Sisältö
- Ei vikoja, ei stressiä - vaiheittaiset ohjeet elämää muuttavien ohjelmistojen luomiseen tuhoamatta elämääsi
- Kognitiivinen dissonanssi ja lauman mentaliteetti
- Uudet NIST-standardit: mikä on sisällä?
- Miksi salasana on parempi?
- Ei vihjeitä!
- Ei, se ei ole Waffle House! Suolaaminen, hajauttaminen ja venyttäminen
- Käytännön toteutus: Jotkut haasteet jäävät edelleen
- takeaways
Lähde: suunnittelija491 / iStockphoto
Ottaa mukaan:
Uusien NIST-sääntöjen ansiosta käyttäjät saavat helpotuksen salasanakäytäntöihin
Hauen alla tapahtuu suuria muutoksia, joita sekä järjestelmänvalvojat että tavalliset käyttäjät saattavat rakastaa - heidän on tehtävä salasanaprotokollien kanssa.
Salasanat ovat tosiasia elämässä - useimmilla meistä on aivan liian monia niistä. Emme muista heitä kaikkia, ja tuskin on mahdollista seurata niitä, ellemme ala niiden kirjoittamista. Toinen vaihtoehto on vain muistaa säännöllisesti käyttämäsi salasanat ja pyytää salasanan palauttamista, kun joudut käyttämään muita sivustoja - mutta se on paljon salasanan palautuksia! Asiantuntijat, kuten Microsoftin tutkija Cormac Herley, ovat keskustelleet salasanojen palauttamisen valtavista aikakustannuksista ja siitä, kuinka se voi maksaa suurille yrityksille miljoonia dollareita vuodessa. Se maksaa käyttäjille myös miljoonia minuutteja, kun he etsivät näppäimistöä, yrittävätkö he katsoa henkilökohtaisia tietoja, kirjautua palveluun tai ostaa jotain verkkokaupasta.
Joten mitä voimme tehdä? Ja mitkä ovat salasanan käytön häiritsevimmät ja häiritsevimmät näkökohdat, jotka saavat meidät haluamaan heittää tietokoneemme ja laitteemme ikkunasta?
Uusien raporttien mukaan yhteiskunnana saatamme päästä eroon joihinkin näistä ärsyttävistä salasana-ongelmista. Uuden verkkoturvallisuustutkimuksen kanssa menemme todennäköisesti eteenpäin joihinkin nykyisiin turvallisuusstandardeihin, jotka ovat aiheuttaneet meille niin paljon stressiä viime vuosina.
Wall Street Journal -artikkeli menee niin pitkälle, että tuo esiin osan näiden sääntöjen takana olevasta kaverista ja saa hänen mielipiteensä siitä, miksi niitä ei ehkä tarvita enää.
WSJ-kirjailija Robert McMillan toimitti 7. elokuuta 2017 pommin kuorena tutkimuksena Bill Burrille, joka oli vuoden 2003 paperin kirjoittaja, jolla oli suuria vaikutuksia yritysten salasanastandardeihin. Burr työskenteli Kansallisessa standardointi- ja teknologiainstituutissa, liittovaltion virastossa, jonka tehtävänä oli arvioida teknologisia innovaatioita Yhdysvalloissa.
"Mies, joka kirjoitti salasanan hallinnasta kirjan, on tunnustusta tehtävä", alkaa McMillanin teoksen johtaja. "Hän puhalsi sen."
Sieltä artikkeli kuvaa edelleen kahta digitaaliajan bugbearia, jotka ovat monimutkaiset elämäämme. Ensimmäinen niistä on raskauttavia vaatimuksia, jotka koskevat erikoismerkkien sisällyttämistä salasanaan. Toinen on toistuva salasananvaihto.
Ei vikoja, ei stressiä - vaiheittaiset ohjeet elämää muuttavien ohjelmistojen luomiseen tuhoamatta elämääsi
Et voi parantaa ohjelmointitaitojasi, kun kukaan ei välitä ohjelmiston laadusta.
Molemmat nämä käytännöt vievät paljon aikaa, kun puhut kymmenistä yksilöllisistä salasanoista. Ensimmäinen on kuitenkin myös "huono käyttöliittymä" -klassinen tapaus - se ei vain ole intuitiivinen ja pakottaa ihmiset kiertotapoihin.
