Содержание
- Нет ошибок, нет стресса - ваше пошаговое руководство по созданию изменяющего жизнь программного обеспечения без разрушения вашей жизни
- Когнитивный диссонанс и стадное мышление
- Новые стандарты NIST: что внутри?
- Почему пароль лучше?
- Нет подсказок!
- Нет, это не вафельный домик! Соление, хэширование и растяжка
- Практическая реализация: остаются некоторые проблемы
- Takeaways
Источник: designer491 / iStockphoto
вынос:
Новые правила NIST позволяют пользователям вздохнуть с облегчением о политике паролей
Существуют большие перемены, которые могут понравиться как системным администраторам, так и обычным пользователям - они связаны с протоколами паролей.
Пароли - это факт жизни - у большинства из нас их слишком много. Мы не можем вспомнить их всех, и вряд ли найдется способ их отследить, если мы не начнем их записывать. Другая альтернатива - просто помнить пароли, которые вы регулярно используете, и запрашивать сброс пароля, когда вам нужно получить доступ к другим сайтам - но это много сбросов пароля! Эксперты, такие как Кормак Херли, исследователь из Microsoft, официально заявляют об огромных временных затратах на восстановление пароля и о том, как это может стоить крупным компаниям миллионы долларов в год. Кроме того, пользователи тратят миллионы минут на то, чтобы заглянуть за клавиатуру, независимо от того, пытаются ли они просмотреть личные данные, подписаться на услугу или купить что-то в интернет-магазине.
Так что мы можем сделать? И каковы наиболее мешающие и раздражающие аспекты использования нашего пароля, которые заставляют нас хотеть выбросить наши компьютеры и устройства в окно?
Новые отчеты показывают, что, как общество, мы можем избавиться от некоторых из этих раздражающих проблем с паролями. Переходя к новым исследованиям в области кибербезопасности, мы, вероятно, выйдем за рамки некоторых из существующих стандартов безопасности, которые вызвали у нас такой большой стресс в последние несколько лет.
Статья в «Уолл-стрит джорнал» заходит так далеко, что рассказывает о некоторых из этих правил и дает понять, почему они больше не нужны.
7 августа 2017 года писатель WSJ Роберт Макмиллан выступил с взрывом бомбы в форме исследовательской статьи о Билле Барре, авторе статьи 2003 года, оказавшей большое влияние на стандарты корпоративных паролей. Барр работал в Национальном институте стандартов и технологий, федеральном агентстве, которому поручено оценивать технологические инновации в США.
«Человек, написавший книгу об управлении паролями, должен сделать признание», - начинает весть Макмиллан. "Он взорвал это."
Оттуда, статья продолжает описывать двух багбиров цифровой эры, которые усложнили нашу жизнь. Первый - это отягчающие требования для включения специальных символов в пароль. Другой - частая смена пароля.
Нет ошибок, нет стресса - ваше пошаговое руководство по созданию изменяющего жизнь программного обеспечения без разрушения вашей жизни
Вы не можете улучшить свои навыки программирования, когда никто не заботится о качестве программного обеспечения.
Обе эти практики занимают много времени, когда вы говорите о десятках индивидуальных паролей. Первый, тем не менее, также является классическим случаем «плохого интерфейса» - он просто не интуитивен и заставляет людей искать обходные пути.
Когнитивный диссонанс и стадное мышление
Большинство из нас может «почувствовать», как эти стандарты паролей вызывают путаницу в нашем мозгу. Столкнувшись с очень абстрактным выбором того, как включить число и специальный символ в пароль, который в противном случае представляет собой буквенную строку, многие из нас просто набросят «1!», Что на самом деле не имеет тенденцию мешать хакерам. На самом деле, чем больше мы выбираем один и тот же общий выбор, тем легче взломать наши пароли. (Подробнее о хакерах читайте в разделе «Действительно ли исследования безопасности помогают хакерам?»)
Кроме того, добавьте требование, чтобы пользователи обновляли свои пароли каждый месяц или каждые три месяца или около того.
Причиной этого требования является то, что старый пароль должен быть изменен на что-то совершенно другое, но слишком часто это не так. Пытаясь справиться с дополнительным ударом мозгов при запоминании нового пароля, пользователь возьмет старый пароль и изменит одну букву или цифру. Теперь старый пароль является основным «сказать» для нового - он становится пассивом.
