Vienkārši drošs: lietotājiem ir vieglāk mainīt paroles

Saturs

• Bez kļūdām, bez stresa - jūsu soli pa solim, kā izveidot programmatūru, kas maina dzīvi, neiznīcinot savu dzīvi
• Kognitīvā disonanse un ganāmpulka mentalitāte
• Jauni NIST standarti: kas ir iekšpusē?
• Kāpēc ieejas frāze ir labāka?
• Bez mājieniem!
• Nē, tā nav vafeļu māja! Sālīšana, sajaukšana un izstiepšana
• Praktiska ieviešana: daži izaicinājumi joprojām ir aktuāli
• Izņemot

Avots: designer491 / iStockphoto

Izņemšana:

Jaunie NIST noteikumi liek lietotājiem sajust atvieglojumus paroļu politikā

Līķī notiek lielas pārmaiņas, kuras varētu patikt gan sistēmu administratori, gan parastie lietotāji - tas ir saistīts ar paroles protokoliem.

Paroles ir dzīves fakts - lielākajai daļai no mums to ir par daudz. Mēs tos visus neatceramies, un ir gandrīz nekāds veids, kā tos izsekot, ja vien nesāksim tos pierakstīt. Vēl viena alternatīva ir vienkārši atcerēties paroles, kuras regulāri izmantojat, un lūgt paroles atiestatīšanu, kad jums jāpiekļūst citām vietnēm, taču tas ir daudz paroļu atiestatīšanas! Eksperti, piemēram, Korma Herlijs, Microsoft pētnieks, ir ierakstījuši sarunu par milzīgajām laika izmaksām, kas saistītas ar paroļu atiestatīšanu, un par to, kā tas lieliem uzņēmumiem var izmaksāt miljoniem dolāru gadā. Lietotājiem tas maksā arī miljoniem minūšu, atraujoties pie tastatūras neatkarīgi no tā, vai viņi mēģina apskatīt personas datus, reģistrēties pakalpojumam vai kaut ko iegādāties e-komercijas veikalā.

Ko mēs varam darīt? Un kādi ir visizturīgākie un kaitinošākie mūsu paroles lietošanas aspekti, kas liek mums vēlēties izspiest mūsu datorus un ierīces ārpus loga?

Jaunie ziņojumi liecina, ka mēs kā sabiedrība varam atbrīvoties no dažām no šīm kaitinošajām paroļu problēmām. Turpinot jaunu kiberdrošības pētījumu, mēs, iespējams, progresēsim vairāk nekā daži no pašreizējiem drošības standartiem, kas pēdējos gados mums ir izraisījuši tik daudz stresa.

Raksts Volstrītas žurnālā tik tālu, ka izceļ kolēģus, kas aizraujas ar dažiem no šiem noteikumiem, un iegūst viņa viedokli par to, kāpēc tie, iespējams, vairs nav nepieciešami.

WSJ rakstnieks Roberts Makmilans 2017. gada 7. augustā piegādāja bumbas izmeklēšanas darba veidā par Bilu Burru, 2003. gada darba autoru, kura rezultāts bija liela ietekme uz korporatīvo paroļu standartiem. Burrs strādāja Nacionālajā standartu un tehnoloģiju institūtā, federālajā aģentūrā, kuras uzdevums bija novērtēt tehnoloģiskos jauninājumus ASV.

“Cilvēks, kurš ir uzrakstījis grāmatu par paroļu pārvaldību, ir jāatzīstas,” sāk Makmilana gabals. "Viņš to pūta."

Turpinājumā raksts apraksta divus digitālā laikmeta bugbērnus, kas ir sarežģījuši mūsu dzīvi. Pirmais ir pastiprinošās prasības parolē iekļaut īpašās rakstzīmes. Otra ir bieža paroles maiņa.

Bez kļūdām, bez stresa - jūsu soli pa solim, kā izveidot programmatūru, kas maina dzīvi, neiznīcinot savu dzīvi

Jūs nevarat uzlabot savas programmēšanas prasmes, ja nevienam nerūp programmatūras kvalitāte.

