Nu implementați și nu impuneți reguli extrem de complexe de compunere a parolelor, ci mai degrabă treceți pe lista neagră parolele utilizate în mod obișnuit, și oferiți în plus alte modalități de a învăța oamenii să se ajute pe ei înșiși și, astfel, întreaga organizație.

În 2003, atunci când inginerul Bill Burr de la Institutul Național de Standarde și Tehnologie (NIST) din SUA a sfătuit oamenii și organizațiile să-și protejeze conturile prin folosirea de date de acces cu șiruri lungi, incluzând cifre și caractere speciale și să le schimbe în mod regulat, acesta a formulat ceea ce avea să devină în curând standardul de aur pentru securitatea parolelor la nivel mondial. 

14 ani mai târziu, Burr a recunoscut că a ajuns să regrete declarațiile sale din trecut, justificând că „indiferent ce sfaturi primesc, oamenii nu aleg parole bune, indiferent ce faci”, a declarat el pentru Wall Street Journal. Sau, așa cum a spus celebrul ilustrator xkcd „În 20 de ani de eforturi pentru a spori securitatea, am antrenat cu succes pe toată lumea să folosească parole greu de reținut de către oameni, dar ușor de ghicit de către computere.”

În zilele noastre, o persoană obișnuită are în teorie de reținut până la 100 de parole, numărul crescând rapid în ultima perioadă.

Studiile au descoperit însă că oamenii își amintesc de obicei până la cinci parole, folosesc metode simpliste, creând parole ușor de ghicit și apoi le reciclează în diferite conturi online. Unii pot înlocui literele cu numere și caractere speciale (de exemplu, „parolă” se transformă în „P4??WØrd”), dar aceasta rezultă totuși într-o parolă ușor de spart.

În ultimii ani, organizații de vârf, cum ar fi Open Web Application Security Project (OWASP) și, bineînțeles, NIST (National Institute of Standards and Technology) însuși și-au schimbat politicile și sfaturile către o abordare mai prietenoasă cu utilizatorul - toate sporind, în același timp, securitatea parolelor.

În același timp, giganții tehnologici precum Microsoft și Google încurajează pe toată lumea să renunțe la parole și să folosească alte metode de autentificare mai sigure. Cu toate acestea, dacă afacerea dvs. mică sau mijlocie nu este încă pregătită să renunțe la conectarea prin parole, iată câteva îndrumări care vă vor ajuta pe dvs. și angajații dvs. în 2023.

Nu mai impuneți reguli de compunere a unor parole foarte complexe

Orice reguli de compunere extrem de complexe, cum ar fi solicitarea utilizatorilor să includă atât caractere majuscule, cât și litere mici, cel puțin o cifră și un caracter special, nu mai sunt obligatorii. Acest lucru se datorează faptului că astfel de reguli rareori încurajează utilizatorii să stabilească parole mai puternice, determinându-i, în schimb, să acționeze previzibil și să creeze parole care sunt, în realitate, atât slabe la atacuri automate, cât și greu de reținut.

Faceți trecerea de la parole clasice la fraze de acces

În loc de parole relativ scurte, dar dificile, propuneți alegerea de fraze de acces. Sunt mai lungi și mai complexe, dar totuși ușor de reținut. De exemplu, poate fi o propoziție întreagă care v-a rămas în cap din anumite motive, presărată poate cu majuscule, caractere speciale sau emoji. Deși nu este o combinație foarte complexă, are un grad mai ridicat de protecție care necesită o perioadă mult mai îndelungată de timp pentru ca instrumentele automate să o spargă.

Cu câțiva ani în urmă, lungimea minimă pentru o parolă bună era de opt caractere, care constau din litere mici și mari, caractere speciale și cifre. Astăzi, instrumentele automate de spargere a parolelor pot ghici o astfel de parolă în câteva minute, mai ales dacă este securizată cu funcția de hashing MD5, așa cum arată testele efectuate de Hive Systems și publicate în aprilie 2023. Astfel, o parolă simplă care conține doar caractere mici și majuscule, dar care are cel puțin 18 caractere necesită mult mai mult timp pentru a fi spartă.

sursa: Hive Systems

O parolă de minim 12 caractere este un început bun

Directivele NIST recunosc lungimea ca factor cheie în puterea parolelor și recomandă o lungime minimă necesară de 12 caractere pentru o parolă sigură, aceasta putând că ajungă până la maximum 64 de caractere după combinarea mai multor elemente. 

Alegeți dintr-o varietate extinsă de caractere

Când își configurează parolele, utilizatorii ar trebui să aibă în vedere toate caracterele ASCII și UNICODE, inclusiv emoji-uri. De asemenea, ar trebui să ia în considerare și opțiunea de a folosi spații, care sunt o parte naturală a frazelor de acces – o alternativă adesea recomandată la parolele tradiționale.

Limitați reutilizarea parolelor

O recomandare deja bine cunoscută este aceea că oamenii nu ar trebui să refolosească aceleași parole pentru diferite conturi online, deoarece compromitere unui singur cont poate duce cu ușurință la deturnarea celorlaltor conturi deținute de același utilizator.

Cu toate acestea, vechile obiceiuri se schimbă greu și aproximativ jumătate dintre respondenții dintr-un studiu din 2019 al Institutului Ponemon au recunoscut că au reutilizat în medie cinci parole în conturile lor de afaceri și/sau personale.

