Ärge piinake inimesi ülimalt keeruliste paroolide koostamise reeglitega, vaid lisage sageli kasutatavad paroolid musta nimekirja ja muud viisid, kuidas aidata inimestel ennast – ja kogu oma organisatsiooni aidata.
Kui USA riikliku standardi- ja tehnoloogiainstituudi (NIST) insener Bill Burr kirjutas 2003. aastal, millest saab peagi maailma parooli turvalisuse kuldstandard, soovitas ta inimestel ja organisatsioonidel oma kontosid kaitsta, leiutades pikki ja kaootilisi tähe-, numbri- ja märkide ridu ning neid regulaarselt muuta.
Neliteist aastat hiljem tunnistas Burr, et kahetses oma varasemat nõuannet. "See ajab inimesi lihtsalt banaani ja nad ei vali häid paroole, hoolimata sellest, mida teete," ta ütles Wall Street Journalile.
Või nagu kuulus xkcd koomiks on selle pannud: "20-aastase pingutuse käigus oleme kõiki edukalt koolitanud kasutama paroole, mida inimestel on raske meeles pidada, kuid arvutitel on lihtne ära arvata."
Tänapäeval keskmine inimene on kuni 100 parooli, mida meeles pidada, mille arv on viimastel aastatel kiiresti kasvanud (kuigi tegelikult on mõned inimesed kasutatud umbes 50 parooli, sealhulgas mitmed võrguühenduseta koodid, isegi aastaid tagasi ja mõned turvaeksperdid on juhtinud tähelepanu sellele, et sellised parooliharjumused ja -poliitikad ei ole jätkusuutlikud.)
Tõepoolest, uuringud on leidnud, et inimesed tavaliselt mäletavad vaid kuni viis parooli ja kasutage luues otseteid kergesti äraarvatavad paroolid ja siis neid erinevatel veebikontodel taaskasutada. Mõned võivad tegelikult tähti asendada numbreid ja erimärke (nt "parool" muutub "P4??WØrdiks"), kuid see muudab parooli, mida on lihtne lahti murda.
Viimastel aastatel on juhtivad organisatsioonid, nagu The Open Web Application Security Project (OWASP) ja loomulikult NIST ise. muutsid oma poliitikat ja nõuandeid kasutajasõbralikuma lähenemisviisi suunas – suurendades samal ajal paroolide turvalisust.
Samas tehnoloogiahiiglased nagu Microsoft ja Google julgustavad kõiki paroolidest täielikult loobuma ja paroolita minema selle asemel. Kui aga teie väike või keskmise suurusega ettevõte pole veel valmis paroolidest lahku minema, on siin mõned juhised, mis aitavad teil ja teie töötajatel 2023. aastal kasu saada.
Lõpetage tarbetult keerukate paroolide koostamise reeglite kehtestamine
Mis tahes ülimalt keerulised kompositsioonireeglid (nt nõudmine, et kasutajad lisaksid nii suur- kui ka väiketähti, vähemalt üks number ja erimärk) ei ole enam kohustuslikud. Selle põhjuseks on asjaolu, et sellised reeglid julgustavad kasutajaid harva tugevamaid paroole määrama, ajendades neid selle asemel ettearvatavalt tegutsema ja välja mõtlema paroolid, mis on "topelt nässulised" – need on nii nõrgad kui ka raskesti meeldejäävad.
Lülituge paroolidele
Lühemate, kuid keerulisemate paroolide asemel minge paroolide juurde. Need on pikemad ja keerukamad, kuid neid on siiski lihtne meeles pidada. Näiteks võib see olla terve lause, mis on mingil põhjusel pähe jäänud ning millele on puistatud suurtähed, erimärgid ja emotikonid. Kuigi see pole ülikeeruline, kulub automaatsete tööriistade lahtimurdmiseks siiski aastaid.
Mõni aasta tagasi oli hea parooli minimaalne pikkus kaheksa tähemärki, mis koosnesid väikestest ja suurtähtedest, märkidest ja numbritest. Tänapäeval suudavad automaatsed paroolimurdmise tööriistad sellise parooli ära arvata minutitega, eriti kui see on kaitstud MD5 räsifunktsiooniga.