Новые стандарты NIST: что внутри?
Новые правила, разрабатываемые NIST, изменят все это.
Специальная публикация 800-63-3 - это обновление оригинальной версии, в котором реализовано многое из того, что, по словам некоторых экспертов, должно было реализовываться все время.
Во-первых, он устраняет как правила составления, такие как необходимость вставлять восклицательный знак в ваш пароль, так и требования к обычным истечениям срока действия.
То, что добавляет NIST 800-63-3, - это акцент на «реалистичные» методы обеспечения безопасности.
Новые правила подчеркивают многофакторную аутентификацию, которую авторы описывают как смешивание пароля (то, что вы помните) с физическим ключом или картой ключей (то, что у вас есть) или частью биометрических данных (то, что является частью вас). Другие предложения включают в себя использование криптографических ключей и необходимость принимать все доступные символы ASCII, а также максимальную длину 64 символа и минимальную длину восемь. (Подробнее о биометрии читайте в статье «Как пассивная биометрия может помочь в защите данных ИТ».)
В публичной презентации в формате слайд-шоу под названием «В сторону улучшения требований к паролям» эксперт по исследованиям безопасности Джим Фентон подробно излагает многие из этих исправлений как «ты шальц» и «ты не шут», а также объясняет, как NIST рекомендует создать словарь легко взламываемых паролей. это должно быть автоматически запрещено.
«Если это непросто, пользователи обманывают», - пишет Фентон, исследуя некоторые общие правила, которые усложнят для слабых паролей угрозу сети.
Эксперты также предполагают, что пользователи думают о «парольной фразе» или наборе слов для пароля, а не о беспорядке буквенно-цифрового супа, который мы были обучены предоставить.
Почему пароль лучше?
Есть много способов объяснить, почему длинная ключевая фраза, такая как «яичный велосипедный осел», будет более надежным выбором пароля, чем что-то вроде «MisterA1!», Но самый простой способ связан с очень понятной метрикой: длина.
Одна идея, лежащая в основе новых правил NIST, заключается в том, что в некоторой степени мы основывали нашу стратегию паролей на том, что имеет смысл для людей, игнорируя при этом то, что имеет смысл для машин.
Несколько случайных символов могут сбить с толку людей-хакеров, но компьютеры вряд ли будут легко поколебаться дополнительным числом или символом в конце пароля. Это потому, что, в отличие от людей, компьютеры не читают пароли для смысла. Они просто читают их по строкам.
Атака грубой силой - это когда компьютер проходит все возможные перестановки символов, чтобы попытаться «взломать», найдя правильную комбинацию, ту, которая была первоначально выбрана пользователем. Когда происходят эти атаки, важно знать, насколько сложен ваш пароль - и каждый дополнительный символ добавляет огромную, почти экспоненциальную величину сложности.
Имея это в виду, ключевая фраза будет экспоненциально сильнее, даже если она «выглядит» проще для человеческого глаза.
Расширяя максимальную длину пароля до 64 символов, новые рекомендации NIST дают пользователям необходимую надежность пароля без наложения множества противоречивых правил.
Нет подсказок!
Многим администраторам понравится избавляться от требований к специальным символам и всех этих трудоемких обновлений паролей, но есть и другая особенность, которая также привлекает внимание, когда профессионалы читают новые рекомендации NIST.
Многие системы просят новых пользователей добавлять факты о себе в базу данных во время регистрации: идея заключается в том, что позже, если они забудут свой пароль, система может аутентифицировать их, основываясь на некоторой мысли об их прошлом, которую никто не узнает. Например: Какая была ваша первая машина? Как звали твоего первого питомца? Какая девичья фамилия вашей матери?
Это еще одна из тех тенденций, которая показалась нам неудобной для многих из нас. Иногда вопросы кажутся навязчивыми. Кроме того, скептики, настроенные с точки зрения безопасности, укажут, что многие из нас впервые ездили на Chevrolet или, в юношеском изобилии, назвали нашу первую собаку «Спот».
Затем есть нагрузка по обслуживанию базы данных и сопоставлению ответов, когда они необходимы.
