Conţinut
- Fără bug-uri, fără stres - Ghidul dvs. pas cu pas pentru crearea de programe care schimbă viața fără a vă distruge viața
- Disonanța cognitivă și mentalitatea efectivului
- Noi standarde NIST: ce se află în interior?
- De ce este mai bună o parolă?
- Fără indicii!
- Nu, nu este casa waffle! Sărare, spălare și întindere
- Implementarea practică: rămân unele provocări
- concluzii
Sursa: designer491 / iStockphoto
La pachet:
Noile reguli NIST îi permit utilizatorilor să respire ușurat de politicile de parolă
Există schimbări majore care rezultă din ceea ce le-ar putea plăcea atât administratorii de sistem, cât și utilizatorii obișnuiți - au de a face cu protocoalele de parolă.
Parolele sunt un fapt al vieții - majoritatea dintre noi avem prea multe dintre ele. Nu le putem aminti pe toate și nu există aproape nicio modalitate de a le urmări dacă nu începem să le notăm. O altă alternativă este să vă amintiți doar parolele pe care le utilizați în mod regulat și să solicitați resetări de parolă atunci când trebuie să accesați celelalte site-uri, dar aceasta este o mulțime de resetări de parole! Experți precum Cormac Herley, un cercetător Microsoft, au continuat să vorbească despre costurile enorme pe care le are resetarea parolelor și cum pot costa companiile mari milioane de dolari în fiecare an. De asemenea, costă utilizatorilor milioane de minute, aruncând o privire pe tastatură, indiferent dacă încearcă să vizualizeze date personale, să se înscrie la un serviciu sau să cumpere ceva de la un magazin de comerț electronic.
Deci ce putem face? Și care sunt cele mai obstructive și mai enervante aspecte ale utilizării parolei noastre care ne fac să vrem să ne aruncăm computerul și dispozitivele pe fereastră?
Noile rapoarte arată că, în calitate de societate, este posibil să scăpăm de unele dintre aceste probleme enervante cu parola. Mergând cu noi cercetări privind securitatea cibernetică, vom progresa probabil dincolo de unele dintre standardele actuale de securitate care ne-au provocat atât de mult stres în ultimii ani.
Un articol din Wall Street Journal ajunge astfel încât să-i scoată pe ceilalți în spatele unora dintre aceste reguli și să-și aducă contribuția cu privire la motivul pentru care este posibil să nu mai fie nevoie de el.
Pe 7 august 2017, scriitorul WSJ, Robert McMillan, a livrat o foaie bombă sub forma unei piese de investigație a lui Bill Burr, autorul unei lucrări din 2003 care a sfârșit să aibă efecte majore asupra standardelor de parole corporative. Burr a lucrat la Institutul Național de Standarde și Tehnologie, agenția federală însărcinată cu evaluarea inovației tehnologice din S.U.A.
„Omul care a scris cartea despre administrarea parolelor are o mărturisire”, începe autorul piesei lui McMillan. - A suflat-o.
De acolo, articolul descrie mai departe două erori ale erorii digitale care ne-au complexificat viața. Prima este acele cerințe agravante pentru a include caractere speciale într-o parolă. Cealaltă este schimbarea frecventă a parolei.
Fără bug-uri, fără stres - Ghidul dvs. pas cu pas pentru crearea de programe care schimbă viața fără a vă distruge viața
Nu îți poți îmbunătăți abilitățile de programare atunci când nimeni nu îi pasă de calitatea software-ului.
Ambele practici necesită mult timp când vorbești despre zeci de parole individuale. Primul, însă, este și un caz clasic de „interfață proastă” - nu este doar intuitiv și îi obligă pe oameni să soluționeze.
Disonanța cognitivă și mentalitatea efectivului
Cei mai mulți dintre noi putem „simți” modul în care aceste standarde de parolă provoacă confuzie în creierul nostru. Față de alegerea foarte abstractă a modului de includere a unui număr și a unui caracter special într-o parolă, care altfel este un șir alfabetic, mulți dintre noi vor elimina pur și simplu un „1!” Care nu are tendința de a-și propune hackerii. De fapt, cu cât alegem aceleași opțiuni generice, cu atât devine mai ușor să ne crăpăm parolele. (Aflați mai multe despre hackerii din Cercetarea securității ajută efectiv hackerii?)
Adăugați, pe lângă aceasta, cerința ca utilizatorii să își actualizeze parolele în fiecare lună, sau la fiecare trei luni sau cam așa ceva.
Motivul din spatele acestei cerințe este că vechea parolă ar trebui să fie schimbată în ceva complet diferit - dar prea des, nu așa funcționează. Încercând să se ocupe de bătaia suplimentară a creierului de a-și aminti o parolă nouă, utilizatorul va lua parola veche și va schimba o literă sau un număr. Acum, vechea parolă este o „notă” majoră pentru cea nouă - devine o răspundere.