Nu setați „o perioadă de valabilitate” pentru parole

NIST recomandă, de asemenea, să nu se solicite modificări regulate ale parolei, cu excepția cazului în care sunt dorite de către utilizator sau dacă există dovezi ale unei breșe. Motivul este că utilizatorii nu au foarte multă răbdare atunci când trebuie să se gândească la noi parole, de fiecare dată la fel de puternice. Drept urmare, a-i obliga să facă acest lucru periodic poate face mai mult rău decât bine.

Când Microsoft a anunțat în urmă cu trei ani renunțarea la politicile de expirare a parolei, a pus sub semnul întrebării ideea generală de expirare a parolei. 

Rețineți că acesta este doar un sfat general. Dacă securizați o aplicație crucială pentru afacerea dvs. și atractivă pentru atacatori, vă puteți forța totuși angajații să schimbe parolele periodic.

Renunțați la autentificarea bazată pe indicii și întrebări de verificare

Indiciile și întrebările de verificare sunt, de asemenea, învechite. Deși acestea ar putea ajuta, de fapt, utilizatorii să-și amintească parolele uitate, ele pot fi, de asemenea, de mare valoare pentru atacatori. Specialistul ESET, Jake Moore, a arătat în mai multe rânduri cum hackerii pot abuza de pagina „parolă uitată” pentru a pătrunde în conturile altor persoane, de exemplu pe PayPal și Instagram.

De exemplu, o întrebare precum „numele primului tău animal de companie” poate fi ghicită cu ușurință cu puțină cercetare sau prin tehnici de inginerie socială și nu există un număr nesfârșit de posibilități prin care trebuie ar trebui să treacă un instrument automat până la aflarea răspunsului corect.

Lista neagră a parolelor comune

În loc să vă bazați pe regulile de compunere utilizate anterior, verificați noile parole confruntându-le cu o „listă neagră” a celor mai frecvent utilizate parole și/sau a celor compromise anterior și evaluați rezultatele de potrivire ca fiind inacceptabile.

În 2019, Microsoft a scanat conturile utilizatorilor săi comparând numele de utilizator și parolele cu o bază de date de peste trei miliarde de seturi de date de acces hackuite. În urma scanării au fost găsiți 44 de milioane de utilizatori cu parole compromise, care au primit notificări și somații de resetare a parolei.

Oferiți asistență pentru aplicațiile de management de parole

Asigurați-vă că funcționalitatea „copiere și lipire”, instrumentele de parole ale browserului și managerii externi de parole au permisiunea să se ocupe de crearea și memorarea parolelor utilizatorilor.

De asemenea, utilizatorii ar trebui să aleagă fie să vizualizeze temporar întreaga parolă ascunsă, fie ultimul caracter introdus al parolei. Conform indicațiilor OWASP, ideea este de a îmbunătăți gradul de utilizare al introducerii datelor de acces, în special în ceea ce privește utilizarea parolelor mai lungi, a frazelor de acces și a managerilor de parole.

Configurați o perioadă scurtă de valabilitate pentru parolele inițiale

Când un angajat nou își creează pentru prima dată un cont, parola inițială generată de sistem sau codul de activare ar trebui să fie generat aleatoriu într-un mod securizat, și să aibă o lungime de cel puțin șase caractere, cu litere și cifre. Asigurați-vă că datele de acces inițiale expiră după o perioadă scurtă de timp și că noul utilizator le înlocuiește cu o parolă proprie pentru o securitate sporită a accesului. 

Notificați utilizatorii despre modificările parolei

Când utilizatorii își schimbă parolele, ar trebui să li se ceară să introducă mai întâi vechea parolă și, în mod ideal, să activeze autentificarea cu doi factori (2FA). Odată terminat acest procedeu, ar trebui să primească o notificare cu privire la schimbările implementate.

Fiți atenți la procesul de recuperare a parolei

Nu numai că procesul de recuperare nu ar trebui să dezvăluie parola curentă, dar același lucru se aplică și informațiilor referitoare la existența contului. Cu alte cuvinte, nu le oferiți atacatorilor nicio informație!

Utilizați CAPTCHA și alte comenzi anti-automatizare

Utilizați controale de tip anti-automatizare pentru a aborda testele cu date de conectare compromise sau atacurile prin forță brută și cele de blocare a contului. Astfel de controale includ blocarea celor mai frecvente parole compromise anterior, blocarea accesului pentru aplicații, CAPTCHA, decalaje tot mai mari între încercări, restricții privind adresele IP sau restricții bazate pe anumiți factori de risc, cum ar fi locația, primul login de pe un dispozitiv nou, încercările recente de deblocare a contului sau alte scenarii asemănătoare.

Nu vă bazați doar pe parole

Indiferent de cât de puternică și de unică este o parolă, aceasta rămâne o singură barieră care separă un atacator de datele dvs. de business valoroase. Atunci când scopul este crearea unor conturi puternic protejate, un strat suplimentar de autentificare ar trebui să fie considerat o necesitate absolută. 

De aceea, ar trebui să utilizați autentificarea cu doi factori (2FA) sau cu mai mulți factori (MFA) ori de câte ori este posibil. Cu toate acestea, nu toate opțiunile 2FA sunt la fel de eficiente. Mesajele SMS, deși mai bune decât nicio altă formă de 2FA, sunt susceptibile la numeroase amenințări. Alternative mai sigure implică utilizarea dispozitivelor hardware dedicate și a generatoarelor de parole unice (OTP) bazate pe software, cum ar fi aplicațiile securizate instalate pe dispozitivele mobile.