See on vastavalt Hive Systemsi testid ja avaldati 2023. aasta aprillis. Vastupidi, lihtsa parooli, mis sisaldab ainult väike- ja suurtähti, kuid on 18 tähemärki pikk, lahtimurdmine võtab palju-palju kauem aega.
Eesmärk on vähemalt 12 tähemärki – mida rohkem, seda parem!
NIST-i juhised tunnistavad pikkust parooli tugevuse võtmeteguriks ja kehtestavad minimaalse nõutava pikkuse 12 tähemärki, mis ulatub pärast mitme tühiku kombineerimist kuni 64 tähemärgini. Kui kõik asjad on võrdsed, seda rohkem, seda uhkem.
Lubage erinevaid märke
Paroolide määramisel peaksid kasutajad saama vabalt valida kõigi prinditavate ASCII- ja UNICODE-märkide, sealhulgas emotikonide hulgast. Neil peaks olema ka võimalus kasutada tühikuid, mis on paroolide loomulik osa – sageli soovitatav alternatiiv traditsioonilistele paroolidele.
Piirake parooli taaskasutamist
Praeguseks on see tavapärane tarkus inimesed ei tohiks oma paroole uuesti kasutada erinevate veebikontode vahel, sest ühe konto rikkumine võib kergesti viia teiste kontode ohustamiseni.
Paljud harjumused surevad aga raskelt ja umbes pooled vastanutest 2019. aasta Ponemoni Instituudi uuringus tunnistas, et kasutab oma äri- ja/või isiklikel kontodel keskmiselt viit parooli.
Ärge määrake paroolidele "kõlblik kuni" kuupäeva
NIST soovitab ka mitte nõuda regulaarset parooli muutmist, välja arvatud juhul, kui kasutaja seda nõuab või kui pole tõendeid kompromissi kohta. Põhjus on selles, et kasutajatel on ainult nii palju kannatlikkust, et nad peavad pidevalt mõtlema uutele mõistlikult tugevatele paroolidele. Seetõttu võib nende regulaarsete ajavahemike järel tegema panemine teha rohkem kahju kui kasu.
Kui Microsoft teatas kolm aastat tagasi parooli aegumise poliitikast loobumisest, seadis ta kahtluse alla kogu parooli aegumise idee.
"Kui on ette nähtud, et parool varastatakse tõenäoliselt, siis mitu päeva on vastuvõetav aeg, et vargal saaks varastatud parooli kasutada? Windowsi vaikeseade on 42 päeva. Kas see ei tundu naeruväärselt pikk aeg? Noh, jah, ja ometi ütleb meie praegune lähtetase 60 päeva – ja vanasti 90 päeva –, sest sagedase aegumise sundimine toob kaasa omad probleemid. loeb Microsofti ajaveebi.
Pidage meeles, et see on vaid üldine nõuanne. Kui kaitsete rakendust, mis on teie ettevõtte jaoks ülioluline ja ründajate jaoks atraktiivne, saate siiski sundida oma töötajaid perioodiliselt paroole muutma.
Jäta vihjed ja teadmistepõhine autentimine
Ka paroolivihjed ja teadmistepõhised kontrolliküsimused on vananenud. Kuigi need võivad tegelikult aidata kasutajatel unustatud paroole otsida, võivad need olla ka ründajate jaoks väga kasulikud. Meie kolleeg Jake Moore on mitmel korral näidanud, kuidas häkkerid võivad kuritarvitada lehte “unustatud parool”, et tungida sisse teiste inimeste kontodele, näiteks PayPal ja Instagramis.
Näiteks sellise küsimuse nagu "teie esimese lemmiklooma nimi" saab vähese uurimistöö või sotsiaalse inseneriga hõlpsasti ära arvata ja tegelikult pole automatiseeritud tööriistal lõputult palju võimalusi.
