פשוט מאובטח: שינוי דרישות הסיסמה קל יותר למשתמשים

מְחַבֵּר: Roger Morrison
תאריך הבריאה: 24 סֶפּטֶמבֶּר 2021
תאריך עדכון: 1 יולי 2024
Anonim
The latest TRON mining website, free registration to get 5000TRX, 100℅ real withdrawal has been done
וִידֵאוֹ: The latest TRON mining website, free registration to get 5000TRX, 100℅ real withdrawal has been done

תוֹכֶן



מקור: designer491 / iStockphoto

להסיר:

על פי חוקי ה- NIST החדשים משתמשים לנשום לרווחה על מדיניות הסיסמאות

ישנם שינויים גדולים שיורדים בפסיקים שמנהלי מערכות וגם משתמשים רגילים עשויים לאהוב - הם קשורים לפרוטוקולי סיסמאות.

סיסמאות הן עובדת חיים - לרובנו יש יותר מדי כאלה. איננו יכולים לזכור את כולם, וכמעט אין דרך לעקוב אחריהם אלא אם נתחיל לרשום אותם. אלטרנטיבה נוספת היא פשוט לזכור את הסיסמאות בהן אתה משתמש באופן קבוע, ולבקש איפוס סיסמה כשאתה צריך לגשת לאתרים אחרים - אבל זה הרבה איפוס סיסמא! מומחים כמו Cormac Herley, חוקר של מיקרוסופט, המשיכו לדבר על עלויות הזמן העצומות של איפוס סיסמא וכיצד זה יכול לעלות לחברות הגדולות מיליוני דולרים בכל שנה. זה גם עולה למשתמשים מיליוני דקות, מנקרים במקלדת, בין אם הם מנסים להציג נתונים אישיים, להירשם לשירות או לקנות משהו מחנות למסחר אלקטרוני.

אז מה אנו יכולים לעשות? ומה הם ההיבטים החסרים והמעצבנים ביותר בשימוש בסיסמאות שלנו שגורמים לנו לרצות לזרוק את המחשבים והמכשירים שלנו מהחלון?

דוחות חדשים מראים כי כחברה, אנו עשויים להיפטר מכמה מבעיות הסיסמא המעצבנות הללו. בהמשך למחקר חדש בנושא אבטחת סייבר, אנו ככל הנראה נתקדם מעבר לתקני האבטחה הנוכחיים שגרמו לנו כל כך הרבה לחץ במהלך השנים האחרונות.


מאמר ב"וול סטריט ג'ורנל "מרחיק לכת ולהביא את הבחור שעומד מאחורי כמה מהכללים הללו, ולקבל את האינסטגרם שלו מדוע ייתכן שהם לא נדרשים עוד.

ב- 7 באוגוסט 2017, סופר WSJ, רוברט מקמילן, העביר פצצה בצורת קטע תחקיר על ביל בור, מחבר מאמר משנת 2003 שבסופו של דבר השפיע מאוד על תקני הסיסמה של הארגון. בור עבד במכון הלאומי לתקנים וטכנולוגיה, הסוכנות הפדרלית שהוטלה עליה להעריך חדשנות טכנולוגית בארה"ב.

"לאיש שכתב את הספר על ניהול סיסמאות יש וידוי", מתחיל הסיפור של הקטע של מקמילן. "הוא פוצץ את זה."

משם המאמר מתאר שתי דובי באג בעידן הדיגיטלי שהסיבכו את חיינו. הראשון הוא הדרישות המחמירות לכלול תווים מיוחדים בסיסמה. השני הוא שינויי סיסמא תכופים.

אין באגים, אין מתח - המדריך השלב אחר צעד שלך ליצירת תוכנה לשינוי חיים מבלי להרוס את חייך

אינך יכול לשפר את כישורי התכנות שלך כאשר לאף אחד לא אכפת מאיכות התוכנה.

לשני שיטות אלה לוקח הרבה זמן כשמדברים על עשרות סיסמאות בודדות. אולם הראשון הוא גם מקרה קלאסי של "ממשק גרוע" - הוא פשוט לא אינטואיטיבי והוא מאלץ אנשים לעקיפת הבעיה.


