Απλά ασφαλής: Αλλαγή των απαιτήσεων κωδικού πρόσβασης ευκολότερη στους χρήστες

Περιεχόμενο

• No Bugs, No Stress - Ο οδηγός σας βήμα προς βήμα για τη δημιουργία λογισμικού που αλλάζει τη ζωή χωρίς να καταστρέφει τη ζωή σας
• Γνωστική διαφωνία και ψυχική νοοτροπία
• Νέα πρότυπα NIST: Τι είναι μέσα;
• Γιατί είναι καλύτερη η φράση πρόσβασης;
• Δεν υπάρχουν συμβουλές!
• Όχι, δεν είναι βάρκα σπίτι! Αλάτιση, χασμουρητό και τέντωμα
• Πρακτική υλοποίηση: μερικές προκλήσεις παραμένουν
• Πάμε

Πηγή: designer491 / iStockphoto

Πάρε μακριά:

Οι νέοι κανόνες NIST έχουν χρήστες που αναπνέουν ανακούφιση στις πολιτικές κωδικού πρόσβασης

Υπάρχουν μεγάλες αλλαγές που έρχονται κάτω από το ακίδα που αμφότεροι οι διαχειριστές συστημάτων και οι τακτικοί χρήστες μπορεί να αγαπούν - έχουν να κάνουν με τα πρωτόκολλα κωδικού πρόσβασης.

Οι κωδικοί πρόσβασης είναι ένα γεγονός της ζωής - οι περισσότεροι από εμάς έχουν πάρα πολλά από αυτά. Δεν μπορούμε να τα θυμηθούμε όλα και δεν υπάρχει κανένας τρόπος να τα παρακολουθήσουμε, εκτός αν αρχίσουμε να τα γράφουμε. Μια άλλη εναλλακτική λύση είναι να θυμάστε ακριβώς τους κωδικούς πρόσβασης που χρησιμοποιείτε τακτικά και να ζητήσετε επαναφορά του κωδικού πρόσβασης όταν χρειάζεται να έχετε πρόσβαση σε άλλους ιστότοπους - αλλά αυτό είναι πολύ επαναφορά κωδικού πρόσβασης! Εμπειρογνώμονες όπως ο Cormac Herley, ερευνητής της Microsoft, μίλησαν για το τεράστιο κόστος του χρόνου επαναφοράς του κωδικού πρόσβασης και πώς μπορεί να κοστίσει τις μεγάλες επιχειρήσεις εκατομμύρια δολάρια κάθε χρόνο. Επίσης, κοστίζει τους χρήστες εκατομμυρίων λεπτών, βγαίνοντας από το πληκτρολόγιο, αν προσπαθούν να δουν προσωπικά δεδομένα, να εγγραφούν για μια υπηρεσία ή να αγοράσουν κάτι από ένα κατάστημα ηλεκτρονικού εμπορίου.

Λοιπόν, τι μπορούμε να κάνουμε? Και ποιες είναι οι πιο αποπροσανατολιστικές και ενοχλητικές πτυχές της χρήσης του κωδικού πρόσβασης που μας κάνουν να θέλουμε να βάλουμε τους υπολογιστές και τις συσκευές μας έξω από το παράθυρο;

Νέες αναφορές δείχνουν ότι ως κοινωνία ίσως είμαστε έτοιμοι να ξεφορτωθούμε μερικά από αυτά τα ενοχλητικά προβλήματα κωδικού πρόσβασης. Προχωρώντας με μια νέα έρευνα σχετικά με την ασφάλεια στον κυβερνοχώρο, θα προχωρήσουμε πιθανώς πέρα ​​από ορισμένα από τα τρέχοντα πρότυπα ασφάλειας που μας έχουν προκαλέσει τόση άγχος τα τελευταία χρόνια.

Ένα άρθρο στην Wall Street Journal φτάνει μέχρι και να αναδείξει τους συναδέλφους πίσω από κάποιους από αυτούς τους κανόνες και να πάρει την εισήγησή του για το γιατί μπορεί να μην χρειαστεί πια.

