Älä kiduta ihmisiä äärimmäisen monimutkaisilla salasanan muodostussäännöillä, vaan laita mustalle listalle yleisesti käytetyt salasanat sekä muita tapoja auttaa ihmisiä auttamaan itseään – ja koko organisaatiotasi.
Kun insinööri Bill Burr Yhdysvaltain kansallisesta standardointi- ja teknologiainstituutista (NIST) kirjoitti vuonna 2003, mistä tulee pian maailman salasanasuojauksen kultainen standardi, hän neuvoi ihmisiä ja organisaatioita suojelemaan tiliään keksimällä pitkiä ja "kaaoottisia" merkkirivejä, numeroita ja merkkejä – ja vaihtamaan niitä säännöllisesti.
Neljätoista vuotta myöhemmin Burr myönsi katuneensa aiempia neuvojaan. "Se vain ajaa ihmisiä banaaneihin, eivätkä he valitse hyviä salasanoja riippumatta siitä, mitä teet", hän kertoi Wall Street Journalille.
Tai kuten kuuluisa xkcd comic on laittanut sen: "20 vuoden ajan olemme onnistuneesti kouluttaneet kaikki käyttämään salasanoja, joita ihmisten on vaikea muistaa, mutta tietokoneiden on helppo arvata."
Nykyään tavallinen ihminen on jopa 100 salasanaa muistettavana, joiden määrä on kasvanut nopeasti viime vuosina (vaikkakin jotkut ihmiset käytti noin 50 salasanaa, mukaan lukien useita offline-koodeja, jopa vuosia sitten, ja jotkut tietoturvaasiantuntijat ovat huomauttaneet, että tällaiset salasanatavat ja -käytännöt ovat kestämättömiä.)
Itse asiassa tutkimukset ovat osoittaneet, että ihmiset yleensä muistavat vain viisi salasanaa ja käytä pikakuvakkeita luomalla helposti arvattavia salasanoja ja sitten kierrättää niitä eri verkkotileillä. Jotkut saattavat itse asiassa korvata kirjaimia numeroilla ja erikoismerkeillä (esim. "salasana" muuttuu "P4??WØrdiksi"), mutta tämä tekee silti salasanan, joka on helppo murtaa.
Viime vuosina johtavat organisaatiot, kuten The Open Web Application Security Project (OWASP) ja tietysti itse NIST muuttivat politiikkaansa ja neuvojaan kohti käyttäjäystävällisempää lähestymistapaa – samalla kun parannetaan salasanasuojausta.
Samaan aikaan teknologiajätit, kuten Microsoft ja Google kannustavat kaikkia luopumaan salasanoista kokonaan ja mennä ilman salasanaa sen sijaan. Jos pieni tai keskisuuri yrityksesi ei kuitenkaan ole vielä valmis eroamaan salasanojen kanssa, tässä on joitakin ohjeita, jotka auttavat sinua ja työntekijöitäsi vuonna 2023.
Lopeta tarpeettoman monimutkaisten salasanan muodostussääntöjen asettaminen
Mikään erittäin monimutkainen kokoonpanosäännöt (kuten käyttäjien vaatiminen sekä isojen että pienten kirjainten, vähintään yhden numeron ja erikoismerkin sisällyttämiseen) eivät ole enää pakollisia. Tämä johtuu siitä, että tällaiset säännöt harvoin rohkaisevat käyttäjiä asettamaan vahvempia salasanoja, mikä saa heidät toimimaan ennakoitavasti ja keksimään salasanoja, jotka ovat "kaksinkertaisia" – ne ovat sekä heikkoja että vaikeasti muistettavia.
Vaihda tunnuslauseisiin
Lyhyempien mutta vaikeiden salasanojen sijaan etsi salalauseita. Ne ovat pidempiä ja monimutkaisempia, mutta silti helppo muistaa. Se voi olla esimerkiksi kokonainen lause, joka on jostain syystä juuttunut päähäsi isojen kirjainten, erikoismerkkien ja hymiöiden ripottelemana. Vaikka se ei ole kovin monimutkainen, kestää silti vuosia, ennen kuin automaattiset työkalut murtavat sen.
Muutama vuosi sitten hyvän salasanan vähimmäispituus oli kahdeksan merkkiä, jotka koostuivat pienistä ja isoista kirjaimista, merkeistä ja numeroista. Nykyään automatisoidut salasanan murtotyökalut voivat arvata tällaisen salasanan muutamassa minuutissa, varsinkin jos se on suojattu MD5-hajautustoiminnolla.