Noi standarde NIST: ce se află în interior?
Noile reguli elaborate de NIST vor schimba toate acestea.
Publicația specială 800-63-3 este o actualizare la versiunea inițială, care realizează o mulțime din ceea ce unii experți spun că ar fi trebuit să fie implementată de-a lungul timpului.
În primul rând, acesta elimină atât regulile de compoziție, cum ar fi nevoit să introduceți un punct de exclamare în parola dvs. și cerința de expirare de rutină.
Ceea ce adaugă NIST 800-63-3 este concentrarea pe practicile de securitate „realiste”.
Noile reguli subliniază autentificarea cu mai mulți factori, pe care scriitorii o descriu ca amestecând o parolă (ceva ce îți amintești) cu o cheie fizică sau cu o cheie (ceva ce ai) sau o bucată de date biometrice (ceva care face parte din tine). Alte sugestii includ utilizarea cheilor criptografice și nevoia de a accepta toate caracterele ASCII capabile, precum și o lungime superioară de 64 de caractere și o lungime minimă de opt. (Aflați mai multe despre biometrie în modul în care Biometria pasivă poate ajuta în securitatea datelor IT.)
Într-o prezentare de diapozitive publică, intitulată „Spre cerințe mai bune de parolă”, expertul în cercetare în securitate Jim Fenton prezintă în detaliu multe dintre aceste corecții ca „tu trebuie” și „nu trebuie”, explicând și modul în care NIST recomandă crearea unui dicționar de parole ușor de accesat. asta ar trebui interzis automat.
„Dacă nu este ușor, utilizatorii înșelă”, scrie Fenton, examinând unele dintre regulile de sens care vor îngreuna compromisul parolelor slabe pentru o rețea.
Experții sugerează, de asemenea, ca utilizatorii să se gândească la o „parolă” sau la un set de cuvinte pentru o parolă, mai degrabă decât la supa alfanumerică pe care am fost instruiți să le oferim.
De ce este mai bună o parolă?
Există multe modalități de a explica de ce o parolă lungă, cum ar fi „măgarul total cu bicicleta cu ou”, va fi o alegere mai puternică a parolei decât ceva de genul „MisterA1!” - dar cel mai simplu are de-a face cu o metrică foarte inteligibilă: lungimea.
O idee în centrul noilor reglementări NIST este că, în unele moduri, ne-am bazat strategia de parolă pe ceea ce are sens pentru oameni, în timp ce ignorăm ceea ce are sens pentru mașini.
Câteva personaje aleatorii ar putea să-i dezamăgească pe hackeri umani, dar calculatoarele nu sunt susceptibile să fie ușor balansate de un număr sau de un caracter suplimentar la finalul unei parole. Acest lucru se datorează faptului că, spre deosebire de oameni, computerele nu citesc parole pentru sens. Le citesc pur și simplu după șir.
Un atac de forță brută este atunci când un computer parcurge toate permutările posibile ale caracterelor pentru a încerca să se „întrerupă” găsind combinația potrivită, cea selectată inițial de utilizator. Când aceste atacuri se întâmplă, ceea ce va conta este cât de complexă este parola dvs. și fiecare personaj suplimentar adaugă o enormă magnitudine de complexitate aproape exponențială.
Având în vedere acest lucru, o frază de acces va fi exponențial mai puternică - chiar dacă „pare” mai ușor pentru ochiul uman.
Prin extinderea lungimii maxime a unei parole la 64 de caractere, noile orientări NIST oferă utilizatorilor parola puterea de care au nevoie, fără a impune o mulțime de reguli contraintuitive.
Fără indicii!
O mulțime de admin-uri vor adora să scape de cerințele speciale ale caracterului și de toate actualizările de parolă care necesită forță de muncă, dar există o altă caracteristică care primește și toporul în timp ce profesioniștii citesc noile orientări NIST.
Multe sisteme cer noilor utilizatori să adauge informații despre ei înșiși într-o bază de date în timpul bordului: ideea este că mai târziu, dacă uită parola, sistemul le poate autentifica pe baza unor gânduri despre trecutul lor, pe care nimeni altcineva nu le-ar ști. De exemplu: Care a fost prima ta mașină? Care a fost numele primului tau animal de companie? Care este numele de fata al mamei tale?
Aceasta este o altă dintre acele tendințe care s-au simțit incomode pentru mulți dintre noi. Uneori, întrebările par intruzive. De asemenea, scepticii cu siguranță vor sublinia că sunt mulți dintre noi cei care au condus mai întâi un Chevrolet sau, într-un mod tineresc de exuberanță, numit primul nostru câine „Spot”.
Apoi, există volumul de lucru pentru menținerea bazei de date și potrivirea răspunsurilor atunci când este nevoie.