Στις 7 Αυγούστου 2017, ο συγγραφέας WSJ Robert McMillan έδωσε μια βόμβα με τη μορφή ενός ερευνητικού τεύχους για τον Bill Burr, τον συγγραφέα ενός εγγράφου του 2003 που κατέληξε να έχει μεγάλες επιπτώσεις στα πρότυπα εταιρικού κωδικού πρόσβασης. Ο Burr εργάστηκε στο Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας, ο ομοσπονδιακός οργανισμός που ανέθεσε την αξιολόγηση της τεχνολογικής καινοτομίας στις ΗΠΑ

"Ο άνθρωπος που έγραψε το βιβλίο για τη διαχείριση του κωδικού πρόσβασης έχει μια ομολογία να κάνει", ξεκινάει το παλαμάρι του έργου του McMillan. "Το έσπασε."

Από εκεί, το άρθρο συνεχίζει να περιγράφει δύο bugbears της ψηφιακής εποχής που έχουν πολύπλοκη ζωή μας. Το πρώτο είναι αυτές οι επιβαρυντικές απαιτήσεις για να συμπεριληφθούν ειδικοί χαρακτήρες σε έναν κωδικό πρόσβασης. Το άλλο είναι συχνές αλλαγές κωδικού πρόσβασης.

No Bugs, No Stress - Ο οδηγός σας βήμα προς βήμα για τη δημιουργία λογισμικού που αλλάζει τη ζωή χωρίς να καταστρέφει τη ζωή σας

Δεν μπορείτε να βελτιώσετε τις δεξιότητες προγραμματισμού σας όταν κανείς δεν ενδιαφέρεται για την ποιότητα του λογισμικού.

Και οι δύο αυτές πρακτικές χρειάζονται πολύ χρόνο όταν μιλάτε για δεκάδες μεμονωμένους κωδικούς πρόσβασης. Το πρώτο, όμως, είναι επίσης μια κλασική περίπτωση "κακής διασύνδεσης" - δεν είναι απλώς διαισθητική και αναγκάζει τους ανθρώπους σε λύσεις.

Γνωστική διαφωνία και ψυχική νοοτροπία

Οι περισσότεροι από εμάς μπορούν κάπως να «αισθάνονται» πώς αυτά τα πρότυπα κωδικού πρόσβασης προκαλούν σύγχυση στους εγκεφάλους μας. Αντιμετωπίζοντας την πολύ αφηρημένη επιλογή για τον τρόπο με τον οποίο θα συμπεριληφθεί ένας αριθμός και ένας ειδικός χαρακτήρας σε έναν κωδικό πρόσβασης, που αλλιώς είναι αλφαβητική σειρά, πολλοί από εμάς απλά θα εξαλείψουμε ένα "1!" Αυτό δεν τείνει να αποβάλει τους χάκερς. Στην πραγματικότητα, όσο περισσότερο επιλέγουμε τις ίδιες γενικές επιλογές, τόσο πιο εύκολο είναι να σπάσουμε τους κωδικούς πρόσβασής μας. (Μάθετε περισσότερα για τους χάκερ στην έρευνα ασφαλείας είναι στην πραγματικότητα η βοήθεια των χάκερ;)

Προσθέστε, επιπροσθέτως, την απαίτηση ότι οι χρήστες ενημερώνουν τους κωδικούς τους κάθε μήνα ή κάθε τρεις μήνες περίπου.

Ο συλλογισμός πίσω από αυτή την απαίτηση είναι ότι ο παλιός κωδικός πρόσβασης πρέπει να μετατραπεί σε κάτι τελείως διαφορετικό - αλλά πολύ συχνά, αυτό δεν είναι το πώς λειτουργεί. Προσπαθώντας να χειριστεί το επιπλέον εγκεφαλικό επεισόδιο που θυμάται έναν ολοκαίνουργιο κωδικό πρόσβασης, ο χρήστης θα πάρει τον παλιό κωδικό πρόσβασης και θα αλλάξει ένα γράμμα ή έναν αριθμό. Τώρα, ο παλιός κωδικός πρόσβασης είναι ένα σημαντικό "tell" για το νέο - γίνεται μια ευθύνη.

