Indhold
- Ingen fejl, ingen stress - Din trinvis vejledning til oprettelse af livsændrende software uden at ødelægge dit liv
- Kognitiv dissonance og flok mentalitet
- Nye NIST-standarder: Hvad er der inde?
- Hvorfor er en adgangssætning bedre?
- Ingen tip!
- Nej, det er ikke vaffelhus! Saltning, Hashing og stretching
- Praktisk implementering: Nogle udfordringer forbliver tilbage
- Takeaways
Kilde: designer491 / iStockphoto
Tag væk:
Nye NIST-regler får brugere til at andes lettelse over adgangskodepolitikker
Der er store ændringer, der kommer ned af gaden, som både systemadministratorer og almindelige brugere muligvis kan lide - de har at gøre med adgangskodeprotokoller.
Adgangskoder er en kendsgerning i livet - de fleste af os har alt for mange af dem. Vi kan ikke huske dem alle, og der er næppe nogen måde at holde styr på dem, medmindre vi begynder at nedskrive dem. Et andet alternativ er bare at huske de adgangskoder, du bruger regelmæssigt, og bede om nulstilling af adgangskode, når du har brug for at få adgang til de andre websteder - men det er en masse nulstilling af adgangskode! Eksperter som Cormac Herley, en Microsoft-forsker, er gået i fortælling om de enorme tidsomkostninger ved nulstilling af adgangskode, og hvordan det kan koste store virksomheder millioner af dollars hvert år. Det koster også brugere millioner af minutter ved at hakke ved tastaturet, uanset om de prøver at se personlige data, tilmelde sig en service eller købe noget fra en e-handel butik.
Så hvad kan vi gøre? Og hvad er de mest hindrende og irriterende aspekter ved vores adgangskodebrug, der får os til at ønske at kaste vores computere og enheder ud af vinduet?
Nye rapporter viser, at vi som samfund muligvis er ved at slippe af med nogle af disse irriterende kodeordproblemer. Med ny forskning i cybersikkerhed vil vi sandsynligvis komme videre end nogle af de nuværende sikkerhedsstandarder, der har skabt os så meget stress i de sidste par år.
En artikel i Wall Street Journal strækker sig så vidt som at bringe fyren bag nogle af disse regler og få hans indlæg om, hvorfor de muligvis ikke bliver brug for længere.
Den 7. august 2017 leverede WSJ-forfatter Robert McMillan et bombeskal i form af et efterforskningsstykke om Bill Burr, forfatteren af et 2003-papir, der endte med at have store effekter på virksomhedens adgangskodestandarder. Burr arbejdede på National Institute of Standards and Technology, det føderale agentur, der havde til opgave at evaluere teknologisk innovation i U.S.
”Manden, der skrev bogen om adgangskodestyring, har en tilståelse at gøre,” begynder grupperne i McMillans stykke. ”Han blæste det.”
Derefter beskriver artiklen to bugbears fra den digitale æra, der har kompliceret vores liv. Den første er de skærpende krav for at inkludere specialtegn i en adgangskode. Den anden er hyppige ændringer af adgangskode.
Ingen fejl, ingen stress - Din trinvis vejledning til oprettelse af livsændrende software uden at ødelægge dit liv
Du kan ikke forbedre dine programmeringsevner, når ingen er interesseret i softwarekvalitet.
Begge disse fremgangsmåder tager meget tid, når du taler om snesevis af individuelle adgangskoder. Den første er dog også et klassisk tilfælde af "dårlig interface" - det er bare ikke intuitivt, og det tvinger folk til løsninger.
Kognitiv dissonance og flok mentalitet
De fleste af os kan slags “føle”, hvordan disse adgangskodestandarder skaber forvirring i vores hjerner. Overfor det meget abstrakte valg af, hvordan man inkluderer et tal og en speciel karakter i en adgangskode, der ellers er en alfabetisk streng, vil mange af os simpelthen strejke en "1!" Der ikke rigtig har tendens til at folde hackere. Faktisk, jo mere vi vælger de samme generiske valg, jo lettere bliver det at knække vores adgangskoder. (Lær mere om hackere i Er sikkerhedsundersøgelser faktisk hjælp til hackere?)
Tilføj oven på kravet om, at brugere opdaterer deres adgangskoder hver måned eller hver tredje måned eller deromkring.
Begrundelsen bag dette krav er, at den gamle adgangskode skal ændres til noget helt andet - men alt for ofte er det ikke sådan, det fungerer. Forsøger at håndtere den ekstra hjerneslag ved at huske et helt nyt kodeord, brugeren vil tage det gamle kodeord og ændre et bogstav eller nummer. Nu er den gamle adgangskode en stor "fortælle" for den nye - det bliver et ansvar.