Tämä on Hive Systemsin suorittamat testit ja julkaistiin huhtikuussa 2023. Päinvastoin, yksinkertainen salasana, joka sisältää vain pieniä ja isoja kirjaimia, mutta on 18 merkkiä pitkä, kestää paljon, paljon kauemmin murtaa.
Pyri vähintään 12 merkin pituuteen – mitä enemmän, sen parempi!
NIST-ohjeissa tunnustetaan pituus salasanan vahvuuden avaintekijäksi ja otetaan käyttöön vaadittu 12 merkin vähimmäispituus, joka on enintään 64 merkkiä useiden välilyöntien yhdistämisen jälkeen. Kun kaikki asiat ovat tasa-arvoisia, mitä enemmän, sen hauskempaa.
Ota käyttöön erilaisia merkkejä
Kun käyttäjät määrittävät salasanansa, heidän pitäisi voida valita vapaasti kaikista tulostettavista ASCII- ja UNICODE-merkeistä, mukaan lukien emojit. Heillä tulisi myös olla mahdollisuus käyttää välilyöntejä, jotka ovat luonnollinen osa tunnuslauseita – usein suositeltu vaihtoehto perinteisille salasanoille.
Rajoita salasanan uudelleenkäyttöä
Se on jo tavanomaista viisautta ihmisten ei pitäisi käyttää salasanojaan uudelleen eri verkkotileillä, koska yhden tilin rikkominen voi helposti johtaa muiden tilien vaarantumiseen.
Monet tavat kuitenkin kuolevat, ja noin puolet vastaajista 2019 Ponemon Institute -tutkimuksessa myönsi käyttäneensä uudelleen keskimäärin viittä salasanaa yritys- ja/tai henkilötileissään.
Älä aseta salasanoille viimeistä käyttöpäivää
NIST suosittelee myös välttämään säännöllisten salasanan vaihtamista, ellei käyttäjä sitä pyydä tai ellei ole todisteita kompromisseista. Syynä on, että käyttäjillä on vain niin paljon kärsivällisyyttä, että heidän on jatkuvasti mietittävä uusia kohtuullisen vahvoja salasanoja. Seurauksena on, että heidän saattaminen tekemään niin säännöllisin väliajoin voi aiheuttaa enemmän haittaa kuin hyötyä.
Kun Microsoft ilmoitti luopuvansa salasanan vanhenemiskäytännöistä kolme vuotta sitten, se kyseenalaisti koko ajatuksen salasanan vanhenemisesta.
"Jos on tiedossa, että salasana todennäköisesti varastetaan, kuinka monta päivää on hyväksyttävä aika jatkaa varastetun salasanan käyttöä? Windowsin oletusarvo on 42 päivää. Eikö se tunnu naurettavan pitkältä ajalta? No, se on, ja silti nykyinen lähtötasomme sanoo 60 päivää – ja ennen oli sanottu 90 päivää – koska toistuvan vanhenemisen pakottaminen tuo omat ongelmansa, lukee Microsoftin blogia.
Muista, että tämä on vain yleinen neuvo. Jos suojaat sovelluksesi, joka on tärkeä yrityksellesi ja houkutteleva hyökkääjille, voit silti pakottaa työntekijäsi vaihtamaan salasanoja ajoittain.
Hylkää vihjeet ja tietoon perustuva todennus
Salasanavihjeet ja tietoon perustuvat varmistuskysymykset ovat myös vanhentuneita. Vaikka nämä voivat itse asiassa auttaa käyttäjiä etsimään unohdettuja salasanoja, ne voivat myös olla hyödyllisiä hyökkääjille. Kollegamme Jake Moore on näyttänyt useaan otteeseen, kuinka hakkerit voivat väärinkäyttää "unohtunut salasana" -sivua murtautuakseen toisten ihmisten tileille, esim. PayPal ja Instagram.
Esimerkiksi kysymys, kuten "ensimmäisen lemmikin nimi", voidaan helposti arvata pienellä tutkimuksella tai sosiaalisen suunnittelun avulla, eikä automaattisen työkalun tarvitse käydä läpi loputtomasti mahdollisuuksia.