Νέα πρότυπα NIST: Τι είναι μέσα;

Οι νέοι κανόνες που αναπτύσσει η NIST θα αλλάξουν όλα αυτά.

Η ειδική έκδοση 800-63-3 είναι μια ενημέρωση της αρχικής έκδοσης που επιτυγχάνει πολλά από όσα λένε ορισμένοι εμπειρογνώμονες ότι θα έπρεπε να έχουν εφαρμοστεί καθ 'όλη τη διάρκεια.

Κατ 'αρχάς, αφαιρεί και τους δύο κανόνες σύνθεσης, όπως να χρειαστεί να δώσετε ένα θαυμαστικό στον κωδικό σας και την απαίτηση για τακτικές λήξεις.

Αυτό που προσθέτει το NIST 800-63-3 είναι η εστίαση σε "ρεαλιστικές" πρακτικές ασφαλείας.

Οι νέοι κανόνες υπογραμμίζουν τον έλεγχο ταυτότητας πολλαπλών παραγόντων, τον οποίο οι συγγραφείς περιγράφουν ως αναμειγνύοντας έναν κωδικό πρόσβασης (κάτι που θυμάστε) με ένα φυσικό κλειδί ή καρτέλα (κάτι που έχετε) ή ένα κομμάτι βιομετρικών δεδομένων (κάτι που είναι μέρος σας). Άλλες προτάσεις περιλαμβάνουν τη χρήση κρυπτογραφικών κλειδιών και την ανάγκη αποδοχής όλων των δυνατών χαρακτήρων ASCII, καθώς και μέγιστου μήκους 64 χαρακτήρων και ελάχιστου μήκους οκτώ. (Μάθετε περισσότερα για τη βιομετρία στο πώς η παθητική βιομετρία μπορεί να βοηθήσει στην ασφάλεια δεδομένων IT.)

Σε μια δημόσια παρουσίαση παρουσίασης με τίτλο "Προς τις καλύτερες απαιτήσεις κωδικού πρόσβασης", ο ειδικός της έρευνας ασφαλείας Jim Fenton θέτει λεπτομερώς πολλές από αυτές τις διορθώσεις ως "εσείς shalts" και "δεν θα", εξηγώντας επίσης πώς NIST συνιστά τη δημιουργία ενός λεξικού των εύκολα hackable κωδικών πρόσβασης αυτό θα πρέπει να απαγορεύεται αυτόματα.

"Αν δεν είναι εύκολο, οι χρήστες εξαπατούν", γράφει ο Fenton, εξετάζοντας ορισμένους από τους κανόνες κοινής λογικής που θα δυσκολέψουν τους αδύναμους κωδικούς πρόσβασης να θέσουν σε κίνδυνο ένα δίκτυο.

Οι εμπειρογνώμονες προτείνουν επίσης ότι οι χρήστες σκέφτονται μια "φράση πρόσβασης" ή ένα σύνολο λέξεων για έναν κωδικό πρόσβασης, αντί για τα μικρά αλφαριθμητικά σούπα που έχουμε εκπαιδευτεί να παρέχουμε.

Γιατί είναι καλύτερη η φράση πρόσβασης;

Υπάρχουν πολλοί τρόποι για να εξηγήσετε γιατί μια μεγάλη φράση πρόσβασης, όπως ο «ολικός γάιδαρος ποδηλάτου αυγών» πρόκειται να είναι μια ισχυρότερη επιλογή κωδικού πρόσβασης από κάτι σαν το "MisterA1!" - αλλά το απλούστερο έχει να κάνει με μια πολύ κατανοητή μετρική: μήκος.

Μία ιδέα στην καρδιά των νέων κανονισμών NIST είναι ότι, με κάποιους τρόπους, βασίσαμε τη στρατηγική κωδικού πρόσβασης σε ό, τι έχει νόημα για τους ανθρώπους, παραβλέποντας το τι έχει νόημα για τα μηχανήματα.

