Undlad at torturere folk med ekstremt komplekse regler for sammensætning af adgangskoder, men sortliste almindeligt brugte adgangskoder plus andre måder at hjælpe folk med at hjælpe sig selv – og hele din organisation
Da ingeniør Bill Burr fra US National Institute of Standards and Technology (NIST) i 2003 skrev, hvad der snart ville blive verdens guldstandard for adgangskodesikkerhed, rådede han folk og organisationer til at beskytte deres konti ved at opfinde lange og 'kaotiske' linjer af tegn, tal og tegn - og at ændre dem regelmæssigt.
Fjorten år senere indrømmede Burr, at han fortrød sit tidligere råd. "Det driver bare folk til bananer, og de vælger ikke gode adgangskoder, uanset hvad du gør," han fortalte Wall Street Journal.
Eller som den berømte xkcd comic har sagt det: "Gennem 20 års indsats har vi med succes trænet alle til at bruge adgangskoder, der er svære for mennesker at huske, men som er nemme for computere at gætte."
Disse dage, en gennemsnitlig person har op til 100 adgangskoder at huske, hvor antallet er vokset med et hurtigt klip i de seneste år (selvom faktisk nogle mennesker brugt omkring 50 adgangskoder, herunder en række offline-koder, selv for år tilbage, og nogle sikkerhedseksperter har påpeget, at sådanne adgangskodevaner og -politikker er uholdbare.)
Faktisk har undersøgelser fundet ud af, at folk typisk husker kun op til fem adgangskoder og tag genveje ved at oprette let at gætte adgangskoder og så genbruge dem på tværs af forskellige onlinekonti. Nogle kan faktisk erstatte tal og specialtegn med bogstaver (f.eks. bliver "adgangskode" til "P4??WØrd"), men dette giver stadig en adgangskode, der er nem at knække.
I de senere år har førende organisationer som The Open Web Application Security Project (OWASP) og selvfølgelig NIST selv ændrede deres politikker og råd mod en mere brugervenlig tilgang – alt imens adgangskodesikkerheden øges.
Samtidig er tech-giganter som f.eks microsoft , Google opfordrer alle til helt at droppe adgangskoder og gå uden adgangskode i stedet. Men hvis din lille eller mellemstore virksomhed ikke er klar til at skille sig af med adgangskoder endnu, er her en vejledning, der vil hjælpe dig og dine medarbejdere i 2023.
Stop med at pålægge unødigt komplekse regler for sammensætning af adgangskode
Alle overordentlig komplekse sammensætningsregler (såsom at kræve, at brugere skal inkludere både store og små bogstaver, mindst ét tal og et specialtegn) er ikke længere et must. Dette skyldes, at sådanne regler sjældent opfordrer brugere til at angive stærkere adgangskoder, og får dem i stedet til at handle forudsigeligt og finde på adgangskoder, der er en "dobbelt pudsning" - de er både svage og svære at huske.
Skift til adgangssætninger
I stedet for kortere, men svære adgangskoder, gå efter adgangssætninger. De er længere og mere komplekse, men stadig nemme at huske. Det kan for eksempel være en hel sætning, der af en eller anden grund satte sig fast i dit hoved, overstrøet af versaler, specialtegn og emojis. Selvom det ikke er super komplekst, vil det stadig tage evigheder for automatiserede værktøjer at knække det.
For et par år siden var minimumslængden for en god adgangskode otte tegn, som bestod af små og store bogstaver, tegn og tal. I dag kan automatiserede adgangskodeknækningsværktøjer gætte en sådan adgangskode på få minutter, især hvis den er sikret med MD5-hash-funktionen.
Dette er i henhold til test udført af Hive Systems og udgivet i april 2023. Tværtimod tager en simpel adgangskode, der kun indeholder små og store bogstaver, men er 18 tegn lang, langt, langt længere tid at knække.
Sigt efter en minimumlængde på 12 tegn – jo flere jo bedre!
NIST-retningslinjerne anerkender længde som nøglefaktoren for adgangskodestyrke og indfører en minimumslængde på 12 tegn, der når op til et maksimum på 64 tegn efter at have kombineret flere mellemrum. Alt andet lige, jo flere jo bedre.
Aktiver en række forskellige tegn
Når de indstiller deres adgangskoder, skal brugerne frit kunne vælge mellem alle udskrivbare ASCII- og UNICODE-tegn, inklusive emojis. De bør også have mulighed for at bruge mellemrum, som er en naturlig del af adgangssætninger – et ofte anbefalet alternativ til traditionelle adgangskoder.
