Зміст
- Ні помилок, ні стресу - покроковий посібник зі створення програмного забезпечення, що змінює життя, не руйнуючи ваше життя
- Когнітивний дисонанс та ментальність стада
- Нові стандарти NIST: що всередині?
- Чому пароль краще?
- Ніяких підказок!
- Ні, це не вафельний дім! Соління, вилуплення і розтягування
- Практичне втілення: деякі проблеми залишаються
- Винос
Джерело: дизайнер491 / iStockphoto
Винос:
Нові правила NIST дозволяють користувачам зітхнути з полегшенням щодо політики паролів
Через щуку відбуваються великі зміни, які, як адміністратори системи, так і постійні користувачі можуть любити - вони пов'язані з протоколами паролів.
Паролі - це факт життя - більшість із нас їх забагато. Ми не можемо їх усіх запам'ятати, і навряд чи існує спосіб їх відстежувати, якщо ми не почнемо їх записувати. Інша альтернатива - просто запам’ятати паролі, якими ви користуєтесь регулярно, і запитувати скидання паролів, коли вам потрібно зайти на інші веб-сайти - але це велика кількість налаштувань паролів! Такі експерти, як Кормак Герлі, дослідник Microsoft, продовжували говорити про величезні часові витрати на скидання пароля та про те, як це може коштувати великим компаніям мільйонів доларів щороку. Це також коштує користувачам мільйонів хвилин, задираючи клавіатуру, чи намагаються вони переглядати особисті дані, підписуються на послугу чи купують щось у магазині електронної комерції.
То що ми можемо зробити? І які найбільш перешкоджаючі та дратівливі аспекти використання нашого пароля змушують нас кинути комп’ютери та пристрої у вікно?
Нові звіти показують, що ми, як суспільство, можемо позбутися деяких із цих дратівливих проблем із паролем. Розпочинаючи нові дослідження з питань кібербезпеки, ми, ймовірно, будемо просуватися за рамки деяких діючих стандартів безпеки, які викликали у нас стільки стресів за останні кілька років.
Стаття в журналі «Уолл-стріт» йде так далеко, що вияснює співрозмовника, який стоїть за деякими з цих правил, і пояснює, чому вони більше не потрібні.
7 серпня 2017 року письменник WSJ Роберт Макміллан доставив бомбову оболонку у вигляді розслідувального твору про Білла Берра, автора документа 2003 року, який в кінцевому підсумку мав великі ефекти на стандарти корпоративних паролів. Бурр працював у Національному інституті стандартів і технологій, федеральному агентству, яке доручало оцінювати технологічні інновації в США.
"Людина, яка написала книгу про керування паролем, має визнання", - починає леді Макміллана. "Він підірвав це".
Звідти стаття продовжує опис двох помилок цифрової епохи, які ускладнили наше життя. Перший - це обтяжуючі вимоги до включення спеціальних символів у пароль. Інша - часті зміни паролів.
Ні помилок, ні стресу - покроковий посібник зі створення програмного забезпечення, що змінює життя, не руйнуючи ваше життя
Ви не можете покращити свої навички програмування, коли ніхто не піклується про якість програмного забезпечення.
Обидві ці практики займають багато часу, коли ви говорите про десятки індивідуальних паролів. Перший, однак, також є класичним випадком "поганого інтерфейсу" - він просто не інтуїтивний, і він змушує людей до обходу.
Когнітивний дисонанс та ментальність стада
Більшість із нас може «відчути», як ці стандарти паролів викликають плутанину в нашому мозку. Зіткнувшись з дуже абстрактним вибором того, як включити номер і спеціальний символ до пароля, який інакше є алфавітним рядком, багато хто з нас просто збиють «1!», Що насправді не схиляє хакерів. Насправді, чим більше ми обираємо однакові загальні варіанти, тим простіше зламати наші паролі. (Дізнайтеся більше про хакерів у тому, чи дійсно допомагає дослідження безпеки допомагати хакерам?)
Додайте, крім того, вимогу, щоб користувачі оновлювали свої паролі щомісяця або кожні три місяці або близько того.
Обґрунтування цієї вимоги полягає в тому, що старий пароль потрібно змінити на щось зовсім інше, але занадто часто це не так. Намагаючись впоратися з додатковим мозковим ударом запам'ятовування абсолютно нового пароля, користувач візьме старий пароль і змінить одну букву чи цифру. Тепер, старий пароль є головною "підказом" для нового - він стає відповідальністю.