Μερικοί τυχαίοι χαρακτήρες μπορεί να διαστρέψουν τους ανθρώπους χάκερ, αλλά οι υπολογιστές δεν είναι πιθανό να επηρεαστούν εύκολα από έναν επιπλέον αριθμό ή χαρακτήρα στο τέλος ενός κωδικού πρόσβασης. Αυτό συμβαίνει επειδή, σε αντίθεση με τους ανθρώπους, οι υπολογιστές δεν διαβάζουν κωδικούς πρόσβασης για νόημα. Απλώς τα διαβάζουν με συμβολοσειρά.

Μια επίθεση βίαιης δύναμης είναι όταν ένας υπολογιστής περνάει από όλες τις πιθανές μεταβολές των χαρακτήρων για να προσπαθήσει να «σπάσει» εντοπίζοντας τον σωστό συνδυασμό, τον αρχικά επιλεγμένο από τον χρήστη. Όταν συμβαίνουν αυτές οι επιθέσεις, αυτό που έχει σημασία είναι πόσο σύνθετος είναι ο κωδικός πρόσβασής σας - και κάθε πρόσθετος χαρακτήρας προσθέτει ένα τεράστιο, σχεδόν εκθετικό μέγεθος πολυπλοκότητας.

Με αυτό το πνεύμα, μια φράση πρόσβασης θα είναι εκθετικά ισχυρότερη - αν και "φαίνεται" πιο εύκολα στο ανθρώπινο μάτι.

Με την επέκταση του μέγιστου μήκους ενός κωδικού πρόσβασης σε 64 χαρακτήρες, οι νέες οδηγίες NIST δίνουν στους χρήστες τη δύναμη του κωδικού πρόσβασης που χρειάζονται, χωρίς να επιβάλλουν πολλούς αντιθετικούς κανόνες.

Δεν υπάρχουν συμβουλές!

Πολλοί διαχειριστές πρόκειται να αγαπούν να απαλλαγούν από τις ειδικές απαιτήσεις χαρακτήρα και όλες αυτές τις ενημερώσεις κωδικού πρόσβασης έντασης εργασίας, αλλά υπάρχει και ένα άλλο χαρακτηριστικό που παίρνει επίσης το τσεκούρι, καθώς οι επαγγελματίες διαβάζουν νέες οδηγίες NIST.

Πολλά συστήματα ζητούν από τους νέους χρήστες να προσθέσουν στοιχεία για τον εαυτό τους σε μια βάση δεδομένων κατά τη διάρκεια της επιβίβασης: η ιδέα είναι ότι αργότερα, αν ξεχάσουν τον κωδικό πρόσβασης, το σύστημα μπορεί να τα αναγνωρίσει με βάση κάποια σκέψη για το παρελθόν τους που κανείς άλλος δεν θα ξέρει. Για παράδειγμα: Ποιο ήταν το πρώτο σας αυτοκίνητο; Ποιο ήταν το όνομα του πρώτου σου κατοικίδιου? Ποιο είναι το πατρικό όνομα της μητέραςσου?

Αυτή είναι μια άλλη από αυτές τις τάσεις που αισθάνθηκε άβολα για πολλούς από εμάς. Μερικές φορές, οι ερωτήσεις φαίνονται ενοχλητικές. Επίσης, οι σκεπτικιστές που ενδιαφέρονται για την ασφάλεια θα επισημάνουν ότι υπάρχουν πολλοί από εμάς που οδήγησαν για πρώτη φορά ένα Chevrolet ή, σε μια νεανική ταμπεραμέντο, ονόμασαν το πρώτο μας σκυλί "Spot".

Τότε υπάρχει ο φόρτος εργασίας της διατήρησης της βάσης δεδομένων και της αντιστοίχισης των απαντήσεων όταν χρειάζονται.