Levinud paroolide musta nimekirja
Selle asemel, et tugineda varem kasutatud kompositsioonireeglitele, kontrollige uusi paroole nende mustast nimekirjast kõige sagedamini kasutatav ja/või varem ohustatud paroolid ning hindama sobitamiskatseid vastuvõetamatuks.
Aastal 2019, Microsoft skannib selle kasutajate kontod võrdlevad kasutajanimesid ja paroole enam kui kolme miljardi lekkinud mandaadikomplekti andmebaasiga. See leidis 44 miljonit kasutajat ohustatud paroolidega ja sundis parooli lähtestama.
Pakkuge tuge paroolihalduritele ja tööriistadele
Veenduge, et "kopeerimise ja kleepimise" funktsioon, brauseri paroolitööriistad ja välised paroolihaldurid saavad hakkama kasutajate paroolide loomise ja säilitamise probleemidega.
Samuti peaksid kasutajad valima, kas ajutiselt vaadata kogu maskeeritud parooli või parooli viimati sisestatud tähemärki. Vastavalt OWASP juhistele, idee on parandada mandaatide sisestamise kasutatavust, eriti pikemate paroolide, paroolide ja paroolihaldurite kasutamisel.
Määrake esialgsetele paroolidele lühike säilivusaeg
Kui teie uus töötaja loob konto, tuleb süsteemi loodud esialgne parool või aktiveerimiskood turvaliselt juhuslikult genereerida, vähemalt kuue tähemärgi pikkune ning see võib sisaldada tähti ja numbreid.
Veenduge, et see aeguks lühikese aja pärast ega saaks muutuda tõeliseks ja pikaajaliseks parooliks.
Teavitage kasutajaid paroolimuudatustest
Kui kasutajad muudavad oma paroole, tuleks neil paluda esmalt sisestada oma vana parool ja ideaalis lubada kahefaktoriline autentimine (2FA). Kui see on tehtud, peaksid nad saama teatise.
Olge oma parooli taastamise protsessiga ettevaatlik
Taasteprotsess ei tohiks mitte ainult praegust parooli avaldada, vaid sama kehtib ka teabe kohta, kas konto on tegelikult olemas või mitte. Teisisõnu, ärge andke ründajatele (ebavajalikku) teavet!
Kasutage CAPTCHA-d ja muid automatiseerimisvastaseid juhtelemente
Kasutage automatiseerimisvastaseid juhtelemente, et leevendada rikutud mandaadi testimist, jõhkrat jõudu ja konto lukustamise rünnakuid. Sellised juhtelemendid hõlmavad kõige levinumate rikutud paroolide blokeerimist, pehmeid lukustusi, kiiruse piiramist, CAPTCHA-d, järjest suurenevaid viivitusi katsete vahel, IP-aadressi piiranguid või riskipõhiseid piiranguid, nagu asukoht, seadmesse esmakordne sisselogimine, hiljutised katsed konto avada. , või sarnane.
Praeguste OWASP-standardite kohaselt peaks ühel kontol olema kuni 100 ebaõnnestunud katset tunnis.
Ära looda ainult paroolide kohta
Sõltumata sellest, kui tugev ja ainulaadne parool on, jääb see ründajat ja teie väärtuslikke andmeid eraldavaks tõkkeks. Turvaliste kontode poole püüdlemisel tuleks kindlasti kaaluda täiendavat autentimiskihti.
Seetõttu peaksite võimalusel kasutama kahefaktorilist (2FA) või mitmefaktorilist autentimist (MFA).
Kuid mitte kõik 2FA valikud pole võrdsed. Kuigi SMS-sõnumid on palju paremad kui 2FA puudumine, on need vastuvõtlikud paljudele ohtudele. Turvalisemad alternatiivid hõlmavad spetsiaalsete riistvaraseadmete ja tarkvarapõhiste ühekordsete paroolide generaatorite (OTP) kasutamist, näiteks mobiilseadmetesse installitud turvalisi rakendusi.
Märkus. See artikkel on 2017. aastal avaldatud artikli uuendatud ja laiendatud versioon: Enam pole mõttetuid paroolinõudeid
Ehk vaata üle ESET-i parooligeneraator?