Yleisimmät salasanat mustalle listalle
Sen sijaan, että luottaisit aiemmin käytettyihin kokoonpanosääntöihin, vertaa uudet salasanat "mustalle listalle". yleisimmin käytetty ja/tai aiemmin vaarantuneet salasanat ja arvioida täsmäytysyritykset kelpaamattomiksi.
Vuonna 2019, Microsoft skannannut sen käyttäjien tilit vertaavat käyttäjätunnuksia ja salasanoja tietokantaan, joka sisältää yli kolme miljardia sarjaa vuotaneita tunnistetietoja. Se löysi 44 miljoonaa käyttäjää, joilla oli vaarantunut salasana, ja pakotti salasanan nollauksen.
Tarjoa tukea salasananhallintaohjelmille ja työkaluille
Varmista, että "kopioi ja liitä" -toiminto, selaimen salasanatyökalut ja ulkoiset salasanojen hallintaohjelmat voivat hoitaa käyttäjien salasanojen luomisen ja säilyttämisen.
Käyttäjien tulee myös valita, tarkastellaanko tilapäisesti koko peitettua salasanaa vai salasanan viimeksi kirjoitettua merkkiä. OWASP:n ohjeiden mukaan, ideana on parantaa valtuustietojen syöttämisen käytettävyyttä erityisesti pidempien salasanojen, tunnuslauseiden ja salasanojen hallintaohjelmien käytön suhteen.
Aseta alkuperäisille salasanoille lyhyt säilyvyysaika
Kun uusi työntekijäsi perustaa tilin, järjestelmän luoma alkuperäinen salasana tai aktivointikoodi tulee luoda turvallisesti satunnaisesti, vähintään kuusi merkkiä pitkä, ja se voi sisältää kirjaimia ja numeroita.
Varmista, että se vanhenee lyhyen ajan kuluttua eikä siitä voi tulla oikeaa ja pitkäaikaista salasanaa.
Ilmoita käyttäjille salasanan muutoksista
Kun käyttäjiä vaihtaa salasanojaan, heitä tulee pyytää ensin syöttämään vanha salasana ja mieluiten ottamaan käyttöön kaksivaiheinen todennus (2FA). Kun se on tehty, heidän pitäisi saada ilmoitus.
Ole varovainen salasanan palautusprosessissa
Palautusprosessin ei pitäisi ainoastaan paljastaa nykyistä salasanaa, vaan sama koskee myös tietoja siitä, onko tili todella olemassa vai ei. Toisin sanoen, älä anna hyökkääjille mitään (tarpeettomia) tietoja!
Käytä CAPTCHAa ja muita automaation estoohjaimia
Käytä automaation estoohjaimia rikotun tunnistetietojen testaamisen, raa'an voiman ja tilisulkuhyökkäyksen vähentämiseen. Tällaisia valvontatoimia ovat yleisimpien rikottujen salasanojen estäminen, pehmeät lukitukset, nopeuden rajoittaminen, CAPTCHA, jatkuvasti kasvavat viiveet yritysten välillä, IP-osoiterajoitukset tai riskiin perustuvat rajoitukset, kuten sijainti, ensimmäinen kirjautuminen laitteeseen, viimeaikaiset yritykset avata tili. , tai samankaltainen.
Nykyisten OWASP-standardien mukaan yhdellä tilillä saa olla enintään 100 epäonnistunutta yritystä tunnissa.
Älä luota vain salasanoissa
Riippumatta siitä, kuinka vahva ja ainutlaatuinen salasana on, se on yksi este, joka erottaa hyökkääjän ja arvokkaat tietosi. Kun tavoitteena on suojattu tili, ylimääräinen todennuskerros on ehdottomasti otettava huomioon.
Siksi sinun tulee käyttää kaksifaktorista (2FA) tai monitekijätodennusta (MFA) aina kun mahdollista.
Kaikki 2FA-vaihtoehdot eivät kuitenkaan synny tasa-arvoisina. Vaikka tekstiviestit ovat paljon parempia kuin ei 2FA:ta ollenkaan, ne ovat alttiita lukuisille uhille. Turvallisempia vaihtoehtoja ovat erillisten laitteistojen ja ohjelmistopohjaisten kertakäyttöisten salasanojen (OTP) luojien, kuten mobiililaitteisiin asennettujen suojattujen sovellusten, käyttö.
Huomautus: Tämä artikkeli on päivitetty ja laajennettu versio tästä artikkelista, jonka julkaisimme vuonna 2017: Ei enää turhia salasanavaatimuksia
Ehkä tarkista ESETin salasanageneraattori?