Abas šīs darbības prasa daudz laika, ja runājat par desmitiem individuālu paroļu. Pirmais ir klasisks “sliktas saskarnes” gadījums - tas vienkārši nav intuitīvs, un tas piespiež cilvēkus rīkoties.

Kognitīvā disonanse un ganāmpulka mentalitāte

Lielākā daļa no mums var kaut kā “sajust”, kā šie paroļu standarti rada neskaidrības mūsu smadzenēs. Saskaroties ar ļoti abstraktu izvēli par to, kā parolē, kas citādi ir alfabēta virkne, iekļaut skaitli un speciālo rakstzīmi, daudzi no mums vienkārši aizzīmogo “1!”, Kas patiesībā nemēdz radīt hakerus. Faktiski, jo vairāk mēs izvēlamies tās pašas vispārīgās izvēles, jo vieglāk ir uzlauzt mūsu paroles. (Uzziniet vairāk par hakeriem sadaļā Vai drošības izpēte faktiski palīdz hakeriem?)

Papildus tam pievienojiet prasību lietotājiem atjaunināt savas paroles katru mēnesi vai ik pēc trim mēnešiem.

Šīs prasības iemesls ir tāds, ka vecā parole ir jāmaina uz pilnīgi atšķirīgu - bet pārāk bieži tas nedarbojas. Mēģinot rīkoties ar papildu smadzeņu pukstēšanu, atceroties pavisam jaunu paroli, lietotājs ņems veco paroli un nomainīs vienu burtu vai ciparu. Tagad vecā parole ir nozīmīgs jaunās ierīces parole - tā kļūst par atbildību.

Jauni NIST standarti: kas ir iekšpusē?

Jaunie noteikumi, ko izstrādājusi NIST, to visu mainīs.

Īpašā publikācija 800-63-3 ir sākotnējās versijas atjauninājums, kas daudz ko ietekmē, pēc dažu ekspertu domām, būtu jāievieš visā garumā.

Pirmkārt, tas atņem gan kompozīcijas noteikumus, piemēram, parolē jāievada izsaukuma zīme, gan prasības par parastu derīguma termiņu.

NIST 800-63-3 piebilst, ka uzmanība tiek pievērsta “reālistiskai” drošības praksei.

Jaunie noteikumi uzsver daudzfaktoru autentifikāciju, ko autori raksturo kā paroles (kaut ko atceraties) sajaukšanu ar fizisko atslēgu vai tastatūru (kaut ko jums) vai biometrisko datu gabalu (kaut ko tādu, kas ir daļa no jums). Citi ieteikumi ietver kriptogrāfisko atslēgu izmantošanu un nepieciešamību pieņemt visas iespējamās ASCII rakstzīmes, kā arī 64 rakstzīmju augšējo garumu un minimālo astoņu garumu. (Uzziniet vairāk par biometriju sadaļā Pasīvā biometrija, kas var palīdzēt IT datu drošībā.)

Drošības izpētes eksperts Džims Fentons publiskajā slaidrādes prezentācijā ar nosaukumu “Ceļā uz labākām paroles prasībām” daudzus no šiem labojumiem izklāsta kā “tu esi saistošs” un “tu neesi notis”, izskaidrojot arī to, kā NIST iesaka izveidot viegli nojauktu paroļu vārdnīcu. tas būtu automātiski jāaizliedz.

“Ja tas nav viegli, lietotāji krāpjas,” raksta Fentons, pārbaudot dažus vispārpieņemtos noteikumus, kas vājām parolēm apgrūtina tīkla kompromitēšanu.

Eksperti arī iesaka lietotājiem domāt paroles “paroles” vai vārdu kopu, nevis burtu un ciparu zupas sajaukumus, kurus mēs esam apmācīti sniegt.

Kāpēc ieejas frāze ir labāka?

Ir daudz veidu, kā izskaidrot, kāpēc tāla parole, piemēram, “kopējais olu velosipēdu ēzelis”, būs spēcīgāka paroles izvēle nekā kaut kas līdzīgs “MisterA1!” -, bet visvienkāršākais ir saistīts ar ļoti saprotamu metriku: garumu.

