Innehåll
- Inga buggar, ingen stress - din steg-för-steg-guide för att skapa livsförändrad programvara utan att förstöra ditt liv
- Kognitiv dissonans och flock mentaliteten
- Nya NIST-standarder: Vad finns inuti?
- Varför är en lösenfras bättre?
- Inga tips!
- Nej, det är inte våffelhus! Saltning, hasande och sträckning
- Praktisk implementering: Vissa utmaningar kvarstår
- takeaways
Källa: designer491 / iStockphoto
Hämtmat:
Nya NIST-regler har användare som andas ett lättnad över lösenordspolicyn
Det är stora förändringar som kommer ner på gädda som både systemadministratörer och vanliga användare kanske älskar - de har att göra med lösenordsprotokoll.
Lösenord är ett faktum i livet - de flesta av oss har alltför många av dem. Vi kan inte komma ihåg dem alla, och det finns knappast något sätt att hålla reda på dem om vi inte börjar skriva ner dem. Ett annat alternativ är att bara komma ihåg de lösenord du använder regelbundet och be om återställningar av lösenord när du behöver komma åt de andra webbplatserna - men det är mycket återställningar av lösenord! Experter som Cormac Herley, en Microsoft-forskare, har pratat om de enorma tidskostnaderna för återställning av lösenord och hur det kan kosta stora företag miljoner dollar varje år. Det kostar också användare miljoner minuter att haka bort på tangentbordet, oavsett om de försöker se personuppgifter, registrera sig för en tjänst eller köpa något från en e-handel butik.
Så vad kan vi göra? Och vad är de mest hindrande och irriterande aspekterna av vår lösenordsanvändning som får oss att vilja slänga våra datorer och enheter ut genom fönstret?
Nya rapporter visar att vi som samhälle kan vara på väg att bli av med några av dessa irriterande lösenordsproblem. Med ny forskning om cybersäkerhet kommer vi sannolikt att gå längre än några av de nuvarande säkerhetsnormerna som har orsakat oss så mycket stress under de senaste åren.
En artikel i Wall Street Journal sträcker sig så långt som att få fram kollegan bakom några av dessa regler och få hans inlägg om varför de kanske inte behövs längre.
Den 7 augusti 2017 levererade WSJ-författaren Robert McMillan ett bombskal i form av ett utredande stycke om Bill Burr, författaren till ett 2003-papper som slutade ha stora effekter på företagens lösenordstandarder. Burr arbetade vid National Institute of Standards and Technology, den federala byrån som hade till uppgift att utvärdera teknisk innovation i U.S.
”Mannen som skrev boken om lösenordshantering har en bekännelse att göra,” börjar McMillans verk. "Han blåste det."
Därifrån beskriver artikeln två bugbears från den digitala eran som har komplicerat våra liv. Den första är de försvårande kraven för att inkludera specialtecken i ett lösenord. Den andra är ofta lösenordsändringar.
Inga buggar, ingen stress - din steg-för-steg-guide för att skapa livsförändrad programvara utan att förstöra ditt liv
Du kan inte förbättra dina programmeringsfärdigheter när ingen bryr sig om mjukvarukvalitet.
Båda dessa metoder tar mycket tid när du pratar om dussintals enskilda lösenord. Den första är dock också ett klassiskt fall av "dåligt gränssnitt" - det är bara inte intuitivt och det tvingar människor till lösningar.
Kognitiv dissonans och flock mentaliteten
De flesta av oss kan typ "känna" hur dessa lösenordstandarder orsakar förvirring i våra hjärnor. Inför det mycket abstrakta valet av hur man inkluderar ett nummer och ett specialtecken i ett lösenord, som annars är en alfabetisk sträng, kommer många av oss helt enkelt att sträcka av en ”1!” Som inte riktigt tenderar att folja hackare. Faktum är att ju mer vi väljer samma generiska val, desto lättare blir det att knäcka våra lösenord. (Läs mer om hackare i Hjälper säkerhetsforskning faktiskt hackare?)
Lägg till dessutom kravet på att användare ska uppdatera sina lösenord varje månad eller var tredje månad eller så.
Motiveringen bakom detta krav är att det gamla lösenordet ska ändras till något helt annat - men för ofta är det inte så det fungerar. Försöker hantera den extra hjärtslagen att komma ihåg ett helt nytt lösenord, kommer användaren att ta det gamla lösenordet och ändra en bokstav eller ett nummer. Nu är det gamla lösenordet ett stort "berätta" för det nya - det blir ett ansvar.
