Zawartość
- Bez błędów, bez stresu - Twój przewodnik krok po kroku do tworzenia oprogramowania zmieniającego życie bez niszczenia życia
- Dysonans poznawczy i mentalność stada
- Nowe standardy NIST: Co jest w środku?
- Dlaczego hasło jest lepsze?
- Bez podpowiedzi!
- Nie, to nie jest Waffle House! Solenie, mieszanie i rozciąganie
- Praktyczne wdrożenie: niektóre wyzwania pozostają
- Na wynos
Źródło: designer491 / iStockphoto
Na wynos:
Nowe zasady NIST pozwalają użytkownikom odetchnąć z ulgą w sprawie zasad dotyczących haseł
Wchodzą w szczupak duże zmiany, które zarówno administratorzy systemów, jak i zwykli użytkownicy mogą pokochać - mają one związek z protokołami haseł.
Hasła są faktem - większość z nas ma ich zbyt wiele. Nie pamiętamy ich wszystkich i nie ma sposobu, aby je śledzić, chyba że zaczniemy je zapisywać. Inną alternatywą jest po prostu zapamiętywanie haseł, których regularnie używasz, i proszenie o zresetowanie hasła, gdy musisz uzyskać dostęp do innych witryn - ale to dużo resetowania hasła! Eksperci tacy jak Cormac Herley, badacz Microsoftu, odnotowali, że rozmawiają o ogromnych kosztach resetowania hasła oraz o tym, jak może to kosztować duże firmy miliony dolarów rocznie. Kosztuje to także miliony minut, dziurawienie się przy klawiaturze, bez względu na to, czy próbują wyświetlić dane osobowe, zarejestrować się w usłudze lub kupić coś w sklepie e-commerce.
Więc co możemy zrobić? A jakie są najbardziej przeszkadzające i irytujące aspekty używania hasła, które powodują, że chcemy wyrzucić nasze komputery i urządzenia przez okno?
Nowe raporty pokazują, że jako społeczeństwo możemy pozbyć się niektórych z tych irytujących problemów z hasłami. Idąc za nowymi badaniami na temat bezpieczeństwa cybernetycznego, prawdopodobnie przekroczymy niektóre z obecnych standardów bezpieczeństwa, które spowodowały tak duży stres w ciągu ostatnich kilku lat.
Artykuł w Wall Street Journal posuwa się tak daleko, że uwypukla faceta stojącego za niektórymi z tych zasad i zbiera informacje na temat tego, dlaczego nie mogą być one dłużej potrzebne.
W dniu 7 sierpnia 2017 r. Pisarz WSJ Robert McMillan dostarczył bombę w postaci materiału śledczego na temat Billa Burra, autora artykułu z 2003 r., Który ostatecznie wywarł duży wpływ na standardy haseł firmowych. Burr pracował w National Institute of Standards and Technology, agencji federalnej, której zadaniem była ocena innowacji technologicznych w USA.
„Człowiek, który napisał książkę o zarządzaniu hasłami, musi się wyspowiadać”, rozpoczyna lede dzieło McMillana. „Rozwalił to”.
Następnie artykuł opisuje dwa błędy w erze cyfrowej, które skomplikowały nasze życie. Pierwszy to obciążające wymagania dotyczące umieszczania znaków specjalnych w haśle. Druga to częste zmiany hasła.
Bez błędów, bez stresu - Twój przewodnik krok po kroku do tworzenia oprogramowania zmieniającego życie bez niszczenia życia
Nie możesz poprawić swoich umiejętności programistycznych, gdy nikt nie dba o jakość oprogramowania.
Obie te praktyki zajmują dużo czasu, gdy mówimy o dziesiątkach indywidualnych haseł. Pierwszy to jednak klasyczny przypadek „złego interfejsu” - po prostu nie jest intuicyjny i zmusza ludzi do obejścia tego problemu.
Dysonans poznawczy i mentalność stada
Większość z nas może „odczuć”, jak te standardy haseł powodują zamieszanie w naszych mózgach. W obliczu bardzo abstrakcyjnego wyboru sposobu umieszczenia cyfry i znaku specjalnego w haśle, które w przeciwnym razie jest ciągiem alfabetycznym, wielu z nas po prostu wyskoczy z „1!”, Co tak naprawdę nie udaremnia hakerów. W rzeczywistości, im bardziej wybieramy te same ogólne opcje, tym łatwiej jest złamać nasze hasła. (Dowiedz się więcej o hakerach w artykule Czy badania bezpieczeństwa rzeczywiście pomagają hakerom?)
Dodaj ponadto wymóg, aby użytkownicy aktualizowali swoje hasła co miesiąc lub co około trzy miesiące.
Powodem tego wymogu jest zmiana starego hasła na coś zupełnie innego - ale zbyt często to nie działa. Próbując poradzić sobie z dodatkowym biciem mózgu polegającym na zapamiętywaniu nowego hasła, użytkownik weźmie stare hasło i zmieni jedną literę lub cyfrę. Teraz stare hasło jest głównym „powiedz” dla nowego - staje się zobowiązaniem.
Nowe standardy NIST: Co jest w środku?
