I-secure lamang: Ang Pagbabago ng Mga Kinakailangan ng Password Mas Madali sa Mga Gumagamit

Nilalaman

• Walang Mga bug, Walang Stress - Ang Iyong Hakbang sa Hakbang Patnubay sa Paglikha ng Software na Pagbabago ng Buhay nang Walang Pagsira sa Iyong Buhay
• Cognitive Dissonance at ang Herd Mentality
• Mga Bagong Pamantayan sa NIST: Ano ang Sa loob?
• Bakit Mas mahusay ang Isang Passphrase?
• Walang Hint!
• Hindi, Ito ay Hindi Waffle House! Salting, Hash at Stretching
• Praktikal na Pagpatupad: Nananatili ang Ilang mga Hamon
• Mga takeaways

Pinagmulan: taga-disenyo491 / iStockphoto

Takeaway:

Ang mga bagong patakaran ng NIST ay ang mga gumagamit ay humihinga ng hininga sa mga patakaran ng password

Mayroong mga malalaking pagbabago na bumababa ng pike na maaaring magustuhan ng parehong mga administrador ng system at mga regular na gumagamit - kailangan nilang gawin sa mga protocol ng password.

Ang mga password ay isang katotohanan ng buhay - karamihan sa atin ay napakarami sa kanila. Hindi namin maaalala ang lahat, at walang anumang paraan upang subaybayan ang mga ito maliban kung simulan namin itong isulat. Ang isa pang alternatibo ay ang tandaan lamang ang mga password na regular mong ginagamit, at humiling ng pag-reset ng password kapag kailangan mong ma-access ang iba pang mga site - ngunit na maraming pag-reset ng password! Ang mga eksperto tulad ni Cormac Herley, isang researcher ng Microsoft, ay nag-uusap tungkol sa napakalaking gastos sa oras ng pag-reset ng password, at kung paano ito makakakuha ng milyun-milyong dolyar bawat taon sa bawat taon. Gastos din nito ang mga gumagamit ng milyun-milyong minuto, nagkukubli sa keyboard, sinusubukan ba nilang tingnan ang personal na data, mag-sign up para sa isang serbisyo o bumili ng isang bagay mula sa isang tindahan ng e-commerce.

Kaya anong magagawa natin? At ano ang mga pinaka-nakahahadlang at nakakainis na mga aspeto ng paggamit ng aming password na nais nating itapon ang aming mga computer at aparato sa labas ng bintana?

Ipinakikita ng mga bagong ulat na bilang isang lipunan, maaaring maiiwasan natin ang ilan sa mga nakakainis na mga problema sa password. Pagpunta sa bagong pananaliksik sa cybersecurity, malamang na umunlad tayo nang lampas sa ilan sa mga kasalukuyang pamantayan sa seguridad na naging sanhi ng labis na pagkapagod sa mga huling taon.

Ang isang artikulo sa Wall Street Journal ay napupunta upang mailabas ang kapwa sa likod ng ilan sa mga patakarang ito, at makuha ang kanyang pag-input sa kung bakit hindi na nila kailangan.

Noong Agosto 7, 2017, ang manunulat ng WSJ na si Robert McMillan ay naghatid ng isang bombshell sa anyo ng isang bahagi ng investigative kay Bill Burr, ang may-akda ng isang 2003 na papel na nagtapos sa pagkakaroon ng malaking epekto sa mga pamantayan sa password ng corporate. Nagtrabaho si Burr sa National Institute of Standards and Technology, ang ahensya ng pederal na tungkulin sa pagsusuri ng makabagong teknolohiya sa Estados Unidos.

"Ang taong sumulat ng libro sa pamamahala ng password ay may pagtatapat na gagawin," nagsisimula ang pinuno ng piraso ni McMillan. "Dinugo niya ito."

Mula doon, nagpapatuloy ang artikulo upang ilarawan ang dalawang bugbear ng digital na panahon na naging kumplikado sa aming buhay. Ang una ay ang mga nagpapalubha na mga kinakailangan upang isama ang mga espesyal na character sa isang password. Ang iba pang mga madalas na pagbabago sa password.

Walang Mga bug, Walang Stress - Ang Iyong Hakbang sa Hakbang Patnubay sa Paglikha ng Software na Pagbabago ng Buhay nang Walang Pagsira sa Iyong Buhay

Hindi mo mapagbuti ang iyong mga kasanayan sa pagprograma kapag walang nagmamalasakit sa kalidad ng software.