Este sigur să spunem că nu prea multe persoane vor arunca lacrimi în urma dispariției funcțiilor „sugestie de parolă” atunci când există opțiuni mai bune pentru a face ca activitatea utilizatorului să fie cu adevărat sigură.
Nu, nu este casa waffle! Sărare, spălare și întindere
În alte inovații, experții recomandă acum și parolele de „sărare”, care implică crearea unui șir de caractere aleatoriu înainte de un proces „hashing”, care mapează un set de date la altul, schimbând astfel machiajul parolei și făcând mai dificilă spargerea parolei. Există, de asemenea, un proces numit „întindere”, care este conceput special pentru a antrena atacurile de forță brută, în parte făcând procesul de evaluare mai lent.
Toate aceste funcții au în comun este faptul că au loc pe tărâmul administrativ, nu la îndemâna utilizatorului. Utilizatorul obișnuit nu dorește să aibă nicio legătură cu aceste tipuri de proceduri - el sau ea doar dorește să obțină acces și să meargă la tot ceea ce trebuie să facă într-un sistem de rețea, fie că este vorba de finalizarea sarcinilor de lucru, de rețea cu prietenii sau de cumpărarea sau vânzarea a ceva pe net. Așadar, prin eliminarea regulilor de parolă „din partea clientului” și prin utilizarea unei multitudini de securitate administrativă, companiile și alte părți interesate pot îmbunătăți cu adevărat experiența utilizatorului.
Acesta este un punct cheie, deoarece îmbunătățirea experienței utilizatorului este ceea ce înseamnă o mulțime de inovații tehnologice noi. Am ajuns la punctul în care am eliminat o mulțime de funcționalități din calculatoarele noastre, telefoanele inteligente și alte dispozitive - o mulțime de progrese pe care le vom face în anii următori implică simplificarea sarcinilor virtuale și scăparea de obraznici a unei experiențe: cum ar fi un prim site web care nu este mobil, o interfață glitchy, o viață slabă a bateriei ... sau un logon obositor! Acolo intervine inovația prin parolă. Revenind la ideea autentificării cu mai mulți factori, este probabil ca biometria să deblocheze și mai mult ușurința de utilizare pentru dispozitive - de ce atingeți și tastați parolele lungi atunci când puteți arăta doar dispozitivul dvs. sunt cu un deget?
Implementarea practică: rămân unele provocări
După cum am spus, cu toate acestea, deocamdată am rămas cu parole și coduri PIN. De exemplu, unele sisteme de operare mai noi au trecut de la un PIN cu patru numere la un PIN cu șase numere, ceea ce face ca mulți dintre noi să fie mult mai încet la tragerea pe dispozitivele noastre.
O problemă a abordării „passphrase” recomandată de NIST este că vor mai fi resetate parolele (așa cum este discutat în acest thread despre Naked Security). Oamenii încă vor uita parolele. Unii sugerează că ar putea fi mai greu pentru persoanele din IT să emită noi parole atunci când cele originale sunt mult mai lungi.
Cu toate acestea, ar putea exista un potențial aici când vine vorba de autentificarea cu mai mulți factori. Biometricele nu au fost încă surprinse, dar aproape toată lumea are un telefon mobil. O mulțime de sisteme bancare online și alte sisteme folosesc SMS-uri pentru autentificarea utilizatorilor. Aceasta ar putea fi o modalitate ușoară de a verifica conturile în care parola a fost pierdută sau uitată. Este, de asemenea, o modalitate cheie de a consolida o parolă în general, după cum am menționat mai sus.
concluzii
Dacă sunteți administrator de rețea, ce vă spun noile reguli NIST?
În esență, agenția federală pare să le spună managerilor: relaxați-vă. Permiteți utilizatorilor să facă ceea ce fac intuitiv, cu o criptare mai bună, un dicționar de șiruri interzise și un câmp de introducere mai lung, cu mai multă versatilitate. Nu-i învățați să-și lase parolele cu asteriscuri și personaje speciale de cuțete. Și nu-i face să reîncadreze întregul proces la fiecare câteva săptămâni.
Toate acestea vor face ca o platformă dată să fie mai ușoară și mai semnificativă. Doar eliminarea indicilor de parolă elimină o bază de cod semnificativă cu toate cerințele sale de resurse. Noile reguli NIST plasează securitatea parolelor acolo unde aparține: din mâinile utilizatorului idiosincratic și într-un loc obscur în care funcțiile tehnice fac ca istoricul atacurilor de forță brută să fie ușor de ieri. Ne-au lăsat pe toți să adoptăm o nouă abordare răcoroasă a ceea ce a fost un proces de încercare: crearea de cuvinte și fraze unice pentru fiecare colț al vieții noastre digitale. Este încă un pas către o lume cu interfețe de utilizator mai intuitive - o lume digitală nouă și îmbunătățită în care ceea ce facem se simte mai natural și mai puțin confuz.