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoAiStream. Web3 Data Intelligence. Tietoa laajennettu. Pääsy tästä.
- Tulevaisuuden lyöminen Adryenn Ashley. Pääsy tästä.
- Osta ja myy osakkeita PRE-IPO-yhtiöissä PREIPO®:lla. Pääsy tästä.
- Lähde: https://www.welivesecurity.com/2023/05/04/creating-strong-user-friendly-passwords-tips-business-password-policy/
- :on
- :On
- :ei
- $ YLÖS
- 1
- 100
- 12
- 20
- 20 vuotta
- 2017
- 2019
- 2023
- 2FA
- 50
- 7
- 9
- a
- Meistä
- absoluuttinen
- hyväksikäyttö
- hyväksyttävä
- Mukaan
- Tili
- Tilit
- tunnustaa
- poikki
- Toimia
- Aktivointi
- todella
- lisä-
- osoite
- hyväksytty
- neuvot
- Jälkeen
- vastaan
- Ages
- sitten
- Tähtäimessä
- Kaikki
- sallia
- Myös
- vaihtoehto
- vaihtoehdot
- Vaikka
- yhteensä
- an
- ja
- ilmoitti
- Kaikki
- sovelluksen
- Hakemus
- sovellusten suojaus
- lähestymistapa
- sovellukset
- huhtikuu
- OVAT
- noin
- artikkeli
- AS
- At
- Hyökkäykset
- yrityksiä
- houkutteleva
- Authentication
- Automatisoitu
- keskimäärin
- este
- Lähtötilanne
- BE
- koska
- tulevat
- ollut
- ovat
- Paremmin
- välillä
- lasku
- Miljardi
- Bitti
- esto
- Blogi
- syntynyt
- sekä
- rikkominen
- Tauko
- selain
- raaka voima
- liiketoiminta
- mutta
- by
- CAN
- ei voi
- varovainen
- tapaus
- tapauksissa
- muuttaa
- Muutokset
- merkki
- merkkejä
- tarkastaa
- Valita
- koodi
- kollega
- yhdistely
- Tulla
- Yhteinen
- yleisesti
- vertaamalla
- monimutkainen
- kompromissi
- Vaarantunut
- tietokoneet
- harkittu
- alituisesti
- sisältää
- sisältää
- jatkaa
- päinvastainen
- valvonta
- tavanomainen
- Kurssi
- crack
- Luominen
- TOIMINTAKERTOMUS
- Valtakirja
- ratkaiseva
- Nykyinen
- tiedot
- tietokanta
- Päivämäärä
- päivää
- omistautunut
- oletusarvo
- viiveet
- laite
- Laitteet
- Kuolla
- eri
- vaikea
- näyttö
- do
- ei
- tehty
- Dont
- alas
- pudottamalla
- e
- helposti
- helppo
- vaivaa
- myöskään
- Työntekijä
- työntekijää
- mahdollistaa
- kannustaa
- rohkaiseva
- Loputon
- insinööri
- Tekniikka
- enter
- Koko
- merkintä
- yhtäläinen
- erityisesti
- laatii
- arvioida
- Jopa
- jatkuvasti lisääntyvä
- jokainen
- näyttö
- esimerkki
- olemassa
- asiantuntijat
- päättyminen
- ulkoinen
- tekijä
- Epäonnistui
- kuuluisa
- paljon
- harvat
- Etunimi
- varten
- voima
- löytyi
- Ilmainen
- tiheä
- alkaen
- toiminto
- toiminnallisuus
- general
- syntyy
- generaattorit
- saada
- tietty
- Go
- hyvä
- suuri
- Kasvava
- arvattu
- ohjaus
- suuntaviivat
- hakkerit
- Puoli
- kahva
- Kova
- Palvelimet
- laitteita
- vahingoittaa
- hajautusta
- Olla
- ottaa
- he
- pää
- auttaa
- kätketty
- vihjeitä
- hänen
- Hive
- tunti
- Miten
- Kuitenkin
- HTML
- HTTPS
- Ihmiset
- ajatus
- if
- vaikuttava
- parantaa
- in
- Muilla
- sisältää
- Mukaan lukien
- lisää
- tiedot
- ensimmäinen
- asennetaan
- sen sijaan
- Instituutti
- tulee
- esitellä
- Esittelee
- aiheuttaa
- IP
- IP-osoite
- IT
- SEN
- itse
- jpg
- vain
- avain
- avaintekijä
- Sukunimi
- myöhemmin
- kerros
- johtaa
- johtava
- vähiten
- Pituus
- elämä
- pitää
- Todennäköisesti
- linjat
- vähän
- sijainti
- työsulku
- Kirjaudu sisään
- Pitkät
- pitkä aika
- pitkän aikavälin
- kauemmin
- alentaa
- TEE
- Päättäjät
- monet
- matching
- asia
- max-width
- maksimi
- Saattaa..