Nowe zasady opracowywane przez NIST zmienią to wszystko.
Specjalna publikacja 800-63-3 jest aktualizacją oryginalnej wersji, która osiąga wiele z tego, co zdaniem niektórych ekspertów powinno być wdrażane przez cały czas.
Po pierwsze, usuwa zarówno zasady kompozycji, takie jak wstawianie wykrzyknika do hasła, oraz wymóg rutynowych wygaśnięć.
To, co dodaje NIST 800-63-3, koncentruje się na „realistycznych” praktykach bezpieczeństwa.
Nowe zasady podkreślają uwierzytelnianie wieloskładnikowe, które pisarze opisują jako mieszanie hasła (czegoś, co pamiętasz) z fizycznym kluczem lub kartą dostępu (coś, co masz) lub kawałkiem danych biometrycznych (coś, co jest częścią ciebie). Inne sugestie obejmują użycie kluczy kryptograficznych oraz potrzebę zaakceptowania wszystkich zdolnych znaków ASCII, a także maksymalnej długości 64 znaków i minimalnej długości ośmiu. (Dowiedz się więcej o biometrii w Jak pasywna biometria może pomóc w bezpieczeństwie danych IT).
W publicznej prezentacji pokazu slajdów zatytułowanej „W stronę lepszych wymagań dotyczących hasła” Jim Fenton, specjalista ds. Badań bezpieczeństwa, szczegółowo opisuje wiele z tych poprawek, takich jak „będziesz szaleć” i „nie będziesz tego robić”, wyjaśniając również, w jaki sposób NIST zaleca stworzenie słownika haseł łatwych do hakowania powinno to zostać automatycznie zabronione.
„Jeśli nie jest to łatwe, użytkownicy oszukują”, pisze Fenton, analizując niektóre zasady zdrowego rozsądku, które utrudnią słabym hasłom złamanie sieci.
Eksperci sugerują również, aby użytkownicy wymyślili „hasło” lub zestaw słów do hasła, zamiast pomieszania alfanumerycznej zupy, którą przygotowaliśmy.
Dlaczego hasło jest lepsze?
Istnieje wiele sposobów, aby wyjaśnić, dlaczego długie hasło, takie jak „całkowity osioł rowerowy jaj”, będzie lepszym wyborem hasła niż coś takiego jak „MisterA1!” - ale najprostszy ma związek z bardzo zrozumiałą miarą: długością.
Jednym z pomysłów leżących u podstaw nowych przepisów NIST jest to, że w pewnym sensie opieraliśmy naszą strategię haseł na tym, co ma sens dla ludzi, ignorując to, co ma sens dla maszyn.
Kilka losowych postaci może zaskoczyć ludzkich hakerów, ale na komputerach raczej nie da się łatwo przechwycić dodatkową liczbą lub znakiem na końcu hasła. To dlatego, że w przeciwieństwie do ludzi, komputery nie czytają haseł dla ich znaczenia. Po prostu czytają je sznurkiem.
Brutalny atak ma miejsce, gdy komputer przechodzi wszystkie możliwe kombinacje postaci, aby spróbować „włamać się” przez znalezienie odpowiedniej kombinacji, pierwotnie wybranej przez użytkownika. Kiedy takie ataki się zdarzą, ważne będzie, jak skomplikowane jest Twoje hasło - a każda dodatkowa postać dodaje ogromną, niemal wykładniczą wielkość złożoności.
Mając to na uwadze, hasło będzie wykładniczo silniejsze - nawet jeśli „łatwiej” dla ludzkiego oka.
Rozszerzając maksymalną długość hasła do 64 znaków, nowe wytyczne NIST zapewniają użytkownikom siłę hasła, której potrzebują, bez narzucania wielu sprzecznych z intuicją reguł.
Bez podpowiedzi!
Wielu administratorów uwielbia pozbywać się specjalnych wymagań dotyczących znaków i wszystkich pracochłonnych aktualizacji haseł, ale jest też inna funkcja, która sprawia, że topór staje się tym, że profesjonaliści czytają nowe wytyczne NIST.
Wiele systemów prosi nowych użytkowników o dodanie faktów o sobie do bazy danych podczas wdrażania: chodzi o to, że później, jeśli zapomną hasła, system może je uwierzytelnić na podstawie pewnych myśli o swojej przeszłości, których nikt inny nie wiedziałby. Na przykład: jaki był twój pierwszy samochód? Jak nazywało się twoje pierwsze zwierzę? Jakie jest nazwisko panieńskie Twojej matki?
To kolejny z trendów, który dla wielu z nas był niewygodny. Czasami pytania wydają się natrętne. Również sceptycy nastawieni na bezpieczeństwo wskażą, że jest wielu z nas, którzy jako pierwsi prowadzili Chevroleta lub, w młodzieńczym entuzjazmie, nazwali naszego pierwszego psa „Spot”.
Potem jest obciążenie pracą związaną z utrzymywaniem bazy danych i dopasowywaniem odpowiedzi, gdy są potrzebne.
Bezpiecznie jest powiedzieć, że niewiele osób będzie ronić łzy z powodu zniknięcia funkcji „podpowiedzi do hasła”, gdy istnieją lepsze opcje, aby naprawdę zapewnić bezpieczeństwo użytkownikom.