Нові стандарти NIST: що всередині?
Нові правила, розроблені NIST, все це змінять.
Спеціальна публікація 800-63-3 - це оновлення до оригінальної версії, яке виконує багато того, що, на думку експертів, повинно було впроваджуватися впродовж усього часу.
По-перше, це забирає як правила складання, як, наприклад, необхідність ввести знак оклику у свій пароль, так і вимогу до звичайних термінів дії.
Що додає NIST 800-63-3 - це фокус на «реалістичних» практиках безпеки.
Нові правила підкреслюють багатофакторну автентифікацію, яку автори описують як змішування пароля (щось, що ви пам’ятаєте) з фізичним ключем або клавіатурою (щось у вас є) або частиною біометричних даних (те, що є частиною вас). Інші пропозиції включають використання криптографічних ключів та необхідність прийняття всіх можливих символів ASCII, а також максимальну довжину 64 символи та мінімальну довжину вісім. (Дізнайтеся більше про біометрику в розділі Як пасивна біометрика може допомогти в безпеці даних ІТ.)
У публічній презентації слайд-шоу під назвою "До кращих вимог до пароля" експерт з досліджень безпеки Джим Фентон детально викладає багато цих виправлень як "ти шалі" і "ти не будеш", а також пояснює, як NIST рекомендує створити словник паролів, які легко зламаються. це повинно бути автоматично заборонено.
"Якщо це непросто, користувачі обманюють", - пише Фентон, вивчаючи деякі правила здорового глузду, які ускладнюють слабкі паролі для компрометування мережі.
Експерти також пропонують, щоб користувачі думали про «пропускну фразу» або набір слів для пароля, а не про букви буквено-цифрового супу, які ми навчилися надавати.
Чому пароль краще?
Існує багато способів пояснити, чому довга парольна фраза, як "загальний осел з яєчним велосипедом", стане більш сильним вибором пароля, ніж щось на зразок "MisterA1!" - але найпростіший стосується дуже зрозумілої метрики: довжина.
Одне з принципів нових норм NIST полягає в тому, що ми певним чином базували свою стратегію паролів на тому, що має сенс для людини, ігноруючи те, що має сенс для машин.
Кілька випадкових символів можуть збивати з хакерів людину, але, швидше за все, комп'ютери не будуть легко коливатися додатковим числом або символом в кінці пароля. Це тому, що, на відміну від людей, комп'ютери не читають паролі для сенсу. Вони просто читають їх по рядку.
Напад грубої сили - це коли комп'ютер проходить всі можливі перестановки персонажів, щоб спробувати "прорватися", знайшовши правильну комбінацію, первинно вибрану користувачем. Коли ці напади трапляються, важливим є те, наскільки складний ваш пароль - і кожен додатковий символ додає величезну, майже експоненціальну величину складності.
Зважаючи на це, пропуск фрази буде експоненціально сильнішим - навіть якщо це "виглядає" людським оком легше.
Розширюючи максимальну довжину пароля до 64 символів, нові вказівки NIST надають користувачам необхідну міцність пароля, не нав'язуючи безліч контрінтуїтивних правил.
Ніяких підказок!
Багато адміністраторів люблять позбуватися особливих вимог до персонажа та всіх цих трудомістких оновлень паролів, але є ще одна особливість, яка також отримує сокиру, коли професіонали читають нові рекомендації NIST.
Багато систем просять нових користувачів додати факти про себе в базу даних під час роботи на борту: ідея полягає в тому, що пізніше, якщо вони забудуть свій пароль, система може їх засвідчити на основі деякої думки про їхнє минуле, про яку ніхто інший не знатиме. Наприклад: Який був ваш перший автомобіль? Як звали твою першу домашню тварину? Яке дівоче прізвище твоєї матері?
Це ще одна з тих тенденцій, яка відчувала себе незручно багатьом з нас. Іноді питання здаються нав'язливими. Також скептики, які налаштовані на безпеку, вказують на те, що багато з нас, хто вперше їхав на Шевроле, або, в юнацькому обриві, назвали нашу першу собаку «Пляма».
Потім є навантаження на підтримку бази даних та узгодження відповідей, коли вони знадобляться.