Kognitiivinen dissonanssi ja lauman mentaliteetti
Suurin osa meistä voi erikseen "tuntea" kuinka nämä salasanastandardit aiheuttavat sekaannusta aivoissamme. Kun edessä on hyvin abstrakti valinta siitä, miten numero ja erikoismerkki sisällytetään salasanaan, joka muuten on aakkosellinen merkkijono, monet meistä vain viivaavat "1!", Jolla ei todellakaan ole tapana häiritä hakkereita. Itse asiassa, mitä enemmän valitsemme samat yleiset valinnat, sitä helpompaa on murtaa salasanamme. (Lisätietoja hakkereista kohdasta Onko tietoturvatutkimus todella auttaa hakkereita?)
Lisää tämän lisäksi vaatimus, että käyttäjät päivittävät salasanansa joka kuukausi tai vähintään joka kolmas kuukausi.
Tämän vaatimuksen perusteena on, että vanha salasana on vaihdettava jotain täysin erilaista - mutta liian usein se ei toimi. Yrittäessään käsitellä ylimääräistä aivojen lyömistä muistaaksesi uuden salasanan, käyttäjä ottaa vanhan salasanan ja muuttaa yhden kirjaimen tai numeron. Nyt vanha salasana on merkittävä ”kerro” uudelle - siitä tulee vastuu.
Uudet NIST-standardit: mikä on sisällä?
NIST: n kehittämät uudet säännöt muuttavat kaiken tämän.
Erityisjulkaisu 800-63-3 on päivitys alkuperäiseen versioon, joka toteuttaa paljon sitä, mitä joidenkin asiantuntijoiden mukaan olisi pitänyt panna täytäntöön koko ajan.
Ensinnäkin se vie pois sekä sävellysäännöt, kuten sen, että joudut lisäämään huutomerkin salasanasi, että rutiinien voimassaolon päättymistä koskevan vaatimuksen.
NIST 800-63-3 lisää on keskittyminen "realistisiin" turvallisuuskäytäntöihin.
Uudet säännöt korostavat usean tekijän todennusta, jonka kirjoittajat kuvaavat sekoittamalla salasana (jotain muistat) fyysisen avaimen tai näppäinkortin (jotain sinulla) tai pala biometristä tietoa (jotain, joka on osa sinua). Muita ehdotuksia ovat salausavaimien käyttö ja tarve hyväksyä kaikki mahdolliset ASCII-merkit, samoin 64 enimmäispituus ja vähintään kahdeksan. (Lisätietoja biometrioista kohdasta Kuinka passiivinen biometria voi auttaa IT-tietoturvassa.)
Julkisessa diaesitysesityksessä, jonka otsikko on ”Kohti parempia salasanavaatimuksia”, tietoturvatutkimusasiantuntija Jim Fenton kuvaa yksityiskohtaisesti monia näistä korjauksista nimellä “sinä tulee” ja “sinun tulee tehdä merkintöjä” ja selittää myös kuinka NIST suosittelee helposti hakkeroitavien salasanojen sanakirjan luomista. se olisi kiellettävä automaattisesti.
"Jos se ei ole helppoa, käyttäjät huijaavat", Fenton kirjoittaa tutkiessaan joitain yleisiä sääntöjä, jotka vaikeuttavat heikkojen salasanojen vaarantamista verkossa.
Asiantuntijat ehdottavat myös, että käyttäjät ajattelevat salasanaa "salasanaa" tai sanasarjaa pikemminkin kuin aakkosnumeerisen keiton sekoituksia, joita meille on koulutettu tarjoamaan.
Miksi salasana on parempi?
On olemassa monia tapoja selittää, miksi pitkä salasana, kuten ”kokonainen munapyörä-aasi”, tulee olemaan vahvempi salasanan valinta kuin jotain ”MisterA1!” -, mutta yksinkertaisin asia liittyy hyvin ymmärrettävään mittareihin: pituus.
Yksi ajatus uusien NIST-säädösten ytimessä on, että olemme tietyllä tavalla perustaneet salasanastrategiamme siihen, mikä on järkevää ihmisille, jättämättä huomioimatta siitä, mikä on järkevää koneille.
