuitívne a núti ľudí k obchádzaniu riešení.
Kognitívna dissonancia a stádová mentalita
Väčšina z nás môže „cítiť“, ako tieto štandardy hesiel spôsobujú zmätok v našich mozgoch. Tvárou v tvár veľmi abstraktnému výberu, ako zahrnúť do hesla číslo a špeciálnu postavu, čo je inak abecedný reťazec, mnohí z nás jednoducho oddeľujú znak „1!“. V skutočnosti čím viac vyberáme rovnaké všeobecné možnosti, tým ľahšie bude praskať naše heslá. (Získajte viac informácií o hackeroch v časti Pomáha výskumom v oblasti bezpečnosti hackerom?)
Okrem toho pridajte požiadavku, aby používatelia aktualizovali svoje heslá každý mesiac alebo každé tri mesiace.
Dôvodom tejto požiadavky je, že staré heslo by sa malo zmeniť na niečo úplne iné - ale príliš často to tak nie je. Pri pokuse o zvládnutie dodatočného bitia mozgu, keď si pamätá úplne nové heslo, používateľ vezme staré heslo a zmení jedno písmeno alebo číslo. Teraz je staré heslo hlavným „oznámením“ nového hesla - stáva sa zodpovednosťou.
Nové štandardy NIST: Čo je vnútri?
Nové pravidlá vyvinuté NIST to všetko zmenia.
Špeciálna publikácia 800-63-3 je aktualizáciou pôvodnej verzie, ktorá umožňuje veľa toho, čo niektorí odborníci tvrdia, že mali byť implementovaní po celú dobu.
Najskôr to odstraňuje pravidlá zloženia, ako napríklad to, že do hesla vložíte výkričník, ako aj požiadavku na bežné expirácie.
NIST 800-63-3 dodáva, že sa zameriava na „realistické“ bezpečnostné postupy.
Nové pravidlá zdôrazňujú viacfaktorovú autentifikáciu, ktorú autori označujú ako zmiešanie hesla (niečo, čo si pamätáte) s fyzickým kľúčom alebo kľúčovou kartou (niečo, čo máte) alebo s časťou biometrických údajov (niečo, čo je súčasťou vás). Medzi ďalšie návrhy patrí použitie kryptografických kľúčov a potreba akceptovať všetky schopné znaky ASCII, ako aj hornú dĺžku 64 znakov a minimálnu dĺžku osem. (Viac informácií o biometrických údajoch nájdete v časti Ako pasívna biometria môže pomôcť pri zabezpečení údajov v IT.)
Vo verejnej prezentácii s prezentáciou s názvom „K lepším požiadavkám na heslo“ odborník na bezpečnostný výskum Jim Fenton podrobne uvádza mnohé z týchto opráv ako „šalatá“ a „nevystúpi“, vysvetľuje tiež, ako NIST odporúča vytvorenie slovníka ľahko hackovateľných hesiel. to by malo byť automaticky zakázané.
„Ak to nie je ľahké, používatelia podvádzajú,“ píše Fenton a skúma niektoré pravidlá týkajúce sa zdravého rozumu, ktoré sťažia slabým heslám ohroziť sieť.
Odborníci tiež navrhujú, aby používatelia mysleli skôr na „prístupové frázy“ alebo skupinu slov na zadanie hesla, než na zmätky alfanumerickej polievky, ktorú sme vyškolili.
Prečo je prístupová fráza lepšia?
Existuje mnoho spôsobov, ako vysvetliť, prečo dlhá prístupová fráza, ako je „celkový oslík na vaječné bicykle“, bude silnejšou voľbou hesla ako niečo ako „MisterA1!“ - ale najjednoduchšie sa týka veľmi zrozumiteľnej metriky: dĺžka.
Jednou z myšlienok nových nariadení o NIST je, že v niektorých ohľadoch sme založili našu stratégiu hesiel na tom, čo má zmysel pre ľudí, a nezohľadňovali to, čo má zmysel pre stroje.
Niekoľko náhodných znakov by mohlo zmiasť ľudských hackerov, ale je nepravdepodobné, že by sa počítače na konci hesla ľahko ovplyvnili o ďalšie číslo alebo znak. Je to preto, že na rozdiel od ľudí, počítače nečítajú heslá pre zmysel. Jednoducho si ich prečítajú reťazcom.
Útok hrubou silou je, keď počítač prechádza všetkými možnými obmieňaniami postáv, aby sa pokúsil „preniknúť“ nájdením správnej kombinácie, pôvodne vybranej používateľom. Keď dôjde k takýmto útokom, záleží na tom, aké zložité je vaše heslo - a každá ďalšia postava dodáva obrovskú, takmer exponenciálnu veľkosť zložitosti.
S ohľadom na to bude prístupová fráza exponenciálne silnejšia - aj keď „vyzerá“ ľahšie pre ľudské oko.
Rozšírením maximálnej dĺžky hesla na 64 znakov nové smernice NIST dávajú používateľom silu hesla, ktorú potrebujú, bez toho, aby ukladali veľa kontraintuitívnych pravidiel.
Žiadne rady!
Veľa administrátorov sa bude radi zbavovať požiadaviek na špeciálne postavy a všetkých tých náročných aktualizácií hesla, ale je tu aj ďalšia funkcia, ktorá tiež zvyšuje sekeru, keď odborníci čítajú nové pokyny pre NIST.
Mnoho systémov žiada nových používateľov o pridanie faktov o sebe do databázy počas palubnej dochádzky: myšlienka je, že ak zabudnú svoje heslo neskôr, systém ich môže autentifikovať na základe nejakej myšlienky o svojej minulosti, ktorú by nikto iný nevedel. Napríklad: Aké bolo vaše prvé auto? Ako sa volalo tvoje prvé zvieratko? Aké je rodné meno tvojej mamy?