Είναι ασφαλές να πούμε ότι δεν είναι πάρα πολλοί άνθρωποι πρόκειται να ρίχνουν δάκρυα πάνω από την εξαφάνιση των λειτουργιών "υπαινιγμό κωδικού πρόσβασης" όταν υπάρχουν καλύτερες επιλογές για να γίνει η δραστηριότητα του χρήστη πραγματικά ασφαλής.

Όχι, δεν είναι βάρκα σπίτι! Αλάτιση, χασμουρητό και τέντωμα

Σε άλλες καινοτομίες, οι ειδικοί συνιστούν επίσης "αλατισμένους" κωδικούς πρόσβασης, ο οποίος περιλαμβάνει τη δημιουργία μιας τυχαίας σειράς χαρακτήρων πριν από μια διαδικασία "κατακερματισμού" που χαρτογραφεί ένα σύνολο δεδομένων σε άλλο, αλλάζοντας έτσι το μακιγιάζ του κωδικού πρόσβασης και καθιστώντας πιο δύσκολο το σπάσιμο. Υπάρχει επίσης μια διαδικασία που ονομάζεται "τέντωμα", η οποία έχει σχεδιαστεί ειδικά για να εξαλείψει τις επιθέσεις βίαιης δύναμης, εν μέρει καθιστώντας τη διαδικασία αξιολόγησης πιο αργή.

Αυτό που όλες αυτές οι λειτουργίες έχουν κοινό είναι ότι πραγματοποιούνται στον διοικητικό τομέα και όχι στα χέρια του χρήστη. Ο μέσος χρήστης δεν θέλει να κάνει τίποτα με αυτά τα διαδικαστικά πράγματα - αυτός ή αυτή απλώς θέλει να αποκτήσει πρόσβαση και να προχωρήσει σε οτιδήποτε υπάρχει σε ένα δίκτυο, είτε πρόκειται για την ολοκλήρωση εργασιών, για δικτύωση με φίλους είτε για αγορά ή πώληση κάτι σε απευθείας σύνδεση. Επομένως, αφαιρώντας τους κανόνες κωδικού πρόσβασης "πελάτη-πλευρά" και κάνοντας πολλούς φορείς ασφαλείας, οι εταιρείες και άλλοι ενδιαφερόμενοι μπορούν πραγματικά να βελτιώσουν την εμπειρία των χρηστών.

Αυτό είναι ένα βασικό σημείο, διότι η βελτίωση της εμπειρίας των χρηστών είναι αυτό που κάνει πολλές νέες τεχνολογικές καινοτομίες. Έχουμε έρθει στο σημείο όπου έχουμε βγάλει πολλή λειτουργικότητα από τους υπολογιστές μας, τα smartphones και άλλες συσκευές - η μεγάλη πρόοδος που θα σημειώσουμε τα επόμενα χρόνια θα κάνει ευκολότερη την πραγματοποίηση εικονικών εργασιών και θα απαλλαγούμε από την ασυδοσία μιας εμπειρίας: όπως ένας μη-κινητός-πρώτος δικτυακός τόπος, ένα glitchy διασύνδεση, η κακή διάρκεια ζωής της μπαταρίας ... ή μια κουραστική σύνδεση! Αυτός είναι ο τόπος όπου εισέρχεται η καινοτομία στον κωδικό πρόσβασης. Επιστρέφοντας στην ιδέα του ελέγχου ταυτότητας πολλαπλών παραγόντων, είναι πιθανό ότι τα βιομετρικά στοιχεία θα ξεκλειδώσουν ακόμη μεγαλύτερη ευκολία χρήσης για συσκευές - γιατί πατήστε και πληκτρολογήστε μακρούς κωδικούς πρόσβασης, όταν μπορείτε απλά να δείξετε τη συσκευή σας ποιος είναι με ένα δάχτυλο;

Πρακτική υλοποίηση: μερικές προκλήσεις παραμένουν

Όπως είπαμε, ωστόσο, έχουμε κολλήσει με κωδικούς πρόσβασης και κωδικούς PIN προς το παρόν. Για παράδειγμα, ορισμένα νεότερα λειτουργικά συστήματα έχουν αλλάξει από ένα PIN τεσσάρων αριθμών σε ένα PIN έξι αριθμών, καθιστώντας πολλούς από εμάς πολύ πιο αργούς στην κλήρωση στις συσκευές μας.