Можно с уверенностью сказать, что не так уж много людей будут проливать слезы из-за исчезновения функций «подсказки пароля», когда есть лучшие варианты для обеспечения действительно безопасной работы пользователя.
Нет, это не вафельный домик! Соление, хэширование и растяжка
Что касается других нововведений, эксперты теперь также рекомендуют «посылать» пароли, которые включают создание случайной строки символов перед процессом «хеширования», который отображает один набор данных в другой, изменяя таким образом структуру пароля и усложняя его взлом. Существует также процесс, называемый «растяжение», который специально разработан для предотвращения атак методом перебора, частично за счет замедления процесса оценки.
Общим для всех этих функций является то, что они выполняются в административной сфере, а не в руках пользователя. Обычный пользователь не хочет иметь ничего общего с подобными процедурными вещами - он или она просто хочет получить доступ и заняться чем-то, что нужно делать в сетевой системе, будь то выполнение рабочих заданий, создание сетей с друзьями, покупка или продажа чего-либо онлайн. Таким образом, устраняя правила паролей «на стороне клиента» и делая большую часть административной защиты, компании и другие заинтересованные стороны могут реально улучшить взаимодействие с пользователем.
Это ключевой момент, потому что улучшение пользовательского опыта - это то, о чем много новых технических инноваций. Мы подошли к тому, что мы извлекли множество функциональных возможностей из наших компьютеров, смартфонов и других устройств - значительный прогресс, которого мы добьемся в ближайшие годы, включает в себя упрощение виртуальных задач и избавление от неудобств. опыта: например, веб-сайт, не предназначенный для мобильных устройств, непростой интерфейс, плохое время автономной работы… или утомительный вход в систему! Вот где приходит инновация в паролях. Возвращаясь к идее многофакторной аутентификации, вполне вероятно, что биометрия откроет еще большую простоту использования для устройств - зачем нажимать и вводить длинные пароли, когда вы можете просто показать своему устройству, кто вы с пальцем?
Практическая реализация: остаются некоторые проблемы
Как мы уже говорили, мы пока застряли с паролями и PIN-кодами. Например, некоторые новые операционные системы переключились с четырехзначного PIN-кода на шестизначный PIN-код, что делает многих из нас намного медленнее при использовании наших устройств.
Одной из проблем, связанных с подходом «парольной фразы», рекомендованным NIST, является то, что все еще будут сбрасываться пароли (как обсуждалось в этой теме в Naked Security). Люди все еще собираются забыть свои пароли. Некоторые полагают, что ИТ-специалистам будет сложнее выдавать новые пароли, если исходные намного длиннее.
Однако здесь может быть некоторый потенциал, когда речь идет о многофакторной аутентификации. Биометрия еще не завоевала популярность, но почти у каждого есть мобильный телефон. Многие системы онлайн-банкинга и другие системы используют SMS для аутентификации пользователей. Это может быть простой способ проверить учетные записи, в которых пароль был утерян или забыт. Это также ключевой способ укрепить пароль в целом, как упоминалось выше.
Takeaways
Если вы являетесь сетевым администратором, о чем вам говорят новые правила NIST?
По сути, федеральное агентство, кажется, говорит менеджерам: расслабьтесь. Позвольте пользователям делать то, что они делают интуитивно, с лучшим шифрованием, словарем запрещенных строк и более длинным полем ввода с большей гибкостью. Не учите их вводить пароли со звездочками и приятными спецсимволами. И не заставляйте их повторять весь процесс каждые несколько недель.
Все это сделает данную платформу более скудной и злой. Лишь устранение подсказок к паролям устраняет значительную кодовую базу со всеми потребностями в ресурсах. Новые правила NIST ставят безопасность паролей на свои места: из рук уникального пользователя и в непонятное место, где технические функции делают историю вчерашних легких атак грубой силой. Они позволили всем нам принять новый подход к тому, что было непростым процессом: создавать уникальные маленькие слова и фразы для каждого уголка нашей цифровой жизни. Это еще один шаг к миру более интуитивных пользовательских интерфейсов - новому и усовершенствованному цифровому миру, в котором то, что мы делаем, кажется более естественным и менее запутанным.