Viena no idejām, kas ir jauno NIST noteikumu pamatā, ir tāda, ka savā ziņā mēs savu paroli stratēģiju esam balstījuši uz to, kas ir jēga cilvēkiem, vienlaikus neņemot vērā to, kas mašīnām ir jēga.

Dažas nejaušas rakstzīmes var radīt traucējumus cilvēku hakeriem, taču, visticamāk, datorus paroles beigās nav viegli pagriezt ar papildu numuru vai rakstzīmi. Tas ir tāpēc, ka atšķirībā no cilvēkiem datori nelasa paroles nozīmei. Viņi tos vienkārši lasīja pa virkni.

Brutālu spēku uzbrukums ir tad, kad dators iziet visas iespējamās rakstzīmju permutācijas, lai mēģinātu “ielauzties”, atrodot pareizo kombināciju, tādu, kādu sākotnēji izvēlējies lietotājs. Kad šie uzbrukumi notiek, vissvarīgākais ir tas, cik sarežģīta ir jūsu parole - un katrs papildu raksturs pievieno milzīgu, gandrīz eksponenciālu sarežģītības pakāpi.

Paturot to prātā, ieejas frāze būs eksponenciāli spēcīgāka - kaut arī tā cilvēka acīm “izskatās” vienkāršāka.

Paplašinot paroles maksimālo garumu līdz 64 rakstzīmēm, jaunās NIST vadlīnijas lietotājiem piešķir vajadzīgo paroles stiprumu, neuzliekot daudz pretintuitīvu noteikumu.

Bez mājieniem!

Daudziem administratoriem patiks atbrīvoties no īpašajām rakstzīmju prasībām un visiem šiem darbietilpīgajiem paroļu atjauninājumiem, taču ir arī vēl viena funkcija, kuras mērķis ir arī iegūt cirvi, jo profesionāļi lasa jaunās NIST vadlīnijas.

Daudzas sistēmas lūdz jaunos lietotājus iekļūšanas laikā datu bāzei pievienot faktus par sevi: ideja ir tāda, ka vēlāk, ja viņi aizmirst paroli, sistēma tos var autentificēt, balstoties uz domām par viņu pagātni, ko neviens cits neuzzinātu. Piemēram: kāda bija tava pirmā automašīna? Kāds bija tava pirmā mājdzīvnieka vārds? Kāds ir Tavas mātes pirmslaulību uzvārds?

Šī ir vēl viena no tām tendencēm, kas daudziem no mums ir šķitusi neērti. Dažreiz jautājumi šķiet uzmācīgi. Arī pret drošību domājošie skeptiķi norādīs, ka ir daudz tādu, kuri pirmo reizi brauca pakaļ Chevrolet vai, jaunības pilnā prātā, nosauca mūsu pirmo suni “Spot”.

Pēc tam ir slodze datu bāzes uzturēšanai un atbilžu saskaņošanai, kad tās ir vajadzīgas.

Var droši apgalvot, ka ne pārāk daudziem cilvēkiem būs asaras par “paroles mājienu” funkciju izzušanu, kad ir labākas iespējas padarīt lietotāju aktivitātes patiesi drošas.

Nē, tā nav vafeļu māja! Sālīšana, sajaukšana un izstiepšana

Citos jauninājumos eksperti tagad arī iesaka “sālīt” paroles, kas ietver izlases rakstzīmju virknes izveidi pirms “sajaukšanas” procesa, kas kartē vienu datu kopu citai, tādējādi mainot paroles uzrakstu un padarot to grūtāk salaužamu. Pastāv arī process ar nosaukumu “stiepšanās”, kas ir īpaši paredzēts brutālu spēku uzbrukumu novēršanai, daļēji padarot novērtēšanas procesu lēnāku.

Visām šīm funkcijām ir kopīgs ir tas, ka tās notiek administratīvajā sfērā, nevis lietotāja rokai. Vidējais lietotājs nevēlas neko darīt ar šādām procesuālām lietām - viņš vai viņa vienkārši vēlas piekļūt un iziet visu, kas jādara tīkla sistēmā, neatkarīgi no tā, vai tas ir darba uzdevumu pabeigšana, tīkla izveidošana ar draugiem vai kaut ko pirkšana vai pārdošana. tiešsaistē. Tātad, atņemot “klienta puses” paroļu noteikumus un padarot daudz drošības administratīvo, uzņēmumi un citas ieinteresētās puses var patiešām uzlabot lietotāju pieredzi.