Muutama satunnainen merkki saattaa hämmentää ihmisen hakkereita, mutta ylimääräinen numero tai merkki salasanan lopussa ei todennäköisesti vaikuta tietokoneisiin helposti. Tämä johtuu siitä, että toisin kuin ihmiset, tietokoneet eivät lue salasanoja merkityksen vuoksi. He lukevat ne yksinkertaisesti merkkijonolla.
Raakavoimahyökkäys on, kun tietokone käy läpi kaikki mahdolliset merkkien permutaatiot yrittääkseen "murtautua sisään" etsimällä oikea yhdistelmä, käyttäjän alun perin valitseman yhdistelmän. Kun nämä hyökkäykset tapahtuvat, merkitystä on sillä, kuinka monimutkainen salasanasi on - ja jokainen lisämerkki lisää valtavan, lähes eksponentiaalisen monimutkaisuuden.
Tätä silmällä pitäen tunnuslause tulee eksponentiaalisesti voimakkaammaksi - vaikka se ”näyttää” helpommalta ihmisen silmälle.
Laajentamalla salasanan enimmäispituuden 64 merkkiin, uudet NIST-ohjeet antavat käyttäjille tarvittavan salasanan vahvuuden asettamatta asettamaan paljon vastaintuitiivisia sääntöjä.
Ei vihjeitä!
Monet ylläpitäjät rakastavat eroon erityisistä merkkivaatimuksista ja kaikista näistä työvoimavaltaisista salasanapäivityksistä, mutta on myös toinen ominaisuus, joka saa myös kirvesta, kun ammattilaiset lukevat uusia NIST-ohjeita.
Monet järjestelmät pyytävät uusia käyttäjiä lisäämään tietoja itsestään tietokantaan koneen käynnistyksen aikana: Ajatuksena on, että myöhemmin, jos unohtaa salasanansa, järjestelmä voi todentaa ne perustuen ajatukseen menneisyydestään, jota kukaan muu ei tiedä. Esimerkiksi: Mikä oli ensimmäinen autosi? Mikä oli ensimmäisen lemmikkisi nimi? Mikä on äitisi tyttönimi?
Tämä on toinen niistä suuntauksista, jotka ovat tunteneet olonsa epämukavaksi monille meistä. Joskus kysymykset vaikuttavat häiritseviltä. Turvallisuutta ajavat skeptikot huomauttavat myös, että meistä on paljon, jotka ajavat ensin Chevroletia tai nuorekkaassa muodossaan nimittivät ensimmäisen koiramme Spotiksi.
Sitten on tietokannan ylläpidon ja vastausten sovittamisen työmäärä, kun niitä tarvitaan.
On turvallista sanoa, että liian monet ihmiset eivät vuoda kyyneleitä salasanavihjetoimintojen katoamisesta, kun on olemassa parempia vaihtoehtoja tehdä käyttäjän toiminnasta todella turvallinen.
Ei, se ei ole Waffle House! Suolaaminen, hajauttaminen ja venyttäminen
Muissa innovaatioissa asiantuntijat suosittelevat nyt myös salasanojen "suolaamista", joka tarkoittaa satunnaisten merkkijonojen luomista ennen "hajautusprosessia", joka kartoittaa yhden tietojoukon toiseen, mikä muuttaa salasanan muodon ja vaikeuttaa sen purkamista. On olemassa myös venytysprosessi, joka on erityisesti suunniteltu raa'an voiman hyökkäysten torjumiseksi, osittain tekemällä arviointiprosessista hitaampaa.
Kaikilla näillä toiminnoilla on yhteistä, että ne tapahtuvat hallinnollisessa tilassa, ei käyttäjän sormenpäässä. Tavallinen käyttäjä ei halua mitään tekemistä tällaisten menettelytapojen kanssa - hän haluaa vain päästä käsiksi ja suorittaa mitä tahansa verkkojärjestelmässä tehtävää, olipa kyse sitten työtehtävien suorittamisesta, verkottumisesta ystävien kanssa tai ostamisesta tai myymisestä jotain verkossa. Joten poistamalla ”asiakaspuolen” salasanasäännöt ja tekemällä paljon tietoturvan hallinnosta, yritykset ja muut sidosryhmät voivat todella parantaa käyttökokemusta.