Nye NIST-standarder: Hvad er der inde?
De nye regler, der udvikles af NIST, vil ændre alt dette.
Speciel publikation 800-63-3 er en opdatering til den originale version, der udfører meget af det, som nogle eksperter siger, burde have været implementeret hele tiden.
For det første fjerner det både kompositionsreglerne, som at skulle lægge et udråbstegn i dit kodeord og kravet om rutinemæssige udløb.
Hvad NIST 800-63-3 tilføjer er et fokus på "realistisk" sikkerhedspraksis.
De nye regler understreger godkendelse af flere faktorer, som forfattere beskriver som at blande et kodeord (noget, du husker) med en fysisk nøgle eller nøglekort (noget du har) eller et stykke biometriske data (noget, der er en del af dig). Andre forslag inkluderer brugen af kryptografiske nøgler og behovet for at acceptere alle dygtige ASCII-tegn, samt en øverste længde på 64 tegn og en mindstelængde på otte. (Lær mere om biometri i, hvordan passive biometri kan hjælpe i it-datasikkerhed.)
I en offentlig præsentation af et lysbilledshow med titlen "Mod bedre adgangskravkrav", indeholder sikkerhedsundersøgelsesekspert Jim Fenton detaljerede oplysninger om mange af disse rettelser som "du skal" og "du skal ikke," og forklarer også, hvordan NIST anbefaler at oprette en ordbog med let hackelige adgangskoder det skal automatisk forbydes.
”Hvis det ikke er let, snyder brugerne,” skriver Fenton og undersøger nogle af de commonsense-regler, der vil gøre det sværere for svage adgangskoder at gå på kompromis med et netværk.
Eksperter antyder også, at brugere tænker på en "adgangssætning" eller et sæt ord for et kodeord, snarere end det virvar af alfanumerisk suppe, som vi er blevet uddannet til at give.
Hvorfor er en adgangssætning bedre?
Der er mange måder at forklare, hvorfor en lang adgangssætning som "total æggecykel-æsel" vil være et stærkere adgangskodevalg end noget som "MisterA1!" - men det enkleste har at gøre med en meget forståelig metrisk: længde.
En idé i hjertet af nye NIST-forordninger er, at vi på nogle måder har baseret vores adgangskodestrategi på, hvad der giver mening for mennesker, mens vi ser bort fra, hvad der giver mening for maskiner.
Et par tilfældige karakterer kan forvirre menneskelige hackere, men computere vil sandsynligvis ikke let svinge af et ekstra nummer eller tegn i slutningen af en adgangskode. Det skyldes, at computere i modsætning til mennesker ikke læser adgangskoder til mening. De læser dem simpelthen efter streng.
Et brute-force-angreb er, når en computer gennemgår alle mulige permutationer af tegn for at prøve at "bryde ind" ved at finde den rigtige kombination, den oprindeligt valgt af brugeren. Når disse angreb sker, er det, der betyder noget, hvor kompleks din adgangskode er - og hver ekstra karakter tilføjer en enorm, næsten eksponentiel størrelse af kompleksitet.
Med det i tankerne vil en adgangssætning blive eksponentielt stærkere - selvom den ”ser” lettere ud for det menneskelige øje.
Ved at udvide den maksimale længde på en adgangskode til 64 tegn giver de nye NIST-retningslinjer brugerne den adgangskodestyrke, de har brug for, uden at pålægge en masse counterintuitive regler.
Ingen tip!
Mange admins vil elske at slippe af med de særlige karakterkrav og alle disse arbejdskrævende kodeordopdateringer, men der er en anden funktion, der også får øksen, når fagfolk læser nye NIST-retningslinjer.
Mange systemer beder nye brugere om at tilføje fakta om sig selv til en database under onboarding: Tanken er, at hvis de senere glemmer deres adgangskode, kan systemet autentificere dem baseret på en tanke om deres fortid, som ingen andre ville vide. For eksempel: Hvad var din første bil? Hvad var navnet på dit første kæledyr? Hvad er din mors pigenavn?
Dette er en anden af disse tendenser, der har følt sig utilpas for mange af os. Undertiden virker spørgsmålene påtrængende. Sikkerhedsindstillede skeptikere vil også påpege, at der er en god del af os, der først kørte en Chevrolet, eller, i en ungdommelig form for begejstring, kaldet vores første hund "Spot."
Så er der arbejdsbyrden ved at vedligeholde databasen og matche svarene op, når de er nødvendige.
