Садржај
- Без грешака, без стреса - Ваш корак по корак водич за креирање софтвера за промену живота без да вам уништи живот
- Когнитивна дисонанца и менталитет стада
- Нови НИСТ стандарди: Шта је унутра?
- Зашто је пролазна фраза боља?
- Нема наговештаја!
- Не, то није Ваффле Хоусе! Сољење, лемљење и истезање
- Практична примена: Неки изазови остају
- Такеаваис
Извор: дизајнер491 / иСтоцкпхото
Одузети:
Нова правила НИСТ-а омогућавају корисницима да уздахну олакшање због правила о лозинкама
Долазе велике промене које штуку воле и администратори система и редовни корисници - они имају везе са протоколима лозинки.
Лозинке су животна чињеница - већина нас их има превише. Не можемо их се сјетити свих и готово да их и не можемо пратити ако их не започнемо записати. Друга алтернатива је да се само сјетите лозинки које редовно користите и тражите ресетирање лозинке када требате да приступите другим веб локацијама - али то је пуно ресетирања лозинке! Стручњаци попут Цормац Херлеи-а, Мицрософтовог истраживача, стално су говорили о огромним временским трошковима ресетовања лозинке и како то може коштати велике компаније милион долара сваке године. Такође кошта кориснике милионе минута, кљуцајући по тастатури, било да покушавају да погледају личне податке, пријаве се за услугу или купе нешто из продавнице за е-трговину.
Па шта да радимо? И који су најструктивнији и досаднији аспекти употребе наше лозинке због којих желимо да бацимо своје рачунаре и уређаје кроз прозор?
Нова извјешћа показују да ћемо се као друштво можда ријешити неких ових досадних проблема са лозинком. Крећући се новим истраживањима кибернетичке сигурности вероватно ћемо напредовати изван неких тренутних безбедносних стандарда који су нам изазвали толико стреса у последњих неколико година.
Чланак у часопису Валл Стреет Јоурнал иде толико далеко да открива колеге који стоје иза неких од ових правила и сазнаје зашто им више неће требати.
7. августа 2017., писац ВСЈ-а Роберт МцМиллан доставио је бомбу у облику истражног дела Биллу Бурру, аутору документа из 2003. године који је на крају имао велике ефекте на стандарде корпоративних лозинки. Бурр је радио у Националном институту за стандарде и технологију, савезној агенцији задуженој за процену технолошких иновација у САД-у.
„Човек који је написао књигу о управљању лозинком има признање“, започиње лекција Мекмеловог дела. "Одувао је."
Одатле, у чланку се описују два зуба у дигиталној ери која су нам закомпликовала живот. Први су они отежавајући захтеви за укључивање посебних знакова у лозинку. Други је честа промена лозинке.
Без грешака, без стреса - Ваш корак по корак водич за креирање софтвера за промену живота без да вам уништи живот
Не можете побољшати своје програмирање кад никога није брига за квалитет софтвера.
Обе ове праксе захтијевају много времена када говорите о десетинама појединачних лозинки. Први је, такође, класичан случај „лошег интерфејса“ - једноставно није интуитиван и присиљава људе на проблеме.
Когнитивна дисонанца и менталитет стада
Већина нас може некако „осјетити“ како ти стандарди лозинке изазивају збрку у нашем мозгу. Суочени са врло апстрактним избором начина укључивања броја и посебног знака у лозинку, што је иначе абецедни низ, многи од нас ће једноставно срушити ознаку "1!" Која заправо не тежи хакирању. У ствари, што више изаберемо исте опћените одлуке, лакше ћемо пробити своје лозинке. (Сазнајте више о хакерима у томе да ли истраживање безбедности заиста помаже хакерима?)
Поврх тога, додајте захтев да корисници ажурирају своје лозинке сваког месеца или свака три месеца или тако нешто.
Разлог овог захтева је да се стара лозинка треба променити у нешто сасвим друго - али пречесто, то не функционише. Покушавајући да изађе на крај са додатним мозгом за памћењем потпуно нове лозинке, корисник ће узети стару лозинку и променити једно слово или број. Сада је стара лозинка главни "податак" за нову - она постаје обавеза.