Hold fast på genbrug af adgangskode
Det er efterhånden konventionel visdom folk bør ikke genbruge deres adgangskoder på tværs af forskellige onlinekonti, fordi et brud på én konto nemt kan føre til kompromittering af andre konti.
Men mange vaner dør hårdt, og omkring halvdelen af de adspurgte i en Ponemon Institute-undersøgelse fra 2019 indrømmet at genbruge i gennemsnit fem adgangskoder på tværs af deres forretnings- og/eller personlige konti.
Indstil ikke en "sidste brugsdato" for adgangskoder
NIST anbefaler også, at man ikke kræver regelmæssige adgangskodeændringer, medmindre brugeren anmoder om det, eller medmindre der er bevis for et kompromis. Begrundelsen er, at brugerne kun har så meget tålmodighed til konstant at skulle tænke på nye rimelig stærke adgangskoder. Som et resultat kan det gøre mere skade end gavn at få dem til at gøre det med jævne mellemrum.
Da Microsoft for tre år siden annoncerede at droppe politikkerne for udløb af adgangskode, satte det spørgsmålstegn ved hele ideen om udløb af adgangskode.
"Hvis det er givet, at en adgangskode sandsynligvis vil blive stjålet, hvor mange dage er en acceptabel tid at fortsætte med at tillade tyven at bruge den stjålne adgangskode? Windows standard er 42 dage. Ser det ikke ud til at være latterligt lang tid? Nå, det er det, og alligevel siger vores nuværende baseline 60 dage – og plejede at sige 90 dage – fordi at tvinge hyppige udløb introducerer sine egne problemer.” læser Microsofts blog.
Husk, at dette kun er generelle råd. Hvis du sikrer dig en app, der er afgørende for din virksomhed og attraktiv for angribere, kan du stadig tvinge dine medarbejdere til at skifte adgangskoder med jævne mellemrum.
Ditch hints og vidensbaseret godkendelse
Adgangskodetips og videnbaserede verifikationsspørgsmål er også forældede. Selvom disse faktisk kan hjælpe brugere med at søge efter glemte adgangskoder, kan de også være af stor værdi for angribere. Vores kollega Jake Moore har ved flere lejligheder vist, hvordan hackere kan misbruge siden "glemt adgangskode" for at bryde ind på andres konti, f.eks. PayPal , Instagram.
For eksempel kan et spørgsmål som "dit første kæledyrs navn" let gættes med en lille smule research eller social engineering, og der er egentlig ikke et uendeligt antal muligheder, som et automatiseret værktøj skal igennem.
Sortliste almindelige adgangskoder
I stedet for at stole på tidligere anvendte sammensætningsregler, skal du kontrollere nye adgangskoder mod en "sortliste" over mest almindeligt anvendte og/eller tidligere kompromitterede adgangskoder og vurdere matchningsforsøg som uacceptabelt.
I 2019, blev Microsoft scannede dets brugeres konti, der sammenligner brugernavne og adgangskoder med en database med mere end tre milliarder sæt lækkede legitimationsoplysninger. Den fandt 44 millioner brugere med kompromitterede adgangskoder og tvang en nulstilling af adgangskoden.
Give support til adgangskodeadministratorer og værktøjer
Sørg for, at "kopier og indsæt"-funktionalitet, browseradgangskodeværktøjer og eksterne adgangskodeadministratorer har tilladelse til at håndtere besværet med at oprette og opbevare brugeres adgangskoder.
Brugere bør også vælge enten midlertidigt at se hele den maskerede adgangskode eller det sidst indtastede tegn i adgangskoden. I henhold til OWASP-retningslinjerne, er ideen at forbedre brugervenligheden af legitimationsindtastning, især omkring brugen af længere adgangskoder, adgangssætninger og adgangskodeadministratorer.
Indstil en kort holdbarhed for indledende adgangskoder
Når din nye medarbejder opretter en konto, bør den systemgenererede indledende adgangskode eller aktiveringskode være sikkert tilfældigt genereret, mindst seks tegn lang og kan indeholde bogstaver og tal.
Sørg for, at den udløber efter en kort periode og ikke kan blive den sande og langsigtede adgangskode.
Giv brugerne besked om ændringer af adgangskode
Når brugere ændrer deres adgangskoder, skal de først blive bedt om at indtaste deres gamle adgangskode og ideelt set aktivere tofaktorautentificering (2FA). Når det er gjort, bør de modtage en meddelelse.