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoAiStream. Web3 andmete luure. Täiustatud teadmised. Juurdepääs siia.
- Tuleviku rahapaja Adryenn Ashley. Juurdepääs siia.
- Ostke ja müüge IPO-eelsete ettevõtete aktsiaid koos PREIPO®-ga. Juurdepääs siia.
- Allikas: https://www.welivesecurity.com/2023/05/04/creating-strong-user-friendly-passwords-tips-business-password-policy/
- :on
- :on
- :mitte
- $ UP
- 1
- 100
- 12
- 20
- 20 aastat
- 2017
- 2019
- 2023
- 2FA
- 50
- 7
- 9
- a
- MEIST
- absoluutne
- kuritarvitamise
- vastuvõetav
- Vastavalt
- konto
- Kontod
- kinnitada
- üle
- tegu
- Aktiveerimine
- tegelikult
- Täiendavad lisad
- aadress
- tunnistas
- nõuanne
- pärast
- vastu
- Ages
- tagasi
- Eesmärk
- Materjal: BPA ja flataatide vaba plastik
- võimaldama
- Ka
- alternatiiv
- alternatiive
- Kuigi
- kokku
- an
- ja
- teatas
- mistahes
- app
- taotlus
- rakenduse turvalisus
- lähenemine
- apps
- Aprill
- OLEME
- ümber
- artikkel
- AS
- At
- Reageerib
- Katsed
- ahvatlev
- Autentimine
- Automatiseeritud
- keskmine
- tõke
- Baseline
- BE
- sest
- muutuma
- olnud
- on
- Parem
- vahel
- arve
- Miljard
- Natuke
- blokeerimine
- Blogi
- sündinud
- mõlemad
- rikkumine
- Murdma
- brauseri
- toores jõud
- äri
- kuid
- by
- CAN
- ei saa
- ettevaatlik
- juhul
- juhtudel
- muutma
- Vaidluste lahendamine
- iseloom
- märki
- kontrollima
- Vali
- kood
- kolleeg
- kombineerimine
- Tulema
- ühine
- tavaliselt
- võrrelda
- keeruline
- kompromiss
- Kompromissitud
- arvutid
- kaaluda
- pidevalt
- sisaldama
- sisaldab
- jätkama
- vastupidi
- kontrolli
- tavaline
- Kursus
- pragu
- loomine
- MANDAAT
- volikiri
- otsustav
- Praegune
- andmed
- andmebaas
- kuupäev
- Päeva
- pühendunud
- vaikimisi
- viivitusi
- seade
- seadmed
- Surema
- erinev
- raske
- Ekraan
- do
- Ei tee
- tehtud
- Ära
- alla
- Kukkumine
- e
- kergesti
- lihtne
- jõupingutusi
- kumbki
- Töötaja
- töötajad
- võimaldama
- julgustama
- julgustav
- Lõputu
- insener
- Inseneriteadus
- sisene
- Kogu
- kanne
- võrdne
- eriti
- kehtestab
- hindama
- Isegi
- aina suurenev
- igaüks
- tõend
- näide
- olemas
- ekspertide
- aegumine
- väline
- faktor
- Ebaõnnestunud
- kuulus
- kaugele
- vähe
- esimene
- eest
- Sundida
- avastatud
- tasuta
- sage
- Alates
- funktsioon
- funktsionaalsus
- Üldine
- loodud
- generaatorid
- saamine
- antud
- Go
- hea
- suur
- Kasvavad
- arvas ära
- juhised
- suunised
- häkkerid
- Pool
- käepide
- Raske
- riistvara
- riistvaraseadmed
- kahju
- räsimine
- Olema
- võttes
- he
- juhataja
- aitama
- varjatud
- vihjed
- tema
- Mesilaspere
- tund
- Kuidas
- aga
- HTML
- HTTPS
- Inimestel
- idee
- if
- kehtestav
- parandama
- in
- Teistes
- sisaldama
- Kaasa arvatud
- kasvav
- info
- esialgne
- paigaldatud
- selle asemel
- Instituut
- sisse
- kehtestama
- Tutvustab
- kaasama
- IP
- IP-aadress
- IT
- ITS
- ise
- jpg
- lihtsalt
- Võti
- võtmetegur
- viimane
- pärast
- kiht
- viima
- juhtivate
- kõige vähem
- Pikkus
- elu
- nagu
- Tõenäoliselt
- liinid
- vähe
- liising
- töösulg
- Logi sisse
- Pikk
- kaua aega
- pikaajaline
- enam
- vähendada
- TEEB
- Juhid
- palju
- sobitamine
- küsimus
- max laiuse
- maksimaalne
- mai..