Toto je ďalší z tých trendov, ktoré sa pre mnohých z nás cítili nepohodlne. Niekedy sa tieto otázky zdajú rušivé. Skeptici so zameraním na bezpečnosť tiež poukážu na to, že je veľa z nás, ktorí najprv šoférovali Chevrolet alebo, v mladom štýle nadšenia, pomenovali nášho prvého psa „Spot“.
Potom je potrebné vyťažiť údržbu databázy a zladiť odpovede, keď sú potrebné.
Dá sa povedať, že príliš veľa ľudí nebude mať slzy v dôsledku vymiznutia funkcií „tipovania heslom“, ak existujú lepšie možnosti, ako skutočne zabezpečiť aktivitu používateľov.
Nie, nie je to Waffle House! Solenie, hasenie a strečing
V iných inováciách teraz odborníci tiež odporúčajú heslá na „solenie“, ktoré zahŕňajú vytvorenie náhodného reťazca znakov pred „hashovacím“ procesom, ktorý mapuje jednu množinu údajov na druhú, čím sa mení zloženie hesla a sťažuje jeho rozbitie. Existuje aj proces nazývaný „strečing“, ktorý je špeciálne navrhnutý na potlačenie útokov hrubou silou, čiastočne spomalením procesu vyhodnocovania.
Všetky tieto funkcie majú spoločné to, že sa vykonávajú v administratívnej oblasti, nie na dosah ruky používateľa. Priemerný užívateľ nechce mať nič spoločné s týmito druhmi procedurálnych vecí - chce iba získať prístup a ísť o čomkoľvek, čo je potrebné urobiť v sieťovom systéme, či už ide o splnenie pracovných úloh, nadviazanie kontaktov s priateľmi alebo nákup alebo predaj niečoho online. Takže odstránením pravidiel pre heslá „na strane klienta“ a vytvorením väčšej časti administratívnej bezpečnosti môžu spoločnosti a ďalšie zainteresované strany skutočne vylepšiť používateľské prostredie.
Toto je kľúčový bod, pretože zlepšenie používateľského komfortu je o mnohých nových technologických inováciách. Došli sme k bodu, keď sme z našich počítačov, smartfónov a iných zariadení vyradili veľa funkcií - veľa pokroku, ktorý urobíme v nasledujúcich rokoch, spočíva v tom, že sa zjednodušia virtuálne úlohy a zbaví sa neohrabanosti. skúsenosti: napríklad webová stránka, ktorá nie je prvá pre mobilné zariadenia, nezmyselné rozhranie, zlá výdrž batérie ... alebo zdĺhavé prihlásenie! To je miesto, kde prichádza inovácia hesla. Vráťme sa k myšlienke viacfaktorovej autentifikácie, je pravdepodobné, že biometria odomkne ešte jednoduchšie použitie pre zariadenia - prečo ťuknúť a písať dlhé heslá, keď môžete ukázať svojmu zariadeniu tomu, kto vy máte prst?
Praktická implementácia: Zostávajú niektoré výzvy
Ako sme už povedali, zatiaľ sme zaseknutí heslami a kódmi PIN. Napríklad niektoré novšie operačné systémy prešli z kódu PIN so štyrmi číslicami na kód PIN so šiestimi číslami, vďaka čomu sú mnohí z nás pri čerpaní na našich zariadeniach oveľa pomalšie.
Jedným z problémov s prístupom „prístupová fráza“ odporúčaným NIST je to, že stále budú obnovené heslá (ako je uvedené v tomto vlákne o Naked Security). Ľudia stále zabudnú svoje heslá. Niektorí navrhujú, že by mohlo byť pre IT ľudí ťažšie vydávať nové heslá, keď sú pôvodné oveľa dlhšie.
Pokiaľ však ide o viacfaktorovú autentifikáciu, môže tu byť nejaký potenciál. Biometria sa doposiaľ nezachytila, ale takmer každý má mobilný telefón. Veľa systémov online bankovníctva a ďalších systémov používa na autentifikáciu používateľov SMS. Môže to byť jednoduchý spôsob, ako skontrolovať účty, v ktorých sa stratilo alebo zabudlo heslo. Je to tiež kľúčový spôsob, ako posilniť heslo všeobecne, ako je uvedené vyššie.
takeaways
Ak ste správca siete, aké nové pravidlá NIST vám hovoria?
Zdá sa, že federálna agentúra v podstate hovorí manažérom: relaxujte. Umožnite používateľom intuitívne robiť to, čo robia, s lepším šifrovaním, slovníkom zakázaných reťazcov a dlhším vstupným poľom s väčšou všestrannosťou. Naučte ich, aby mašli svoje heslá hviezdičkami a zvláštnymi znakmi. A nenúťte ich robiť celý proces každých pár týždňov.
To všetko spôsobí, že daná platforma bude štíhlejší a strednejšia. Iba odstránenie tipov na heslá odstráni významnú kódovú základňu so všetkými požiadavkami na zdroje. Nové pravidlá NIST dávajú bezpečnosť hesiel tam, kam patrí: z rúk idiosynkratických používateľov a na temné miesto, kde technické funkcie umožňujú včerajšiu ľahkú históriu útokov hrubou silou. Všetci nás nechajú zaujať nový vychladený prístup k tomu, čo bol vyskúšaný proces: vytvoriť jedinečné malé slová a frázy pre každý kúsok nášho digitálneho života. Je to ďalší krok k svetu intuitívnejších používateľských rozhraní - nový a vylepšený digitálny svet, v ktorom sa cítime prirodzenejšie a menej mätúce.