Det er sikkert at sige, at ikke for mange mennesker kaster tårer over forsvinden af “password hint” -funktioner, når der er bedre muligheder for at gøre brugeraktivitet virkelig sikker.
Nej, det er ikke vaffelhus! Saltning, Hashing og stretching
I andre innovationer anbefaler eksperter nu også "saltning" -adgangskoder, som involverer oprettelse af en tilfældig streng med karakterer før en "hashing" -proces, der kortlægger et datasæt til et andet, hvorved ændringen af kodeordet gøres og vanskeligere at bryde. Der er også en proces kaldet "strækning", der er specifikt designet til at foliere angreb fra brute-force, delvis ved at gøre evalueringsprocessen langsommere.
Hvad alle disse funktioner har til fælles, er, at de finder sted i det administrative område, ikke ved brugerens hånden. Den gennemsnitlige bruger vil ikke have noget at gøre med denne form for proceduremæssige ting - han eller hun vil bare have adgang og gå omkring hvad der er at gøre i et netværkssystem, hvad enten det er at udføre arbejdsopgaver, netværke med venner eller købe eller sælge noget online. Så ved at fjerne "klientsiden" adgangskodsreglerne og gøre en masse af sikkerhedsadministrationen, kan virksomheder og andre interessenter virkelig forbedre brugeroplevelsen.
Dette er et vigtigt punkt, fordi forbedring af brugeroplevelse er det, en masse ny teknologisk innovation handler om. Vi er kommet til det punkt, hvor vi har slået en masse funktionalitet ud af vores computere, smartphones og andre enheder - meget af de fremskridt, vi vil gøre i de kommende år, involverer at gøre virtuelle opgaver lettere at gøre, og at slippe af med uklarheden af en oplevelse: såsom et ikke-mobil-første websted, en glitrende grænseflade, dårlig batterilevetid… eller en kedelig login! Det er her, adgangskode-innovation kommer ind. Når vi vender tilbage til ideen om multifaktor-godkendelse, er det sandsynligt, at biometri vil låse endnu mere brugervenlighed til enheder - hvorfor trykke og indtaste lange adgangskoder, når du bare kan vise din enhed, hvem du er med en finger?
Praktisk implementering: Nogle udfordringer forbliver tilbage
Men som vi har sagt, sidder vi fast med adgangskoder og pinkoder indtil videre. For eksempel har nogle nyere operativsystemer skiftet fra en firecifret PIN-kode til en seks-nummer-PIN-kode, hvilket gør mange af os så meget langsommere i trækningen på vores enheder.
Ét problem med den "adgangssætning" tilgang, der er anbefalet af NIST, er, at der stadig vil være nulstilling af adgangskode (som diskuteret i denne tråd om Naked Security). Folk glemmer stadig deres adgangskoder. Nogle antyder, at det måske bliver sværere for it-folk at udstede nye adgangskoder, når de originale er meget længere.
Der kan dog være noget potentiale her, når det kommer til multifaktor-godkendelse. Biometri har ikke rigtig fanget endnu, men næsten alle har en mobiltelefon. Masser af online banksystemer og andre systemer bruger SMS til at autentificere brugere. Dette kan være en nem måde at tjekke på konti, hvor adgangskoden er mistet eller glemt. Det er også en nøglemåde til at styrke en adgangskode generelt, som nævnt ovenfor.
Takeaways
Hvis du er netværksadministrator, hvad fortæller de nye NIST-regler?
I det væsentlige ser det føderale agentur ud til ledere: slap af. Lad brugere gøre, hvad de gør intuitivt, med bedre kryptering, en ordbog over forbudte strenge og et længere inputfelt med mere alsidighed. Lær dem ikke at sminke deres adgangskoder med stjerner og søde specialtegn. Og lad dem ikke genoprette hele processen med nogle få uger.
Alt dette vil gøre en given platform slankere og mere gennemsigtig. Bare fjernelse af adgangskodetips fjerner en betydelig kodebase med alle dens ressourcebehov. De nye NIST-regler sætter adgangskodesikkerhed, hvor den hører hjemme: ud af den idiosynkratiske brugers hænder og på et uklar sted, hvor tekniske funktioner gør gårsdagens let brute-force-angreb historie. De lader os alle tage en ny kølet tilgang til, hvad der har været en prøvende proces: at skabe unikke små ord og sætninger til hvert hjørne af vores digitale liv. Det er endnu et skridt hen imod en verden med mere intuitive brugergrænseflader - en ny og forbedret digital verden, hvor det, vi gør, føles mere naturligt og mindre forvirrende.