- MD5
- viestien
- UM
- Microsoft
- ehkä
- miljoona
- mielessä
- minimi
- minuuttia
- lieventää
- Puhelinnumero
- mobiililaitteet
- lisää
- eniten
- paljon
- moninkertainen
- täytyy
- kansallinen
- Luonnollinen
- Uusi
- NIST
- Nro
- ilmoituksen
- nyt
- numero
- numerot
- useat
- vanhentunut
- Tilaisuudet
- of
- offline
- Vanha
- on
- kerran
- ONE
- verkossa
- vain
- avata
- Vaihtoehto
- Vaihtoehdot
- or
- tilata
- organisaatioiden
- Muut
- meidän
- ulos
- oma
- sivulla
- osa
- erityisesti
- Salasana
- salasanan nollaus
- salasanat
- Ohi
- Kärsivällisyys
- Ihmiset
- ihmisten
- aika
- henkilö
- henkilöstö
- poimia
- Platon
- Platonin tietotieto
- PlatonData
- plus
- politiikkaa
- politiikka
- mahdollisuuksia
- mahdollinen
- aiemmin
- ongelmia
- prosessi
- projekti
- suojella
- toimittaa
- julkaistu
- laittaa
- kysymys
- kyseenalaiseksi
- kysymykset
- satunnaisesti tuotettu
- nopea
- hinta
- perussyyt
- päästäisiin
- valmis
- ihan oikeesti
- reason
- vastaanottaa
- äskettäinen
- suosittelee
- elpyminen
- säännöllinen
- säännöllisesti
- luottaa
- jäännökset
- muistaa
- tarvitaan
- tutkimus
- vastaajat
- rajoitukset
- johtua
- uudelleenkäyttö
- paljastaa
- säännöt
- ajaa
- s
- sama
- sanoa
- sanoo
- Haku
- turvallinen
- turvattu
- turvallisesti
- turvaaminen
- turvallisuus
- näyttää
- tuomita
- erottamalla
- setti
- Setit
- useat
- Hylly
- Lyhyt
- shouldnt
- esitetty
- Signs
- samankaltainen
- Yksinkertainen
- single
- SIX
- pieni
- SMS
- So
- sosiaalinen
- Sosiaalinen insinööri
- Pehmeä
- jonkin verran
- tilat
- erityinen
- seistä
- standardi
- standardit
- Yhä
- varastettu
- katu
- vahvuus
- vahva
- vahvempi
- opinnot
- Onnistuneesti
- niin
- suuri
- tuki
- herkkä
- ottaa
- vie
- teknologia
- tekniikan jättiläiset
- Elektroniikka
- Testaus
- kuin
- että
- -
- heidän
- Niitä
- itse
- sitten
- Siellä.
- Nämä
- ne
- asiat
- ajatella
- tätä
- uhat
- kolmella
- Kautta
- aika
- vinkit
- että
- tänään
- työkalu
- työkalut
- kohti
- perinteinen
- koulutettu
- totta
- kääntyy
- tyypillisesti
- meille
- unique
- avata
- turhaan
- kestämätön
- päivitetty
- käytettävyys
- käyttää
- käytetty
- käyttäjä
- helppokäyttöinen
- Käyttäjät
- käyttämällä
- arvokas
- arvo
- lajike
- eri
- tarkastaa
- versio
- Näytä
- Seinä
- Wall Street
- oli
- tavalla
- we
- verkko
- Web-sovellus
- HYVIN
- Mitä
- kun
- aina kun
- onko
- joka
- vaikka
- koko
- miksi
- leveä
- leveys
- tulee
- ikkunat
- viisaus
- with
- sanoja
- maailman
- olisi
- WSJ
- vuotta
- vielä
- Voit
- Sinun
- youtube
- zephyrnet