Nya NIST-standarder: Vad finns inuti?
De nya reglerna som utvecklas av NIST kommer att förändra allt detta.
Specialpublicering 800-63-3 är en uppdatering av den ursprungliga versionen som gör mycket av det som vissa experter säger borde ha genomförts hela tiden.
Först tar det bort både kompositionsreglerna, som att behöva sätta en utropstecken i ditt lösenord och kravet på rutinmässiga utgångar.
Vad NIST 800-63-3 lägger till är fokus på ”realistiska” säkerhetsrutiner.
De nya reglerna betonar autofakturering av flera faktorer, som författare beskriver som att blanda ett lösenord (något du kommer ihåg) med en fysisk nyckel eller nyckelkort (något du har) eller en bit biometrisk data (något som är en del av dig). Andra förslag inkluderar användning av kryptografiska nycklar och behovet av att acceptera alla kapabla ASCII-tecken, liksom en topplängd på 64 tecken och en minsta längd på åtta. (Läs mer om biometri i hur passiv biometri kan hjälpa till i IT-datasäkerhet.)
I en offentlig presentationspresentation med titeln "Mot bättre lösenordskrav" lägger säkerhetsforskningsexperter Jim Fenton i detalj ut många av dessa korrigeringar som "du ska" och "du ska inte", och förklarar också hur NIST rekommenderar att skapa en ordbok med lätt hackbara lösenord det bör automatiskt förbjudas.
"Om det inte är lätt, fuskar användare," skriver Fenton och undersöker några av commonsense-reglerna som kommer att göra det svårare för svaga lösenord att äventyra ett nätverk.
Experter föreslår också att användare tänker på en "lösenfras" eller en uppsättning ord för ett lösenord, snarare än virvlarna av alfanumerisk soppa som vi har utbildats för att tillhandahålla.
Varför är en lösenfras bättre?
Det finns många sätt att förklara varför en lång lösenfras som "total äggcykel åsna" kommer att bli ett starkare lösenordsval än något som "MisterA1!" - men det enklaste har att göra med en mycket förståelig metrisk: längd.
En idé i hjärtat av nya NIST-förordningar är att vi på vissa sätt har baserat vår lösenordsstrategi på vad som är vettigt för människor, samtidigt som vi bortser från vad som är meningsfullt för maskiner.
Några slumpmässiga karaktärer kan förvirra mänskliga hackare, men datorer kommer sannolikt inte att svängas av ett extra nummer eller tecken i slutet av ett lösenord. Det beror på att till skillnad från människor läser datorer inte lösenord för mening. De läser helt enkelt dem efter sträng.
En brute-force-attack är när en dator går igenom alla möjliga permutationer av tecken för att försöka "bryta in" genom att hitta rätt kombination, den som ursprungligen valts av användaren. När dessa attacker inträffar är det som är viktigt hur komplicerat ditt lösenord är - och varje ytterligare karaktär lägger till en enorm, nästan exponentiell komplexitet.
Med detta i åtanke kommer en lösenfras att bli exponentiellt starkare - även om den "ser" lättare ut för det mänskliga ögat.
Genom att utöka den maximala längden på ett lösenord till 64 tecken ger de nya NIST-riktlinjerna användarna den lösenordsstyrka de behöver, utan att införa många motsäkra regler.
Inga tips!
Många administratörer kommer att älska att bli av med de speciella karaktärkraven och alla dessa arbetsintensiva lösenordsuppdateringar, men det finns en annan funktion som också får axen när proffsen läser nya NIST-riktlinjer.
Många system ber nya användare att lägga till fakta om sig själva i en databas under onboarding: tanken är att senare, om de glömmer sitt lösenord, kan systemet verifiera dem baserat på någon tanke om deras förflutna som ingen annan skulle veta. Till exempel: Vad var din första bil? Vad hette ditt första husdjur? Vad är din mammas flicknamn?
Detta är en annan av de trender som har känt sig obekväm för många av oss. Ibland verkar frågorna påträngande. Säkerhetsinriktade skeptiker påpekar också att det finns många många av oss som först körde en Chevrolet, eller, i en ungdommig ansträngning av utstrålning, kallade vår första hund "Spot."
Sedan finns det arbetsbelastningen för att underhålla databasen och matcha svaren när de behövs.