Parehong mga kasanayan na ito ay tumatagal ng maraming oras kapag nagsasalita ka tungkol sa dose-dosenang mga indibidwal na password. Ang una, gayunpaman, ay isang klasikong kaso din ng "masamang interface" - hindi lamang ito intuitive, at pinipilit nito ang mga tao sa mga workarounds.

Cognitive Dissonance at ang Herd Mentality

Karamihan sa atin ay maaaring uri ng "pakiramdam" kung paano ang mga pamantayang password na ito ay nagdudulot ng pagkalito sa aming utak. Nakaharap sa napaka-abstract na pagpipilian kung paano isama ang isang numero at isang espesyal na karakter sa isang password, na kung hindi man ay isang alpabetong string, marami sa atin ang sadyang magwawasak sa isang "1!" Na hindi talaga nagkakaroon ng mga hacker ng foil. Sa katunayan, kung mas maraming pinili natin ang parehong mga pangkaraniwang mga pagpipilian, mas madali itong masira ang aming mga password. (Matuto nang higit pa tungkol sa mga hacker sa Talagang Pananaliksik sa Seguridad ba ang Tulong sa Security?)

Idagdag, sa itaas ng iyon, ang kahilingan na i-update ng mga gumagamit ang kanilang mga password bawat buwan, o tuwing tatlong buwan o higit pa.

Ang pangangatuwiran sa likod ng kahilingan na ito ay ang dating password ay dapat mabago sa isang bagay na lubos na naiiba - ngunit madalas, hindi iyon kung paano ito gumagana. Sinusubukang hawakan ang karagdagang utak na matalo ng pag-alala sa isang bagong tatak ng password, kukuha ng gumagamit ang lumang password at babaguhin ang isang titik o numero. Ngayon, ang lumang password ay isang pangunahing "sabihin" para sa bago - ito ay nagiging isang pananagutan.

Mga Bagong Pamantayan sa NIST: Ano ang Sa loob?

Ang mga bagong patakaran na binuo ng NIST ay magbabago ng lahat ng iyon.

Espesyal na Publication 800-63-3 ay isang pag-update sa orihinal na bersyon na gumaganap ng maraming kung ano ang sinasabi ng ilang mga eksperto ay dapat na ipinatupad sa lahat.

Una, inaalis ang parehong mga panuntunan sa komposisyon, tulad ng pagkakaroon ng paglalagay ng isang punong exclaim sa iyong password, at ang kinakailangan para sa mga regular na expirations.

Ang idinagdag ng NIST 800-63-3 ay isang pokus sa "makatotohanang" mga kasanayan sa seguridad.

Ang bagong mga panuntunan ay nagbibigay diin sa pagpapatunay ng multi-factor, na inilalarawan ng mga manunulat bilang paghahalo ng isang password (isang bagay na natatandaan mo) sa isang pisikal na susi o keycard (isang mayroon ka) o isang piraso ng data na biometric (isang bagay na bahagi mo). Ang iba pang mga mungkahi ay kinabibilangan ng paggamit ng mga cryptographic key, at ang pangangailangan na tanggapin ang lahat ng mga character na ASCII, pati na rin ang isang nangungunang haba ng 64 na character, at isang minimum na haba ng walong. (Matuto nang higit pa tungkol sa biometrics sa Paano Makatutulong ang Passive Biometrics sa IT Data Security.)

Sa isang pampublikong pagtatanghal ng slideshow na may pamagat na "Toward Better Password Requirements," ang dalubhasa sa pananaliksik ng seguridad na si Jim Fenton ay detalyado na inilalagay nang detalyado ang marami sa mga pag-aayos na ito bilang "mga shalts" at "hindi ka makikilala," din na nagpapaliwanag kung paano inirerekumenda ng NIST ang paglikha ng isang diksyunaryo ng madaling hackable password iyon ay dapat awtomatikong ipinagbabawal.

"Kung hindi madali, ang mga gumagamit ay nanloko," sulat ni Fenton, sinusuri ang ilan sa mga panuntunan sa commonsense na magpapahirap sa mahina na mga password upang makompromiso ang isang network.

Iminumungkahi din ng mga eksperto na ang mga gumagamit ay nag-iisip ng isang "passphrase" o hanay ng mga salita para sa isang password, sa halip na mga jumbles ng alphanumeric sopas na sinanay na ibigay namin.

Bakit Mas mahusay ang Isang Passphrase?

Maraming mga paraan upang maipaliwanag kung bakit ang isang mahabang passphrase tulad ng "kabuuang itlog ng bisikleta ng itlog" ay magiging isang mas malakas na pagpipilian ng password kaysa sa isang bagay na tulad ng "MisterA1!" - ngunit ang pinakasimpleng may kinalaman sa isang napakaintindihan na sukatan: haba.

