Știri despre securitate, dezvăluiri și puncte de vedere ale experților ESET

Fără cerințe absurde pentru parole

2017-07-13

Știți la ce ne referim – vă uitați la un formular de înscriere, pe un site web, după ce vi se cere să creați un cont pentru a putea trece mai departe.

Dați tot ceea ce aveți mai bun pentru a introduce o parolă pe care nu o utilizați deja în cele mai importante conturi online și apăsați “Înregistrare”. Nu este atât de ușor! “Parola trebuie să conțină cel puțin o majusculă.” Bine, apăsați din nou butonul de înregistrare. “Parola trebuie să conțină cel puțin un caracter special”. Acum, parola nu poate conține caracterul pe care l-ați ales. Ne pare rău, acum “parola este prea lungă”.

Ei bine, toate astea se vor schimba.

În curând, noul Digital Identify Guidelines elaborat de NIST (Institutul Național pentru Standarde și Tehnologie) a încheiat seria de discuții publice și este gata să fie finalizat.

Ghidul propune cerințe noi și îmbunătățite pentru parole, schimbând ceea ce știm în general despre acest “rău necesar” pe care îl utilizăm pentru a ne securiza conturile.

Deoarece multe dintre regulile utilizate anterior s-au dovedit a fi ineficiente sau chiar contraproductive, NIST recomandă acum administratorilor să renunțe la orice măsuri care pun o povară în plus asupra utilizatorilor, fără a îmbunătăți în mod semnificativ securitatea.

Este de așteptat ca acest lucru să ducă la o autentificare din ce în ce mai sigură, pentru că utilizatorii nu vor fi obligați să găsească modalități ușoare (și nesigure) pentru a rezolva cerințele excesiv de complicate.

Deși ghidul este obligatoriu doar pentru agențiile federale, el tinde să aibă o mare influență asupra organizațiilor în general, ceea ce la rândul lor afectează utilizatorii de internet din întreaga lume.

Deci, care sunt schimbările majore?

Nu mai există reguli de compunere forțată

Orice altă regulă complexă a compoziției (cum ar fi solicitarea utilizatorilor de a include atât caractere mari, cât și minuscule, cel puțin un număr și un caracter special) trebuie eliminată. Motivul din spatele acestei decizii este că astfel de reguli îi încurajează prea puțin pe utilizatori să creeze parole mai puternice, dar mai degrabă îi forțează să producă parole care sunt în același timp slabe și greu de reținut.

Fără perioade de expirare a parolei

Noul ghid recomandă, de asemenea, renunțarea la modificarea de rutină a parolei, cu excepția cazului în care abonatul solicită o modificare sau există dovezi ale unei breșe. Argumentul este că utilizatorii nu au destulă răbdare să se gândească în mod constant la noi parole suficient de puternice, iar obligându-i să facă acest lucru în mod repetat, acest lucru pot face mai mult rău decât bine.

Se renunță la indicii și autentificarea bazată pe informațiile declarate anterior

Un alt lucru ce trebuie eliminat conform NIST sunt sugestii de parolă și validări bazate pe verificarea cunoștințelor. Deși ar putea ajuta utilizatorii să își amintească parolele uitate, aceste tehnici pot fi, de asemenea, de mare valoare pentru atacatori – chiar mai importante, dacă sunt reutilizate pe mai multe site-uri.

Lista neagră de parole care nu sunt acceptate

În locul regulilor de compoziție utilizate anterior, NIST recomandă verificarea parolelor noi în cadrul unei “liste negre”, a celor mai frecvent utilizate parole și / sau a parolelor compromise anterior și declararea celor care se potrivesc cu cele existenete în lista neagră ca fiind inacceptabile.

O varietate mai largă de caractere

Atunci când se configurează o parolă, utilizatorii ar trebui să poată alege liber din toate caracterele ASCII, precum și din caracterele UNICODE, inclusiv emojis. Utilizatorii ar trebui, de asemenea, să aibă opțiunea de a utiliza spații, care sunt o parte naturală a passphrase – o alternativă adesea recomandată parolelor tradiționale.

Lungime minimă de opt caractere

Noul ghid confirmă lungimea ca factor cheie în stabilirea valorii parolei și introduc o lungime minimă de opt caractere, care poate ajunge până la maximum 64 de caractere.

Autentificarea cu un factor nu este suficientă (dar nu folosiți SMS-ul)

Indiferent de efortul pe care îl puneți în îmbunătățirea parolelor, acestea rămân singura barieră între potențialii atacatori și datele dvs. valoroase. Atunci când urmăriți securizarea conturilor, un nivel suplimentar de autentificare ar trebui considerat ca o necesitate absolută. NIST știe acest lucru și recomandă utilizarea autentificării cu doi sau mai mulți factori ori de câte ori este posibil.

Scopul 2FA / MFA este de a verifica dacă persoana care încearcă să obțină acces la un cont este într-adevăr persoana autorizată să o facă. În practică, acest lucru se poate face folosind ceva cunoscut (cum ar fi o parolă memorată sau un cod PIN), ceva ce dețineți (cum ar fi un token de securitate sau un telefon mobil) sau ceea ce sunteți (metode biometrice cum ar fi cititoare de amprentă, scanere  de față sau retină ).

Ce este nou în cele mai recente recomandări în ceea ce privește 2FA? SMS-ul nu mai este recomandat ca al doilea factor, deoarece este susceptibil la compromitere în fața a numeroase amenințări. O alternativă mai sigură la SMS include dispozitive hardware, precum și generatoare de parole pe bază de software (OTP) – cum ar fi aplicații securizate instalate pe dispozitive mobile.

Noul ghid introduce o abordare mai simplă a autentificării digitale, care are potențialul de a îmbunătăți situația actuală nu numai în ceea ce privește ușurința în utilizare, ci și în ceea ce privește securitatea. Și pentru că parolele par să nu evolueze deloc, totuși, ar fi bine să încercăm să le utilizăm cât mai bine.

NIST nu este singura autoritate care recomandă aceste lucruri. Persoanele din spatele World Password Day, o inițiativă axată pe îmbunătățirea puterii parolei, sugerează că fiecare cont trebuie să aibă propria sa parolă unică și că utilizatorii pot adopta, de asemenea, fie o strategie “passcode” pentru o securitate sporită, fie pot adopta autentificarea cu doi factori, în vreme ce o parolă simplă oferă un singur pas (de securitate) înainte ca cineva să obțină acces la datele sensibile dintr-un cont.

 

 

PETER STANCIK

CORESPONDENT INDEPENDENT



Leave a Reply

Your email address will not be published. Required fields are marked *