Nie, to nie jest Waffle House! Solenie, mieszanie i rozciąganie
W innych innowacjach eksperci zalecają teraz także „solenie” haseł, które polega na utworzeniu losowego ciągu znaków przed procesem „mieszania”, który mapuje jeden zestaw danych na inny, zmieniając w ten sposób skład hasła i utrudniając jego złamanie. Istnieje również proces zwany „rozciąganiem”, który został specjalnie zaprojektowany w celu udaremnienia ataków siłowych, częściowo poprzez spowolnienie procesu oceny.
Wszystkie te funkcje mają tę wspólną cechę, że mają miejsce w obszarze administracyjnym, a nie na wyciągnięcie ręki użytkownika. Przeciętny użytkownik nie chce mieć nic wspólnego z tego rodzaju czynnościami proceduralnymi - po prostu chce uzyskać dostęp i zająć się wszystkim, co można zrobić w systemie sieciowym, niezależnie od tego, czy jest to wykonywanie zadań roboczych, nawiązywanie kontaktów z przyjaciółmi czy kupowanie lub sprzedawanie czegoś online. Tak więc, usuwając reguły hasła „po stronie klienta” i wprowadzając wiele zabezpieczeń administracyjnych, firmy i inne zainteresowane strony mogą naprawdę poprawić komfort użytkowania.
Jest to kluczowa kwestia, ponieważ poprawa komfortu użytkowania jest tym, na czym polega wiele nowych innowacji technologicznych. Doszliśmy do punktu, w którym wyciśnęliśmy wiele funkcji z naszych komputerów, smartfonów i innych urządzeń - duży postęp, który zrobimy w nadchodzących latach, polega na ułatwieniu wykonywania zadań wirtualnych i pozbyciu się niezręczności doświadczenia: na przykład strona internetowa nieprzeznaczona do urządzeń przenośnych, błędny interfejs, słaba żywotność baterii… lub żmudne logowanie! Tu właśnie pojawia się innowacja w zakresie haseł. Wracając do koncepcji uwierzytelniania wieloskładnikowego, prawdopodobnie biometria odblokuje jeszcze większą łatwość obsługi urządzeń - po co stukaj i wpisuj długie hasła, kiedy możesz po prostu pokazać swoje urządzenie są z palcem?
Praktyczne wdrożenie: niektóre wyzwania pozostają
Jak już powiedzieliśmy, na razie utknęliśmy w hasłach i PIN-ach. Na przykład niektóre nowsze systemy operacyjne zmieniły kod PIN z czterocyfrowego na sześciopinowy, co sprawia, że wielu z nas jest o wiele wolniej korzystających z naszych urządzeń.
Jednym z problemów związanych z „passphrase” zalecanym przez NIST jest to, że nadal będą resetowania hasła (jak omówiono w tym wątku na Naked Security). Ludzie nadal będą zapomnieć hasła. Niektórzy sugerują, że informatykom może być trudniej wydawać nowe hasła, gdy oryginalne są znacznie dłuższe.
Jednak może istnieć pewien potencjał, jeśli chodzi o uwierzytelnianie wieloskładnikowe. Biometria jeszcze się nie przyłapała, ale prawie każdy ma telefon komórkowy. Wiele systemów bankowości internetowej i innych systemów używa SMS-ów do uwierzytelniania użytkowników. Może to być łatwy sposób sprawdzenia kont, na których hasło zostało zgubione lub zapomniane. Jest to również kluczowy sposób na wzmocnienie hasła, jak wspomniano powyżej.
Na wynos
Jeśli jesteś administratorem sieci, jakie są nowe zasady NIST?
Zasadniczo wydaje się, że agencja federalna mówi menedżerom: zrelaksuj się. Pozwól użytkownikom robić to, co robią intuicyjnie, z lepszym szyfrowaniem, słownikiem zabronionych ciągów i dłuższym polem wejściowym o większej wszechstronności. Nie ucz ich, aby smażyli hasła gwiazdkami i słodkimi postaciami specjalnymi. I nie zmuszaj ich do ponownego uruchamiania całego procesu co kilka tygodni.
Wszystko to sprawi, że dana platforma będzie szczuplejsza i wredniejsza. Już samo wyeliminowanie podpowiedzi do hasła zabiera znaczną bazę kodów ze wszystkimi wymaganiami dotyczącymi zasobów. Nowe zasady NIST wprowadzają bezpieczeństwo hasła tam, gdzie należy: z rąk idiosynkratycznych użytkowników w nieznane miejsce, w którym funkcje techniczne tworzą historię łatwych wczoraj ataków siłowych. Pozwalają nam wszyscy przyjąć nowe, wyluzowane podejście do tego, co było trudnym procesem: tworzenie wyjątkowych małych słów i zwrotów dla każdego zakątka naszego cyfrowego życia. To kolejny krok w kierunku świata bardziej intuicyjnych interfejsów użytkownika - nowego i ulepszonego świata cyfrowego, w którym to, co robimy, jest bardziej naturalne i mniej mylące.