Vær forsigtig med din adgangskodegendannelsesproces
Ikke alene bør gendannelsesprocessen ikke afsløre den aktuelle adgangskode, men det samme gælder også oplysninger om, hvorvidt kontoen faktisk eksisterer eller ej. Med andre ord, giv ikke angribere nogen (unødvendig) information!
Brug CAPTCHA og andre anti-automatiseringskontroller
Brug anti-automatiseringskontroller til at afbøde overtrådt legitimationstest, brute force og kontolåseangreb. Sådanne kontroller omfatter blokering af de mest almindelige brudte adgangskoder, bløde lockouts, hastighedsbegrænsning, CAPTCHA, stadigt stigende forsinkelser mellem forsøg, IP-adressebegrænsninger eller risikobaserede begrænsninger såsom placering, første login på en enhed, nylige forsøg på at låse kontoen op , eller lignende.
Ifølge de nuværende OWASP-standarder bør der højst være 100 mislykkede forsøg i timen på en enkelt konto.
Stol ikke på kun på adgangskoder
Uanset hvor stærk og unik en adgangskode er, forbliver den en enkelt barriere, der adskiller en angriber og dine værdifulde data. Når man sigter efter sikre konti, bør et ekstra autentificeringslag betragtes som et absolut must.
Det er derfor, du bør bruge to-faktor (2FA) eller multi-faktor autentificering (MFA), når det er muligt.
Ikke alle 2FA-muligheder er født lige. SMS-beskeder er, selvom de er langt bedre end ingen 2FA overhovedet, modtagelige for adskillige trusler. Mere sikre alternativer involverer brug af dedikerede hardwareenheder og softwarebaserede one-time password (OTP) generatorer, såsom sikre apps installeret på mobile enheder.
Bemærk: Denne artikel er en opdateret og udvidet version af denne artikel, vi udgav i 2017: Ikke flere meningsløse adgangskodekrav
Tjek måske ud ESETs adgangskodegenerator?
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoAiStream. Web3 Data Intelligence. Viden forstærket. Adgang her.
- Udmøntning af fremtiden med Adryenn Ashley. Adgang her.
- Køb og sælg aktier i PRE-IPO-virksomheder med PREIPO®. Adgang her.
- Kilde: https://www.welivesecurity.com/2023/05/04/creating-strong-user-friendly-passwords-tips-business-password-policy/
- :har
- :er
- :ikke
- $OP
- 1
- 100
- 12
- 20
- 20 år
- 2017
- 2019
- 2023
- 2FA
- 50
- 7
- 9
- a
- Om
- absolutte
- misbrug
- acceptabel
- Ifølge
- Konto
- Konti
- anerkende
- tværs
- Lov
- Aktivering
- faktisk
- Yderligere
- adresse
- indrømmede
- rådgivning
- Efter
- mod
- Ages
- siden
- sigter
- Alle
- tillade
- også
- alternativ
- alternativer
- Skønt
- helt
- an
- ,
- annoncerede
- enhver
- app
- Anvendelse
- applikationssikkerhed
- tilgang
- apps
- april
- ER
- omkring
- artikel
- AS
- At
- Angreb
- Forsøg på
- attraktivt
- Godkendelse
- Automatiseret
- gennemsnit
- barriere
- Baseline
- BE
- fordi
- bliver
- været
- være
- Bedre
- mellem
- Bill
- Billion
- Bit
- blokering
- Blog
- født
- både
- brud
- Pause
- browser
- brute force
- virksomhed
- men
- by
- CAN
- kan ikke
- forsigtig
- tilfælde
- tilfælde
- lave om
- Ændringer
- karakter
- tegn
- kontrollere
- Vælg
- kode
- kollega
- kombinerer
- Kom
- Fælles
- almindeligt
- sammenligne
- komplekse
- kompromis
- Kompromitteret
- computere
- betragtes
- konstant
- indeholder
- indeholder
- fortsæt
- modsætning
- kontrol
- konventionelle
- Kursus
- sprække
- Oprettelse af
- KREDENTIAL
- Legitimationsoplysninger
- afgørende
- Nuværende
- data
- Database
- Dato
- Dage
- dedikeret
- Standard
- forsinkelser
- enhed
- Enheder
- Die
- forskellige
- svært
- Skærm
- do
- Er ikke
- færdig
- Dont
- ned
- Dropper
- e
- nemt
- let
- indsats
- enten