Ang isang ideya sa gitna ng mga bagong regulasyon ng NIST ay na, sa ilang mga paraan, binase namin ang aming diskarte sa password sa kung ano ang kahulugan para sa mga tao, habang binabalewala ang kahulugan ng mga makina.

Ang ilang mga random na character ay maaaring maiiwasan ang mga hacker ng tao, ngunit ang mga computer ay hindi malamang na madaling mapalitan ng isang dagdag na numero o karakter sa pagtatapos ng isang password. Iyon ay dahil, hindi tulad ng mga tao, ang mga computer ay hindi basahin ang mga password para sa kahulugan. Nabasa lang nila ang mga ito sa pamamagitan ng string.

Ang isang pag-atake ng brute-force ay kapag ang isang computer ay dumadaan sa lahat ng posibleng mga pahintulot ng mga character upang subukang "masira" sa pamamagitan ng paghahanap ng tamang kumbinasyon, ang isang orihinal na pinili ng gumagamit. Kapag nangyari ang mga pag-atake na ito, ang mahalaga ay kung gaano kumplikado ang iyong password - at ang bawat karagdagang karakter ay nagdaragdag ng napakalaking, halos malawak na kalakha ng pagiging kumplikado.

Sa pag-iisip nito, ang isang passphrase ay magiging mas malakas - kahit na "mukhang" mas madali ito sa mata ng tao.

Sa pamamagitan ng pagpapalawak ng maximum na haba ng isang password sa 64 na character, ang mga bagong alituntunin ng NIST ay nagbibigay sa mga gumagamit ng lakas ng password na kailangan nila, nang hindi nagpapataw ng maraming mga panuntunan sa counterintuitive.

Walang Hint!

Maraming mga admin ang mahilig mag-alis ng mga espesyal na kinakailangan sa karakter at lahat ng mga pag-update ng password na masinsinang password, ngunit may isa pang tampok na nakakakuha din ng palakol habang binabasa ng mga propesyonal ang mga bagong alituntunin ng NIST.

Maraming mga system ang humihiling sa mga bagong gumagamit na magdagdag ng mga katotohanan tungkol sa kanilang sarili sa isang database sa panahon ng onboarding: ang ideya ay sa paglaon, kung nakalimutan nila ang kanilang password, maaaring patunayan ng system ang mga ito batay sa ilang pag-iisip tungkol sa kanilang nakaraan na walang ibang makakakilala. Halimbawa: Ano ang iyong unang kotse? Ano ang pangalan ng iyong unang alagang hayop? Ano ang pangalan ng ate ng iyong ina?

Ito ay isa pa sa mga uso na hindi komportable para sa marami sa atin. Minsan, ang mga tanong ay tila hindi nakakaabala. Gayundin, ang mga nag-aalinlangan sa pag-iisip ng seguridad ay ituturo na mayroong isang mahusay sa marami sa amin na unang nagtulak sa isang Chevrolet, o, sa isang kabataan na nababagay, na pinangalanan ang aming unang aso na "Spot."

Pagkatapos ay mayroong workload ng pagpapanatili ng database at pagtutugma ng mga sagot kung kinakailangan nila.

Ligtas na sabihin na hindi masyadong maraming mga tao ang magpapahid ng luha sa pagkawala ng mga function ng "hint ng password" kapag may mas mahusay na mga pagpipilian para sa paggawa ng tunay na aktibidad ng gumagamit.

Hindi, Ito ay Hindi Waffle House! Salting, Hash at Stretching

Sa iba pang mga pagbabago, inirerekumenda din ng mga eksperto na "salting" na mga password, na nagsasangkot sa paglikha ng isang random na string ng mga character bago ang isang "hashing" na proseso na mapa ang isang data na itinakda sa isa pa, sa gayon binabago ang makeup ng password at ginagawang mas mahirap masira. Mayroon ding proseso na tinatawag na "kahabaan" na partikular na idinisenyo upang palakasin ang mga pag-atake ng brute, na bahagyang sa pamamagitan ng pagbagal ng proseso ng pagsusuri.

Kung ano ang magkakapareho sa mga pagpapaandar na ito ay naganap sila sa larangan ng administratibo, hindi sa mga kamay ng gumagamit. Nais ng average na gumagamit na walang kinalaman sa mga ganitong uri ng mga bagay na pang-proseso - nais lamang niyang makakuha ng access at alamin kung anuman ang dapat gawin sa isang sistema ng network, kung nakumpleto nito ang mga gawain sa trabaho, networking sa mga kaibigan, o pagbili o pagbebenta ng isang bagay online. Kaya sa pamamagitan ng pag-alis ng mga patakaran ng password na "client-side" at paggawa ng maraming administratibong seguridad, ang mga kumpanya at iba pang mga stakeholder ay maaaring mapabuti ang karanasan ng gumagamit.