דיסנס קוגניטיבי ומנטליות העדר

רובנו מסוגלים "לחוש" כיצד תקני הסיסמה הללו גורמים לבלבול במוחנו. מול הבחירה המופשטת מאוד כיצד לכלול מספר וסימן מיוחד בסיסמה, שהיא אחרת מחרוזת אלפביתית, רבים מאיתנו פשוט ימטרו "1!" שלא באמת נוטים לסכל האקרים. למעשה, ככל שאנו בוחרים באותה בחירות גנריות, כך קל יותר לפצח את הסיסמאות שלנו. (למידע נוסף על האקרים, האם מחקר אבטחה מסייע למעשה להאקרים?)

הוסף, נוסף על כך, את הדרישה שמשתמשים מעדכנים את הסיסמאות שלהם כל חודש, או כל שלושה חודשים בערך.

הנימוק שמאחורי דרישה זו הוא שיש לשנות את הסיסמה הישנה למשהו אחר לגמרי - אך לעתים קרובות מדי, לא כך זה עובד. כשהוא מנסה להתמודד עם פעימות המוח הנוספות בזיכרון סיסמא חדשה לגמרי, המשתמש ייקח את הסיסמה הישנה וישנה אות או מספר אחד. כעת, הסיסמה הישנה היא "תגיד" חשוב עבור הסיסמה החדשה - היא הופכת לחבות.

תקני NIST חדשים: מה יש בפנים?

הכללים החדשים שמפתחת NIST ישנו את כל זה.

פרסום מיוחד 800-63-3 הוא עדכון לגירסה המקורית שמשיג הרבה ממה שיש לדעת מומחים שהיו צריכים להיות מיושמים לאורך כל הדרך.

ראשית, זה מסיר את שני כללי ההרכב, כמו צורך להכניס סימן קריאה לסיסמא שלך, וגם את הדרישה לפקיעה שגרתית.

מה שמוסיף 800-63-3 NIST הוא התמקדות בשיטות אבטחה "מציאותיות".

הכללים החדשים מדגישים אימות רב גורמים, אותם כותבים מתארים כערבוב סיסמא (משהו שאתה זוכר) עם מפתח פיזי או מפתח מקשים (משהו שיש לך) או פיסת נתונים ביומטריים (משהו שהוא חלק ממך). הצעות אחרות כוללות שימוש במפתחות קריפטוגרפיים, והצורך לקבל את כל תווי ASCII המסוגלים, כמו גם אורך עליון של 64 תווים, ואורך מינימלי של שמונה. (למידע נוסף על ביומטריה, כיצד ביומטריה פאסיבית יכולה לעזור באבטחת מידע IT.)

במצגת שקופיות פומבית שכותרתה "לקראת דרישות סיסמא טובות יותר", מומחה מחקר אבטחה, ג'ים פנטון, מפרט בפירוט רבים מהתיקונים הללו כ"אתה מתלהם "ו"אתה לא אמור להסביר", מסביר גם כיצד NIST ממליץ ליצור מילון של סיסמאות שניתן לפרוץ בקלות יש לאסור אוטומטית.

"אם זה לא קל, משתמשים בוגדים", כותב פנטון ובוחן כמה מכללי הרווחה שיקשו על סיסמאות חלשות לפגוע ברשת.

מומחים גם מציעים שמשתמשים יחשבו על "ביטוי סיסמה" או קבוצת מילים עבור סיסמה, ולא על ערבולות המרק האלפנומרי שעברנו הכשרה לספק.

מדוע ביטוי סיסמה עדיף?

ישנן דרכים רבות להסביר מדוע ביטוי סיסמה ארוך כמו "חמור של אופני ביצה מוחלט" יהפוך לבחירה חזקה יותר בסיסמה מאשר משהו כמו "MisterA1!" - אך הפשוטה ביותר קשורה לערך מובן מאוד: אורך.

רעיון אחד העומד בבסיס תקנות ה- NIST החדשות הוא שבמובנים מסוימים, אנו מבססים את אסטרטגיית הסיסמא שלנו על מה הגיוני לבני אדם, תוך התעלמות מההגיוני במכונות.