Нови НИСТ стандарди: Шта је унутра?
Нова правила која ће развити НИСТ ће све то променити.
Специјална публикација 800-63-3 представља надоградњу на оригиналну верзију која остварује много онога што неки стручњаци кажу да је требало примењивати током целог времена.
Прво, одузимају вам и правила састава, попут постављања ускличника у лозинку и захтев за рутинско истицање.
Оно што НИСТ 800-63-3 додаје је фокусирање на „реалистичне“ безбедносне праксе.
Нова правила наглашавају мултифакторну аутентификацију, коју писци описују као мешање лозинке (нечег чега се сећате) са физичким кључем или тастатуром (нешто што имате) или делом биометријских података (нешто што је део вас). Остали предлози укључују употребу криптографских кључева и потребу да се прихвате сви способни АСЦИИ знакови, као и максимална дужина од 64 знака и минимална дужина од осам. (Сазнајте више о биометрији у Како пасивна биометрија може помоћи у безбедности ИТ података.)
У јавној презентацији под називом „Према бољим захтевима за лозинком“, експерт за истраживање безбедности Џим Фентон детаљно износи многе од тих исправки као „ти требаш“ и „мораш да забелиш“, такође објашњавајући како НИСТ препоручује креирање речника лозинки које се лако хакају то би требало аутоматски бити забрањено.
„Ако то није лако, корисници варају“, пише Фентон, испитујући нека правила здравог здравства која ће отежати слабе лозинке да угрозе мрежу.
Стручњаци такође сугерирају да корисници мисле на „лозинку“ или скуп речи за лозинку, уместо на грицкалице алфанумеричке супе које смо обучени да пружамо.
Зашто је пролазна фраза боља?
Много је начина да се објасни зашто ће дугачка лозинка као што је "магарац малог јаја" бити јачи избор запорке од нечег попут "МистерА1!" - али најједноставнији је са врло разумљивом метриком: дужина.
Једна идеја у срцу нових прописа НИСТ-а је да смо стратегију запорки на неки начин засновали на ономе што има смисла за људе, истовремено занемарујући шта има смисла за машине.
Неколико насумичних знакова могу збунити људске хакере, али вјероватно неће бити лако превртати рачунаре додатним бројем или знаком на крају лозинке. То је зато што, за разлику од људи, рачунари не читају лозинке у значењу. Једноставно их читају по низу.
Напад грубљи је када рачунар пролази кроз све могуће пермутације ликова да би се покушао „пробити“ проналазећи праву комбинацију, ону коју је првобитно одабрао корисник. Када се ови напади догоде, најважније је колико је ваша лозинка сложена - а сваки додатни знак додаје огромну, готово експоненцијалну величину сложености.
Имајући то у виду, пасошка фраза ће бити експоненцијално јача - иако "људском оку" лакше изгледа.
Проширењем максималне дужине лозинке на 64 знака, нове НИСТ смернице пружају корисничку јачину лозинке, без наметања пуно контратуктивних правила.
Нема наговештаја!
Многи администратори ће се вољети ријешити посебних захтјева знакова и свих оних напорних ажурирања запорки, али постоји још једна значајка због које сјекира добива професионалце док читају нове НИСТ смјернице.
Многи системи траже од нових корисника да додају чињенице о себи у базу података током укрцаја: идеја је да би их касније, ако забораве лозинку, систем могао аутентификовати на основу неке мисли о њиховој прошлости коју нико други не би знао. На пример: Који је био ваш први ауто? Које је име твог првог љубимца? Девојачко презиме Ваше мајке?
Ово је још један од оних трендова који се многима од нас осетио непријатно. Понекад питања изгледају наметљиво. Такође, безбедносно скептици ће указати на то да има доста нас који смо први одвезли Цхевролет, или у младеначком налету буке назвали нашег првог пса „Спот“.
Затим слиједи оптерећење одржавања базе података и усклађивања одговора када су потребни.