Tas ir galvenais, jo daudz jaunu tehnoloģiju jauninājumu ir saistīts ar lietotāju pieredzes uzlabošanu. Esam nonākuši pie tā, ka daudz datoru, viedtālruņu un citu ierīču funkcionalitātes esam atzinuši par daudz - nākamajos gados daudz kas tiks sasniegts, izmantojot virtuālo uzdevumu atvieglošanu un atbrīvošanos no saliekamības. no pieredzes: piemēram, vietne, kas nav mobila, vispirms, glīts interfeiss, slikts akumulatora darbības laiks ... vai garlaicīga pieteikšanās! Tur nāk paroles inovācija. Atgriežoties pie daudzfaktoru autentifikācijas idejas, iespējams, ka biometrijas dati vēl vairāk atvieglos ierīču lietošanu - kāpēc pieskarieties un ierakstiet garās paroles, kad varat vienkārši parādīt ierīcei to, kas jūs ir ar pirkstu?

Praktiska ieviešana: daži izaicinājumi joprojām ir aktuāli

Kā jau teicām, pagaidām mums ir iestrēdzis paroles un PIN. Piemēram, dažas jaunākas operētājsistēmas ir mainījušas no četrciparu PIN uz sešu ciparu PIN, padarot daudzus no mums, ka mūsu ierīču vilkšana notiek daudz lēnāk.

Viena problēma ar NIST ieteikto “ieejas frāzes” pieeju ir tā, ka joprojām tiks atiestatītas paroles (kā tas aprakstīts šajā pavedienā par neapbruņotu drošību). Cilvēki joprojām aizmirsīs paroles. Daži norāda, ka IT lietotājiem varētu būt grūtāk izdot jaunas paroles, ja sākotnējās ir daudz garākas.

Tomēr šeit varētu būt zināms potenciāls, ja runa ir par daudzfaktoru autentifikāciju. Biometrijas dati vēl nav īsti pievilināti, taču gandrīz visiem ir mobilais tālrunis. Daudzas tiešsaistes banku sistēmas un citas sistēmas izmanto SMS, lai autentificētu lietotājus. Tas varētu būt vienkāršs veids, kā pārbaudīt kontus, kur parole ir pazaudēta vai aizmirsta. Kā minēts iepriekš, tas ir arī galvenais veids, kā nostiprināt paroli.

Izņemot

Ja esat tīkla administrators, ko jums saka jaunie NIST noteikumi?

Liekas, ka federālā aģentūra vadītājiem saka: atpūtieties. Ļaujiet lietotājiem darīt to, ko viņi dara intuitīvi, ar labāku šifrēšanu, aizliegtu virkņu vārdnīcu un garāku ievades lauku ar lielāku daudzpusību. Nemāciet viņiem kausēt savas paroles ar zvaigznītēm un mīlīgām speciālajām rakstzīmēm. Un nelieciet viņiem atkārtot visu procesu ik pēc pāris nedēļām.

Tas viss padarīs noteikto platformu vienkāršāku un nozīmīgāku. Tikai paroļu ieteikumu novēršana noņem ievērojamu kodu bāzi ar visām tā resursa prasībām. Jaunie NIST noteikumi liek paroles drošībai tur, kur tā pieder: no īpatnējā lietotāja rokām un neskaidrā vietā, kur tehniskās funkcijas padara vakardienas vieglo brutālo spēku uzbrukumu vēsturi. Viņi ļāva mums visiem izmantot jaunu, atvēsinātu pieeju tam, kas ir mēģinājis procesu: unikālu, mazu vārdu un frāžu izstrādāšana uz katra mūsu digitālās dzīves stūra. Tas ir vēl viens solis ceļā uz intuitīvāku lietotāja saskarņu pasauli - jaunu un uzlabotu digitālo pasauli, kurā tas, ko mēs darām, jūtas dabiskāks un mazāk mulsinošs.