כמה תווים אקראיים עשויים לבלבל האקרים אנושיים, אך סביר להניח שמחשבים לא ינדנדו בקלות על ידי מספר או תו נוסף בסוף סיסמא. הסיבה לכך היא שבניגוד לבני אדם, מחשבים לא קוראים סיסמאות למשמעות. הם פשוט קוראים אותם לפי מחרוזת.

התקפה של כוח ברוט היא כאשר מחשב עובר על כל התמורות האפשריות של תווים כדי לנסות "לפרוץ" על ידי מציאת השילוב הנכון, זה שנבחר במקור על ידי המשתמש. כאשר ההתקפות הללו מתרחשות, מה שהחשוב הוא עד כמה מורכבת הסיסמה שלך - וכל דמות נוספת מוסיפה גודל מורכב אדיר, כמעט מעריכי.

עם זאת בחשבון, ביטוי סיסמא הולך להיות חזק יותר באופן אקספוננציאלי - למרות שהוא "נראה" קל יותר לעין האנושית.

על ידי הרחבת האורך המקסימלי של סיסמא ל 64 תווים, ההנחיות החדשות של NIST מעניקות למשתמשים את חוזק הסיסמה שהם זקוקים להם, מבלי להטיל הרבה כללים נוגדים נגד.

אין רמזים!

המון מנהלים יאהבו להיפטר מדרישות התו המיוחדות ומכל העדכונים הקיימים בנושא סיסמאות עתירות עבודה, אך יש תכונה נוספת שמקבלת גם את הגרזן כאשר מקצוענים קוראים הנחיות NIST חדשות.

מערכות רבות מבקשות ממשתמשים חדשים להוסיף עובדות אודות עצמן למאגר נתונים במהלך האונבנדורד: הרעיון הוא שאחר כך, אם ישכחו את הסיסמה שלהם, המערכת יכולה לאמת אותן על סמך מחשבה על עברם שאיש אחר לא ידע. לדוגמא: מה הייתה המכונית הראשונה שלך? מה היה השם של חיית המחמד הראשונה שלך? מה שם הנעורים של אמא שלך?

זו עוד אחת מאותן טרנדים שחש אי נוחות עבור רבים מאיתנו. לפעמים, השאלות נראות פולשניות. כמו כן, סקפטים בעלי אופי ביטחון יצביעו על כך שיש רבים מאיתנו שנסעו לראשונה בשברולט, או, בכושר צעיר של התלהבות, כינה את הכלב הראשון שלנו "ספוט".

יש עומס העבודה של תחזוקת בסיס הנתונים והתאמת התשובות בעת הצורך.

בטוח לומר שלא יותר מדי אנשים עומדים להזיל דמעות בגלל היעלמותם של פונקציות "רמז לסיסמא" כשיש אפשרויות טובות יותר להפוך את פעילות המשתמשים לאבטחה באמת.

לא, זה לא בית הוופל! מלוחים, שוחים ומתחים

בחידושים אחרים, מומחים ממליצים כעת גם על "מלוח" סיסמאות, הכרוכות ביצירת מחרוזת תווים אקראית לפני תהליך "hashing" אשר ממפה מערך נתונים אחד לאחר, ובכך לשנות את איפור הסיסמה ומקשה על השבירה. יש גם תהליך שנקרא "מתיחה" שמיועד במיוחד לסכל התקפות כוח בריון, בין השאר על ידי הפיכת תהליך ההערכה לאיטי יותר.

המשותף לכל הפונקציות הללו הוא שהן מתרחשות בתחום הניהולי, ולא בהישג ידו של המשתמש. המשתמש הממוצע לא רוצה שום קשר לדברים פרוצדוראליים מסוג זה - הוא או היא רק רוצים לקבל גישה ולעשות כל מה שיש לעשות במערכת רשת, בין אם זה השלמת משימות עבודה, רשת עם חברים, או קנייה או מכירה של משהו באינטרנט. אז על ידי הסרת חוקי הסיסמא "בצד הלקוח" והפיכת מנהלי אבטחה רבים, חברות ובעלי עניין אחרים יכולים באמת לשפר את חווית המשתמש.