Безбедно је рећи да неће превише људи пролити сузе због нестанка функција „наговештај лозинке“ када постоје боље могућности за омогућавање корисничке активности.
Не, то није Ваффле Хоусе! Сољење, лемљење и истезање
У другим иновацијама, стручњаци такође препоручују слање лозинки, што укључује креирање случајних низова знакова пре процеса „хасхинг“ који пресликава један скуп података у други, на тај начин мењајући шифру лозинке и отежавајући њихово разбијање. Постоји и процес зван „истезање“ који је посебно осмишљен за спречавање напада бруталним силама, делимично тако што је процес евалуације био спорији.
Све ове функције имају заједничко то што се одвијају у административном царству, а не на дохват руке. Просечни корисник не жели да има никакве везе са оваквим процедуралним стварима - он или она само жели да приступи и да размотри шта год да ради у мрежном систему, било да је довршавање радних задатака, умрежавање с пријатељима, или куповина или продаја нечега онлине. Дакле, одузимањем правила о лозинкама на страни клијента и прављењем пуно безбедносних административних, компанија и других заинтересованих страна може заиста да побољшају корисничко искуство.
Ово је кључна ствар, јер је унапређење корисничког искуства оно што се тиче многих нових технолошких иновација. Дошли смо до тога да смо изузели пуно функционалности из рачунара, паметних телефона и других уређаја - пуно напретка који ћемо постићи у наредним годинама укључује олакшавање виртуелних задатака и ослобађање од неспретности. искуства: као што је веб локација која није мобилна, блистав интерфејс, лоше трајање батерије ... или заморна пријава! Ту долази до иновације лозинки. Враћајући се идеји мултифакторне аутентификације, вероватно ће биометрија откључати још једноставнију употребу за уређаје - зашто тапкати и куцати дугачке лозинке када можете само показати свом уређају ко сте сте прстом?
Практична примена: Неки изазови остају
Међутим, као што смо рекли, за сада смо заглављени са лозинкама и ПИН-овима. На пример, неки новији оперативни системи су прешли са ПИН-а са четири броја на ПИН са шест бројева, што многе од нас чини много спорије на потезу на нашим уређајима.
Једно од проблема са приступом „лозинке“ који препоручује НИСТ јесте да ће још увек бити ресетовања лозинке (о чему је говора у овој теми о Накед Сецурити). Људи ће и даље заборавити своје лозинке. Неки предлажу да ИТ људима може бити теже да издају нове лозинке када су оригиналне много дуже.
Међутим, ту би могао бити потенцијала када је у питању мултифакторска провјера аутентичности. Биометрија још није заокупљена, али скоро сви имају мобилни телефон. Много система за банкарство на мрежи и других система користе СМС за аутентификацију корисника. Ово би могао бити једноставан начин провјере на рачунима гдје је лозинка изгубљена или заборављена. То је такође кључни начин да се ојача лозинка уопште, као што је горе поменуто.
Такеаваис
Ако сте мрежни администратор, шта вам поручују нова правила НИСТ-а?
У основи, изгледа да савезна агенција поручује менаџерима: опустите се. Допустите корисницима да раде оно што раде интуитивно, с бољом енкрипцијом, рјечником забрањених низова и дужим пољем за унос са вишеструким могућностима. Немојте их учити да своје лозинке носе са звездицама и љубазним специјалним знаковима. И немојте да их натерате да поново покрену цео процес сваких неколико недеља.
Све ово учиниће дату платформу гушћу и сиромашнијом. Само уклањање наговештаја за лозинку одузима значајну базу код са свим својим потребама за ресурсима. Нова правила НИСТ-а стављају сигурност лозинке тамо где и припада: из руку идиосинкратског корисника и на нејасно место где техничке функције чине лако јучерашњу лаку историју напада. Дозволили су свима нама нови охлађени приступ ономе што је тежак процес: креирање јединствених малих ријечи и фраза за сваки кутак нашег дигиталног живота. То је још један корак ка свету интуитивнијих корисничких интерфејса - новом и побољшаном дигиталном свету где се оно што радимо осећа природније и мање збуњује.