Безпечно сказати, що не надто багато людей будуть проливати сльози через зникнення функцій "підказки пароля", коли є кращі варіанти зробити дій користувача безпечною.
Ні, це не вафельний дім! Соління, вилуплення і розтягування
В інших інноваціях зараз фахівці також рекомендують «засолити» паролі, що передбачає створення випадкових рядків символів перед процесом «хешування», який відображає один набір даних на інший, тим самим змінюючи склад пароля і ускладнюючи його зламати. Існує також процес під назвою "розтягування", який спеціально розроблений для збиття жорстоких атак, почасти, роблячи процес оцінки повільнішим.
Всі ці функції мають спільне те, що вони відбуваються в адміністративній царині, а не під рукою користувача. Пересічний користувач не хоче нічого спільного з подібними процедурними речами - він або вона просто хоче отримати доступ і вирішити все, що потрібно робити в мережевій системі, будь то виконання робочих завдань, спілкування з друзями або купівля чи продаж щось онлайн. Таким чином, позбавивши правила пароля на стороні клієнта та зробивши багато адміністративних служб безпеки, компанії та інші зацікавлені сторони можуть дійсно покращити користувацький досвід.
Це є ключовим моментом, адже покращення досвіду роботи користувачів - це те, що стосується багатьох нових технологій. Ми дійшли до того, що ми вичавили багато функціональних можливостей на своїх комп’ютерах, смартфонах та інших пристроях - багато прогресу, який ми досягнемо в найближчі роки, полягає у спрощенні виконання віртуальних завдань та позбавленні від незграбності. досвід: наприклад, веб-сайт, який не використовується для мобільних пристроїв, блискучий інтерфейс, поганий ресурс акумулятора… або стомлений вхід! Ось звідки йде інновація паролів. Повертаючись до ідеї багатофакторної автентифікації, можливо, біометричні дані розблокують ще більшу простоту використання пристроїв - навіщо натискати та вводити довгі паролі, коли ви зможете просто показати своєму пристрою, хто ви з пальцем?
Практичне втілення: деякі проблеми залишаються
Як ми вже говорили, на даний момент ми залишилися паролями та PIN-кодами. Наприклад, деякі нові операційні системи перейшли з PIN-коду з чотирьох чисел на шість-номер, що робить багатьох із нас набагато повільнішими на нічию на наших пристроях.
Одне з питань підходу "пароль", рекомендований NIST, полягає в тому, що все ще буде скидання паролів (про що йдеться в цій темі про Naked Security). Люди досі збираються забути свої паролі. Деякі припускають, що ІТ-людям може бути складніше видавати нові паролі, коли оригінали набагато довші.
Однак тут може бути певний потенціал, коли мова йде про багатофакторну автентифікацію. Біометрія ще не дуже захопилася, але майже кожен має мобільний телефон. Багато систем онлайн-банкінгу та інших систем використовують SMS для аутентифікації користувачів. Це може бути простим способом перевірити акаунти, де пароль був втрачений чи забутий. Це також є ключовим способом зміцнення пароля в цілому, як згадувалося вище.
Винос
Якщо ви адміністратор мережі, про що говорять нові правила NIST?
По суті, федеральне агентство, здається, каже менеджерам: відпочивай. Дозвольте користувачам робити те, що вони роблять інтуїтивно, з кращим шифруванням, словником заборонених рядків та довшим полем введення з більшою універсальністю. Не вчіть їх поширювати свої паролі зірочками та люб’язними спеціальними символами. І не змушуйте їх оновлювати весь процес кожні кілька тижнів.
Все це зробить задану платформу піснішою і мізерною. Просто усунення підказок пароля забирає значну базу коду з усіма її ресурсними потребами. Нові правила NIST ставлять захист паролем там, де він належить: з рук ідіосинкратичного користувача та в незрозуміле місце, де технічні функції дозволяють зробити вчорашню історію легкої грубої атаки. Вони дозволяють нам використовувати новий охолоджений підхід до того, що було випробувальним процесом: створення унікальних маленьких слів і фраз для кожного куточка нашого цифрового життя. Це ще один крок до світу більш інтуїтивно зрозумілих інтерфейсів користувача - новий і вдосконалений цифровий світ, де те, що ми робимо, відчуває себе більш природним і менш заплутаним.