Ένα ζήτημα με την προσέγγιση "passphrase" που συνιστά η NIST είναι ότι εξακολουθούν να υπάρχουν επαναφορές κωδικού πρόσβασης (όπως συζητήθηκε σε αυτό το νήμα στο Naked Security). Οι άνθρωποι εξακολουθούν να ξεχνούν τους κωδικούς πρόσβασης. Μερικοί προτείνουν ότι θα μπορούσε να γίνει πιο δύσκολο για τους ανθρώπους της πληροφορικής να εκδίδουν νέους κωδικούς όταν οι αρχικές είναι πολύ μεγαλύτερες.

Εντούτοις, μπορεί να υπάρξουν κάποιες δυνατότητες εδώ όταν πρόκειται για έλεγχο ταυτότητας πολλαπλών παραγόντων. Τα βιομετρικά στοιχεία δεν έχουν πιάσει ακόμα, αλλά σχεδόν όλοι έχουν κινητό τηλέφωνο. Πολλά ηλεκτρονικά τραπεζικά συστήματα και άλλα συστήματα χρησιμοποιούν SMS για την ταυτοποίηση των χρηστών. Αυτό θα μπορούσε να είναι ένας εύκολος τρόπος για να ελέγξετε τους λογαριασμούς όπου ο κωδικός πρόσβασης χάθηκε ή ξεχάστηκε. Είναι επίσης ένας βασικός τρόπος για την ενίσχυση ενός κωδικού πρόσβασης γενικά, όπως προαναφέρθηκε.

Πάμε

Εάν είστε διαχειριστής δικτύου, ποιοι είναι οι νέοι κανόνες NIST που σας λένε;

Ουσιαστικά, ο ομοσπονδιακός οργανισμός φαίνεται να λέει διευθυντικά στελέχη: χαλαρώστε. Αφήστε τους χρήστες να κάνουν αυτό που κάνουν διαισθητικά, με καλύτερη κρυπτογράφηση, ένα λεξικό απαγορευμένων συμβολοσειρών και ένα μεγαλύτερο πεδίο εισαγωγής με μεγαλύτερη ευελιξία. Μην τους διδάσκετε να λαχανιάζουν τους κωδικούς πρόσβασης τους με αστερίσκους και ειδικούς χαρακτήρες. Και μην τους αναγκάζετε να ξανακάνετε όλη τη διαδικασία κάθε λίγες εβδομάδες.

Όλα αυτά θα κάνουν μια συγκεκριμένη πλατφόρμα πιο λεπτή και πιο κακή. Μόνο η κατάργηση των υπαινιγμών για τον κωδικό απομακρύνει ένα σημαντικό κώδικα με όλες τις απαιτήσεις των πόρων του. Οι νέοι κανόνες NIST θέτουν την ασφάλεια των κωδικών πρόσβασης όπου ανήκουν: εκτός από τα χέρια του ιδιοσυγκρασιακού χρήστη και σε ένα σκοτεινό μέρος όπου οι τεχνικές λειτουργίες καθιστούν το χθεσινό εύκολο ιστορικό βίαιων δυνάμεων. Αφήνουμε όλοι μας να ακολουθήσουμε μια νέα προσέγγιση που έχει ξεκαθαρίσει σε μια προσπάθεια: να δημιουργούμε μοναδικά μικρά λόγια και φράσεις για κάθε γωνιά της ψηφιακής μας ζωής. Είναι ένα ακόμη βήμα προς έναν κόσμο πιο διαισθητικών διεπαφών χρήστη - ένας νέος και βελτιωμένος ψηφιακός κόσμος, όπου αυτό που κάνουμε αισθάνεται πιο φυσικό και λιγότερο συγκεχυμένο.