Ne kínozza meg az embereket rendkívül összetett jelszó-alkotási szabályokkal, hanem tegye feketelistára a gyakran használt jelszavakat, valamint más módszereket, amelyekkel segíthet az embereknek segíteni önmagukon – és az egész szervezetén
Amikor Bill Burr, az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézetének (NIST) mérnöke 2003-ban megírta, mi lesz hamarosan a világ arany szabvány a jelszavas biztonsághoz, azt tanácsolta az embereknek és szervezeteknek, hogy hosszú és „kaotikus” karakter-, szám- és jelsorok kitalálásával védjék fiókjukat – és rendszeresen cseréljék azokat.
Tizennégy évvel később Burr elismerte, hogy megbánta múltbeli tanácsát. „Ez csak a banánt hajtja az emberekben, és nem választanak jó jelszavakat, bármit is csinálsz” – mondta mondta a Wall Street Journal.
Vagy, mint a híres xkcd comic tette fel: "20 éves erőfeszítések során mindenkit sikeresen megtanítottunk olyan jelszavak használatára, amelyeket az emberek nehezen jegyeznek meg, de a számítógépek könnyen kitalálhatók."
Manapság egy átlagos ember legfeljebb 100 megjegyezhető jelszót tartalmaz, számuk rohamosan nőtt az elmúlt években (bár valójában néhány ember körülbelül 50 jelszót használt, beleértve számos offline kódot, még évekkel ezelőtt, és néhány biztonsági szakértő rámutat arra, hogy az ilyen jelszóhasználati szokások és szabályzatok fenntarthatatlanok.)
Valójában tanulmányok kimutatták, hogy az emberek általában emlékeznek legfeljebb öt jelszót és hozzon létre parancsikonokat könnyen kitalálható jelszavak és azután újrahasznosítsa őket különböző online fiókokban. Egyesek ténylegesen helyettesíthetik a betűket számokkal és speciális karakterekkel (pl. a „jelszó” „P4??WØrd”-re változik), de ettől még könnyen feltörhető jelszó.
Az elmúlt években olyan vezető szervezetek, mint a The Open Web Application Security Project (OWASP) és természetesen maga a NIST megváltoztatták politikájukat és tanácsaikat egy felhasználóbarátabb megközelítés felé – mindezt a jelszavas biztonság növelése mellett.
Ugyanakkor a technológiai óriások, mint pl microsoft és a Google mindenkit arra biztatnak, hogy hagyja el a jelszavakat menj jelszó nélkül helyette. Ha azonban kis- vagy középvállalkozása még nem áll készen arra, hogy megváljon a jelszavaktól, íme néhány útmutatás, amely 2023-ban is jót tesz Önnek és alkalmazottainak.
Hagyja abba a szükségtelenül összetett jelszó-összetételi szabályok előírását
A rendkívül összetett összetételi szabályok (például a nagy- és kisbetűs karakterek, legalább egy szám és egy speciális karakter megkövetelése a felhasználóktól) már nem kötelezőek. Ennek az az oka, hogy az ilyen szabályok ritkán ösztönzik a felhasználókat erősebb jelszavak beállítására, ehelyett arra késztetve őket, hogy előre megjósolhatóan cselekedjenek, és olyan jelszavakat találjanak ki, amelyek „kettős csapás” – egyszerre gyengék és nehezen megjegyezhetőek.
Váltson jelmondatra
A rövidebb, de bonyolult jelszavak helyett keresse meg a jelszavakat. Hosszabbak és összetettebbek, de még mindig könnyen megjegyezhetők. Lehet például egy egész mondat, ami valamiért megakadt a fejedben, nagybetűkkel, speciális karakterekkel és hangulatjelekkel megszórva. Noha nem túl bonyolult, az automatizált eszközöknek még mindig sok időbe telik, amíg feltörik.
Néhány évvel ezelőtt egy jó jelszó minimális hossza nyolc karakter volt, ami kis- és nagybetűkből, jelekből és számokból állt. Manapság az automatizált jelszófeltörő eszközök percek alatt kitalálják ezt a jelszót, különösen, ha az MD5 kivonatolási funkcióval védett.
Ez szerint a Hive Systems által futtatott tesztek Ellenkezőleg, egy egyszerű jelszót, amely csak kis- és nagybetűket tartalmaz, de 2023 karakter hosszú, sokkal-sokkal tovább tart a feltörés.
Törekedj legalább 12 karakter hosszúságra – minél több, annál jobb!
A NIST irányelvei a hosszúságot a jelszó erősségének kulcstényezőjeként ismerik el, és bevezetik a minimálisan szükséges 12 karakter hosszúságot, amely több szóköz kombinálása után legfeljebb 64 karakter lehet. Ha minden egyenlő, minél több, annál jobb.
Különféle karakterek engedélyezése
Jelszavaik beállításakor a felhasználók szabadon választhatnak az összes nyomtatható ASCII és UNICODE karakter közül, beleértve a hangulatjeleket is. Lehetőséget kell biztosítani számukra a szóközök használatára is, amelyek a jelszavak természetes részét képezik – a hagyományos jelszavak gyakran ajánlott alternatívája.
Csökkentse a jelszó újrafelhasználását
Mára ez a hagyományos bölcsesség az emberek nem használhatják újra jelszavaikat különböző online fiókok között, mert az egyik fiók feltörése könnyen más fiókok feltöréséhez vezethet.
Sok szokás azonban elpusztul, és a válaszadók körülbelül fele a Ponemon Institute 2019-es tanulmányában elismerték, hogy átlagosan öt jelszót használtak újra üzleti és/vagy személyes fiókjaikban.