- Medarbejder
- medarbejdere
- muliggøre
- tilskynde
- tilskynde
- Endless
- ingeniør
- Engineering
- Indtast
- Hele
- indrejse
- lige
- især
- indfører
- evaluere
- Endog
- stadigt stigende
- alle
- bevismateriale
- eksempel
- eksisterer
- eksperter
- udløb
- ekstern
- faktor
- mislykkedes
- berømt
- langt
- få
- Fornavn
- Til
- Tving
- fundet
- Gratis
- hyppig
- fra
- funktion
- funktionalitet
- Generelt
- genereret
- generatorer
- få
- given
- Go
- godt
- stor
- Dyrkning
- gættet
- vejledning
- retningslinjer
- hackere
- Halvdelen
- håndtere
- Hård Ost
- Hardware
- hardwareenheder
- skade
- hashing
- Have
- have
- he
- hoved
- hjælpe
- Skjult
- hints
- hans
- Hive
- time
- Hvordan
- Men
- HTML
- HTTPS
- Mennesker
- idé
- if
- imponerende
- Forbedre
- in
- I andre
- omfatter
- Herunder
- stigende
- oplysninger
- initial
- installeret
- i stedet
- Institut
- ind
- indføre
- Introducerer
- involvere
- IP
- IP-adresse
- IT
- ITS
- selv
- jpg
- lige
- Nøgle
- nøglefaktor
- Efternavn
- senere
- lag
- føre
- førende
- mindst
- Længde
- Livet
- ligesom
- Sandsynlig
- linjer
- lidt
- placering
- lockout
- Logge på
- Lang
- lang tid
- langsigtet
- længere
- lavere
- maerker
- Ledere
- mange
- matchende
- Matter
- max-bredde
- maksimal
- Kan..
- MD5
- beskeder
- MFA
- microsoft
- måske
- million
- tankerne
- minimum
- minutter
- afbøde
- Mobil
- mobilenheder
- mere
- mest
- meget
- flere
- skal
- national
- Natural
- Ny
- NIST
- ingen
- underretning
- nu
- nummer
- numre
- talrige
- forældede
- lejligheder
- of
- offline
- Gammel
- on
- engang
- ONE
- online
- kun
- åbent
- Option
- Indstillinger
- or
- ordrer
- organisationer
- Andet
- vores
- ud
- egen
- side
- del
- især
- Adgangskode
- Nulstil kodeord
- Nulstilling/ændring af adgangskoder
- forbi
- Tålmodighed
- Mennesker
- folks
- periode
- person,
- personale
- pick
- plato
- Platon Data Intelligence
- PlatoData
- plus
- politikker
- politik
- muligheder
- mulig
- tidligere
- problemer
- behandle
- projekt
- beskytte
- give
- offentliggjort
- sætte
- spørgsmål
- Adspurgt
- Spørgsmål
- tilfældigt genereret
- hurtige
- Sats
- rationale
- nå
- klar
- virkelig
- grund
- modtage
- nylige
- anbefaler
- opsving
- fast
- regelmæssigt
- stole
- resterne
- huske
- påkrævet
- forskning
- respondenter
- restriktioner
- resultere
- genbruge
- afsløre
- regler
- Kør
- s
- samme
- siger
- siger
- Søg
- sikker
- Sikret
- sikkert
- fastgørelse
- sikkerhed
- synes
- dømme
- adskille
- sæt
- sæt
- flere
- Hylde
- Kort
- bør
- vist
- Skilte
- lignende
- Simpelt
- enkelt
- SIX
- lille
- SMS
- So
- Social
- Samfundsteknologi
- Soft
- nogle
- rum
- særligt
- stå
- standard
- standarder
- Stadig
- stjålet
- gade
- styrke
- stærk
- stærkere
- undersøgelser
- Succesfuld
- sådan
- Super
- support
- modtagelig
- Tag
- tager
- tech
- tech-giganter
- Teknologier
- Test
- end
- at
- deres
- Them
- selv
- derefter
- Der.
- Disse
- de
- ting
- tror
- denne
- trusler
- tre
- Gennem
- tid
- tips
- til
- i dag
- værktøj
- værktøjer
- mod
- traditionelle
- uddannet
- sand
- vender
- typisk
- os
- enestående
- låse
- unødigt
- uholdbar
- opdateret
- usability
- brug
- anvendte
- Bruger
- brugervenlig
- brugere
- ved brug af
- Værdifuld
- værdi
- række
- forskellige
- verificere
- udgave
- Specifikation
- Væglampe
- Wall Street
- var
- måder
- we
- web
- Webapplikation
- GODT
- Hvad
- hvornår
- når
- hvorvidt
- som
- mens
- Hele
- hvorfor
- bred
- bredde
- vilje
- vinduer
- visdom
- med
- ord
- Verdens
- ville
- WSJ
- år
- endnu
- Du
- Din
- youtube
- zephyrnet