Tämä on avain, koska paljon uuden tekniikan innovaatioista on käyttökokemuksen parantamista. Olemme saavuttaneet pisteen, jossa olemme kiinnittäneet paljon toiminnallisuuksia pois tietokoneistamme, älypuhelimistamme ja muista laitteistamme - tulevina vuosina saavuttamamme edistysaskel sisältää virtuaalisten tehtävien tekemisen helpommaksi tekemisen ja kämmenmysten poistamisen. kokemuksesta: kuten ei-mobiili-ensimmäinen verkkosivusto, loistava käyttöliittymä, heikko akunkesto ... tai tylsi kirjautuminen! Siinä tapahtuu salasanainnovaatio. Palattuaan ajatukseen monitekijäisestä todennuksesta, on todennäköistä, että biometriset tiedot avaavat entistä helpompaa laitteiden käyttöä - miksi napauta ja kirjoita pitkiä salasanoja, kun voit vain näyttää laitteellesi kuka ovat sormella?
Käytännön toteutus: Jotkut haasteet jäävät edelleen
Kuten sanoimme, olemme kuitenkin toistaiseksi jumissa salasanoista ja PIN-koodeista. Esimerkiksi jotkut uudemmat käyttöjärjestelmät ovat vaihtaneet nelinumeroisesta PIN-koodista kuusinumeroiseen PIN-koodiin, mikä tekee monista meistä paljon hitaampia laitteidemme piirtämisessä.
Yksi NIST: n suositteleman "tunnuslause" -lähestymistavan ongelma on, että salasanojen palauttamista jatketaan (kuten tässä alastun tietoturvan ketjussa keskustellaan). Ihmiset unohtavat edelleen salasanansa. Jotkut ehdottavat, että tietotekniikan ihmisille saattaa olla vaikeampaa antaa uusia salasanoja, kun alkuperäiset ovat paljon pidempiä.
Tässä voi kuitenkin olla jonkin verran potentiaalia, kun kyse on monikerroksisesta todennuksesta. Biometriset tiedot eivät ole vielä kiinni, mutta melkein kaikilla on matkapuhelin. Monet verkkopankkijärjestelmät ja muut järjestelmät käyttävät tekstiviestejä käyttäjien todentamiseksi. Tämä voisi olla helppo tapa tarkistaa tilit, joissa salasana on kadonnut tai unohdettu. Se on myös tärkeä tapa vahvistaa salasanaa yleensä, kuten edellä mainittiin.
takeaways
Jos olet verkonvalvoja, mitä uudet NIST-säännöt kertovat sinulle?
Pohjimmiltaan liittovaltion virasto näyttää sanovan johtajille: rentoudu. Anna käyttäjien tehdä mitä he tekevät intuitiivisesti paremmalla salauksella, kiellettyjen merkkien sanakirjalla ja pidemmällä syöttökentällä, joka on monipuolisempi. Älä opeta heitä sikoittamaan salasanansa tähdellä ja söpöillä erikoismerkeillä. Ja älä tee heitä uudelleen koko prosessin muutaman viikon välein.
Kaikki tämä aikoo tehdä tietystä alustasta selkeämmän ja merkityksellisemmän. Pelkästään salasanavihjeiden poistaminen vie merkittävän kooditason kaikista resurssitarpeistaan. Uudet NIST-säännöt asettavat salasanaturvallisuuden sinne, missä se kuuluu: käyttäjän omien käsien ulkopuolella, hämärtävään kohtaan, jossa tekniset toiminnot tekevät eilisen helpoista brute-force-hyökkäyksistä historiaa. He antoivat meidän kaikkien käyttää uutta jäähdytettyä lähestymistapaa siihen, mikä on kokeillut prosessia: muotoilla ainutlaatuisia pieniä sanoja ja ilmauksia digitaalisen elämämme joka puolelle. Se on vielä yksi askel kohti intuitiivisempaa käyttöliittymää - uutta ja parannettua digitaalimaailmaa, jossa tekemämme tuntuu luonnollisemmalta ja vähemmän hämmentävältä.