זוהי נקודת מפתח, מכיוון ששיפור חוויית המשתמש הוא מה שעוסק בהרבה חדשנות טכנולוגית חדשה. הגענו לנקודה בה הוצאנו הרבה פונקציונליות מהמחשבים, הסמארטפונים והמכשירים האחרים שלנו - הרבה מההתקדמות שנעשה בשנים הבאות כרוך בהקלת ביצוע משימות וירטואליות והיפטרות מהגושמות. חוויה: כמו אתר אינטרנט שאינו נייד ראשון, ממשק נוצץ, חיי סוללה לקויים ... או כניסה מייגעת! שם נכנס חידוש הסיסמאות. כשחוזרים לרעיון של אימות רב גורמים, סביר להניח שביומטריה תפתח עוד יותר קלות שימוש במכשירים - מדוע להקיש והקלד סיסמאות ארוכות כשאתה יכול פשוט להראות למכשיר שלך את מי הם עם אצבע?

יישום מעשי: כמה אתגרים נותרו

עם זאת, כפי שאמרנו, אנו תקועים עם סיסמאות וקודי PIN. לדוגמה, חלק ממערכות ההפעלה החדשות יותר עברו מ- PIN של ארבעה מספרים למספר PIN של שישה מספרים, מה שהופך רבים מאיתנו לאיטיים בהרבה על הגרלת המכשירים שלנו.

אחת הבעיות בגישת "ביטוי הסיסמה" שהומלצה על ידי NIST היא שעדיין יתקיימו איפוס סיסמאות (כפי שנדון בשרשור זה ב- Naked Security). אנשים עדיין ישכחו את הסיסמאות שלהם. יש הטוענים כי יתקשה על אנשי IT להוציא סיסמאות חדשות כאשר המקוריות ארוכות בהרבה.

עם זאת, יתכן שיש כאן פוטנציאל כלשהו כשמדובר באימות רב-גורמי. הביומטריה עדיין לא ממש תפסה, אבל כמעט לכולם טלפון סלולרי. הרבה מערכות בנקאות מקוונות ומערכות אחרות משתמשות ב- SMS כדי לאמת משתמשים. זו יכולה להיות דרך קלה לבדוק חשבונות שבהם הסיסמה אבדה או נשכחה. זו גם דרך מרכזית לחזק סיסמא באופן כללי, כאמור לעיל.

טיימס

אם אתה מנהל רשת, מה אומרים לך כללי ה- NIST החדשים?

בעיקרו של דבר, נראה שהסוכנות הפדרלית אומרת למנהלים: להירגע. אפשר למשתמשים לעשות את מה שהם עושים באופן אינטואיטיבי, עם הצפנה טובה יותר, מילון של מחרוזות אסורות ושדה קלט ארוך יותר עם רב-תכליתיות. אל תלמד אותם לאבד את הסיסמאות שלהם בכוכביות ובדמויות מיוחדות. ואל תגרום להם להמציא מחדש את כל התהליך כל כמה שבועות.

כל זה הולך להפוך פלטפורמה נתונה לרזה יותר ולרועשת. רק ביטול רמזי הסיסמה מסיר בסיס בסיס משמעותי עם כל דרישות המשאבים שלו. כללי ה- NIST החדשים מציבים את אבטחת הסיסמאות לאן שהוא שייך: מתוך ידיו של המשתמש האידיוסינקרטי ולמקום מעורפל בו פונקציות טכניות הופכות את ההיסטוריה להתקפות כוח קלות-ברזל של אתמול. הם מאפשרים לכולנו לנקוט בגישה חדשה ומצוננת למה שהיה תהליך מנסה: ליצור מילים וביטויים קטנים וייחודיים לכל פינה בחיינו הדיגיטליים. זהו צעד אחד נוסף לעבר עולם של ממשקי משתמש אינטואיטיביים יותר - עולם דיגיטלי חדש ומשופר בו מה שאנחנו עושים מרגיש טבעי יותר, ופחות מבלבל.