- MD5
- kirjad
- MFA
- Microsoft
- võib
- miljon
- meeles
- miinimum
- protokoll
- Leevendada
- mobiilne
- mobiilseadmete
- rohkem
- kõige
- palju
- mitmekordne
- peab
- riiklik
- Natural
- Uus
- nst
- ei
- teade
- nüüd
- number
- numbrid
- arvukad
- vananenud
- korda
- of
- offline
- Vana
- on
- kunagi
- ONE
- Internetis
- ainult
- avatud
- valik
- Valikud
- or
- et
- organisatsioonid
- Muu
- meie
- välja
- enda
- lehekülg
- osa
- eriti
- Parool
- parooli lähtestamine
- paroolid
- minevik
- Kannatlikkus
- Inimesed
- inimeste
- periood
- inimene
- isiklik
- valima
- Platon
- Platoni andmete intelligentsus
- PlatoData
- pluss
- Poliitika
- poliitika
- võimalused
- võimalik
- varem
- probleeme
- protsess
- projekt
- kaitsma
- anda
- avaldatud
- panema
- küsimus
- Küsimus
- Küsimused
- juhuslikult genereeritud
- kiire
- määr
- põhjendus
- jõuda
- valmis
- tõesti
- põhjus
- saama
- hiljuti
- soovitab
- taastumine
- regulaarne
- regulaarselt
- lootma
- jäänused
- meeles pidama
- nõutav
- teadustöö
- vastanutest
- piirangud
- kaasa
- taaskasutada
- avalduma
- eeskirjade
- jooks
- s
- sama
- ütlema
- ütleb
- Otsing
- kindlustama
- tagatud
- kindlalt
- kindlustada
- turvalisus
- tundub
- Lause
- eraldamine
- komplekt
- Komplektid
- mitu
- riiul
- Lühike
- peaks
- näidatud
- Märgid
- sarnane
- lihtne
- ühekordne
- SIX
- väike
- SMS
- So
- sotsiaalmeedia
- Sotsiaaltehnoloogia
- Pehme
- mõned
- tühikud
- eriline
- seisma
- standard
- standardite
- Veel
- varastatud
- tänav
- tugevus
- tugev
- tugevam
- uuringud
- Edukalt
- selline
- super
- toetama
- vastuvõtlik
- Võtma
- võtab
- tech
- tehnikahiiglased
- Tehnoloogia
- Testimine
- kui
- et
- .
- oma
- Neile
- ennast
- SIIS
- Seal.
- Need
- nad
- asjad
- mõtlema
- see
- ähvardused
- kolm
- Läbi
- aeg
- nõuanded
- et
- täna
- tööriist
- töövahendid
- suunas
- traditsiooniline
- koolitatud
- tõsi
- lülitub
- tüüpiliselt
- meie
- ainulaadne
- avamine
- asjatult
- jätkusuutmatu
- ajakohastatud
- kasutatavus
- kasutama
- Kasutatud
- Kasutaja
- kasutajasõbralik
- Kasutajad
- kasutamine
- väärtuslik
- väärtus
- sort
- eri
- kontrollimine
- versioon
- vaade
- Sein
- Wall Street
- oli
- kuidas
- we
- web
- Veebirakendus
- Hästi
- M
- millal
- millal iganes
- kas
- mis
- kuigi
- kogu
- miks
- lai
- laius
- will
- aknad
- tarkus
- koos
- sõnad
- maailma
- oleks
- WSJ
- aastat
- veel
- sa
- Sinu
- youtube
- sephyrnet