Det är säkert att inte alltför många kommer att tappa tårar över försvinnandet av "lösenordstips" -funktioner när det finns bättre alternativ för att göra användaraktiviteten verkligen säker.
Nej, det är inte våffelhus! Saltning, hasande och sträckning
I andra innovationer rekommenderar experter nu också ”saltning” -lösenord, vilket innebär att man skapar en slumpmässig sträng av tecken innan en ”hashning” -process som kartlägger en datauppsättning till en annan och därmed ändrar lösenordets makeup och gör det svårare att bryta. Det finns också en process som kallas "stretching" som är specifikt utformad för att folja attacker med brute-force, delvis genom att göra utvärderingsprocessen långsammare.
Det som alla dessa funktioner har gemensamt är att de äger rum i det administrativa området, inte inom användarens fingertoppar. Den genomsnittliga användaren vill inte ha något att göra med den här typen av processuella saker - han eller hon vill bara få åtkomst och gå till vad det är att göra i ett nätverkssystem, vare sig det är att genomföra arbetsuppgifter, nätverka med vänner eller köpa eller sälja något uppkopplad. Så genom att ta bort lösenordsreglerna för "klientsidan" och göra mycket av säkerhetsadministrationen kan företag och andra intressenter verkligen förbättra användarupplevelsen.
Detta är en nyckelpunkt eftersom det är mycket ny teknisk innovation att förbättra användarupplevelsen. Vi har kommit till den punkt där vi har vridit mycket funktionalitet från våra datorer, smartphones och andra enheter - mycket av de framsteg vi kommer att göra under kommande år innebär att göra virtuella uppgifter enklare att göra och att bli av med klumpen av en upplevelse: till exempel en icke-mobil-första webbplats, ett svårt gränssnitt, dålig batteritid ... eller en tråkig inloggning! Det är där lösenordsinnovation kommer in. När jag går tillbaka till idén om multifaktor-autentisering är det troligt att biometri kommer att låsa upp ännu mer användarvänlighet för enheter - varför knacka och skriva in långa lösenord när du bara kan visa din enhet vem du är med ett finger?
Praktisk implementering: Vissa utmaningar kvarstår
Men som vi redan har fastnat med lösenord och PIN-koder för tillfället. Till exempel har vissa nyare operativsystem bytt från en fyrsiffrig PIN-kod till en sexsiffrig PIN-kod, vilket gör att många av oss är så mycket långsammare när vi använder våra enheter.
Ett problem med "passphrase" -metoden som rekommenderas av NIST är att det fortfarande kommer att återställas lösenord (som diskuteras i den här tråden om Naked Security). Folk kommer fortfarande att glömma sina lösenord. Vissa föreslår att det kan bli svårare för IT-människor att utfärda nya lösenord när de ursprungliga är mycket längre.
Det kan emellertid vara en viss potential här när det gäller autentisering med flera faktorer. Biometri har inte riktigt fångats ännu, men nästan alla har en mobiltelefon. Många online-banksystem och andra system använder SMS för att verifiera användare. Detta kan vara ett enkelt sätt att kontrollera konton där lösenordet har tappats eller glömts bort. Det är också ett viktigt sätt att stärka ett lösenord i allmänhet, som nämnts ovan.
takeaways
Om du är nätverksadministratör, vad säger de nya NIST-reglerna?
I huvudsak verkar den federala byrån säga chefer: slappna av. Låt användare göra vad de gör intuitivt, med bättre kryptering, en ordlista med förbjudna strängar och ett längre inmatningsfält med mer mångsidighet. Lär dem inte att spela sina lösenord med asterisker och söt specialtecken. Och låt dem inte återuppta hela processen med några veckor.
Allt detta kommer att göra en given plattform smalare och slingrare. Bara eliminering av lösenordstips tar bort en betydande kodbas med alla dess resursbehov. De nya NIST-reglerna sätter lösenordssäkerhet där det hör hemma: ur den idiosynkratiska användarens händer och på en otydlig plats där tekniska funktioner gör gårdagens enkla brute-force attacker historia. De låter oss alla ta en ny avkyld strategi för det som har varit en försökande process: skapa unika små ord och fraser för varje hörn i våra digitala liv. Det är ytterligare ett steg mot en värld av mer intuitiva användargränssnitt - en ny och förbättrad digital värld där det vi gör känns mer naturligt och mindre förvirrande.