Ito ay isang pangunahing punto, dahil ang pagpapabuti ng karanasan ng gumagamit ay kung ano ang tungkol sa mga bagong makabagong teknolohiya. Nakarating kami sa punto kung saan nasira namin ang maraming pag-andar sa labas ng aming mga computer, smartphone at iba pang mga aparato - isang pulutong ng pag-unlad na gagawin namin sa mga darating na taon ay nagsasangkot sa paggawa ng mga virtual na gawain na madaling gawin, at mapupuksa ang kabag. ng isang karanasan: tulad ng isang hindi mobile-unang web site, isang glitchy interface, mahirap na buhay ng baterya ... o isang nakakapagod na logon! Iyon ay kung saan ang pagbabago ng password ay pumapasok. Bumalik sa ideya ng multi-factor na pagpapatunay, malamang na ang biometrics ay magbubukas ng higit na kadalian ng paggamit para sa mga aparato - bakit mag-tap at mag-type ng mahabang mga password kapag maaari mo lamang ipakita ang iyong aparato kung sino ka ay may daliri?

Praktikal na Pagpatupad: Nananatili ang Ilang mga Hamon

Gayunpaman, tulad ng sinabi namin, kami ay natigil sa mga password at PIN sa sandaling ito. Halimbawa, ang ilang mga mas bagong mga operating system ay lumipat mula sa isang apat na bilang na PIN sa isang anim na bilang na PIN, na ginagawa ang marami sa atin na mas mabagal sa draw sa aming mga aparato.

Ang isang isyu na may "passphrase" na diskarte na inirerekomenda ng NIST ay na mayroong pa rin pagpunta sa pag-reset ng password (tulad ng tinalakay sa thread na ito sa Naked Security). Malilimutan pa ng mga tao ang kanilang mga password. Ang ilan ay nagmumungkahi na maaaring mas mahirap para sa mga tao ng IT na mag-isyu ng mga bagong password kapag mas mahaba ang mga orihinal.

Gayunpaman, maaaring may ilang potensyal dito pagdating sa multi-factor na pagpapatunay. Ang mga biometrics ay hindi pa nahuli, ngunit halos lahat ay may mobile phone. Maraming mga online banking system at iba pang mga system ang gumagamit ng SMS upang patunayan ang mga gumagamit. Maaari itong maging isang madaling paraan upang suriin ang mga account kung saan nawala o nakalimutan ang password. Ito rin ang pangunahing paraan upang palakasin ang isang password sa pangkalahatan, tulad ng nabanggit sa itaas.

Mga takeaways

Kung ikaw ay isang tagapangasiwa ng network, ano ang sinasabi sa iyo ng bagong patakaran ng NIST?

Mahalaga, ang pederal na ahensya ay tila nagsasabi sa mga tagapamahala: mamahinga. Hayaan ang mga gumagamit na gawin ang kanilang ginagawa nang intuitively, na may mas mahusay na pag-encrypt, isang diksyunaryo ng mga ipinagbabawal na mga string, at isang mas mahabang larangan ng pag-input na may mas maraming kakayahan. Huwag ituro sa kanila na ipahiram ang kanilang mga password ng mga asterisk at cutesy na mga espesyal na character. At huwag mo silang gawing muli ang buong proseso tuwing ilang linggo.

Ang lahat ng ito ay gagawa ng isang naibigay na platform na mas malambot at may kahulugan. Ang pag-aalis ng mga pahiwatig ng password ay tumatagal ng isang makabuluhang codebase sa lahat ng mga kinakailangan sa mapagkukunan nito. Ang bagong panuntunan ng NIST ay naglalagay ng seguridad ng password kung saan kabilang ito: sa labas ng mga kamay ng gumagamit ng idiosyncratic at sa isang malaswang lugar kung saan ang mga pag-andar ng teknikal ay madaling kasaysayan ng pag-atake ng brute-force kahapon. Hinahayaan namin silang lahat na kumuha ng isang bagong pinalamig na diskarte sa kung ano ang naging isang pagsubok na proseso: paggawa ng natatanging maliit na salita at parirala para sa bawat sulok ng aming mga digital na buhay. Isa pa itong hakbang patungo sa isang mundo ng mas madaling maunawaan na mga interface ng gumagamit - isang bago at pinahusay na digital na mundo kung saan ang ating ginagawa ay mas natural, at hindi gaanong nakalilito.