Ne állítson be „használati dátumot” a jelszavakhoz
A NIST azt is javasolja, hogy ne írjon elő rendszeres jelszómódosítást, hacsak a felhasználó nem kéri, vagy ha nincs bizonyíték a kompromisszumra. Ennek oka az, hogy a felhasználóknak csak annyi türelmük van, hogy állandóan új, ésszerűen erős jelszavakra kell gondolniuk. Ennek eredményeként, ha rendszeres időközönként ráveszi őket, több kárt okozhat, mint hasznot.
Amikor a Microsoft három évvel ezelőtt bejelentette, hogy elveti a jelszavak lejárati irányelveit, megkérdőjelezte a jelszó lejáratának gondolatát.
„Ha biztos, hogy egy jelszót valószínűleg ellopnak, hány nap az elfogadható időtartam ahhoz, hogy a tolvaj továbbra is használja az ellopott jelszót? A Windows alapértelmezett beállítása 42 nap. Nem tűnik nevetségesen hosszú időnek? Nos, ez az, és a jelenlegi alapállapotunk mégis 60 nap – és régebben 90 nap volt –, mert a gyakori lejárat kényszerítése saját problémákat vet fel.” olvasható a Microsoft blogjában.
Ne feledje, hogy ez csak általános tanács. Ha olyan alkalmazást biztosít, amely kulcsfontosságú a vállalkozása számára, és vonzó a támadók számára, továbbra is kényszerítheti alkalmazottait a jelszavak rendszeres megváltoztatására.
Ditch tippeket és tudásalapú hitelesítést
A jelszóra vonatkozó tippek és a tudásalapú ellenőrző kérdések szintén elavultak. Bár ezek valójában segíthetik a felhasználókat az elfelejtett jelszavak keresésében, a támadók számára is nagy értékűek lehetnek. Kollégánk, Jake Moore több alkalommal bemutatta, hogyan élhetnek vissza a hackerek az „elfelejtett jelszó” oldallal, hogy behatoljanak mások fiókjába, pl. PayPal és a Instagram.
Például egy olyan kérdés, mint az „első házi kedvence neve”, könnyen kitalálható egy kis kutatással vagy szociális tervezéssel, és nem igazán van végtelen számú lehetőség, amelyen egy automatizált eszköznek keresztül kell mennie.
A gyakori jelszavak feketelistára
Ahelyett, hogy a korábban használt összetételi szabályokra hagyatkozna, ellenőrizze az új jelszavakat a „feketelistán”. leggyakrabban használt és/vagy korábban feltört jelszavakat, és az egyeztetési kísérleteket elfogadhatatlannak értékeli.
A 2019, A Microsoft átvizsgálta felhasználói fiókjai a felhasználóneveket és jelszavakat egy több mint hárommilliárd kiszivárgott hitelesítő adatkészletet tartalmazó adatbázishoz hasonlítják. 44 millió felhasználót talált feltört jelszavakkal, és jelszó-visszaállítást kényszerítettek ki.
Támogatás biztosítása a jelszókezelők és -eszközök számára
Győződjön meg arról, hogy a „másolás és beillesztés” funkció, a böngészőjelszó-eszközök és a külső jelszókezelők kezelhetik a felhasználói jelszavak létrehozásával és megőrzésével kapcsolatos problémákat.
A felhasználóknak azt is meg kell választaniuk, hogy ideiglenesen megtekintik-e a teljes maszkolt jelszót vagy a jelszó utoljára beírt karakterét. Az OWASP irányelvei szerint, az ötlet az, hogy javítsák a hitelesítő adatok bevitelének használhatóságát, különösen a hosszabb jelszavak, jelszavak és jelszókezelők használatával kapcsolatban.
Állítson be rövid eltarthatósági időt a kezdeti jelszavakhoz
Amikor új alkalmazottja létrehoz egy fiókot, a rendszer által generált kezdeti jelszót vagy aktiválási kódot biztonságosan, véletlenszerűen kell generálni, legalább hat karakter hosszúságú, és tartalmazhat betűket és számokat.
Győződjön meg róla, hogy rövid időn belül lejár, és nem válhat valódi és hosszú távú jelszóvá.
Értesítse a felhasználókat a jelszómódosításokról
Amikor a felhasználók megváltoztatják jelszavukat, először meg kell adniuk a régi jelszavukat, és ideális esetben engedélyezni kell a kéttényezős hitelesítést (2FA). Ha elkészült, értesítést kell kapniuk.
Legyen óvatos a jelszó-helyreállítási folyamattal kapcsolatban
A helyreállítási folyamat során nemcsak az aktuális jelszót nem szabad felfedni, de ugyanez vonatkozik arra is, hogy a fiók valóban létezik-e vagy sem. Vagyis ne adjunk a támadóknak semmilyen (felesleges) információt!
Használja a CAPTCHA-t és más automatizálás elleni vezérlőket
Használjon automatizálás elleni vezérlőket a megsértett hitelesítő adatok tesztelésének, a brutális erőszaknak és a fiókzárolási támadásoknak a mérséklésére. Az ilyen vezérlők közé tartozik a leggyakrabban feltört jelszavak blokkolása, a soft lockout, a sebességkorlátozás, a CAPTCHA, a kísérletek közötti egyre növekvő késések, az IP-cím korlátozások vagy a kockázatalapú korlátozások, például a hely, az eszköz első bejelentkezése, a fiók zárolásának feloldására tett közelmúltbeli kísérletek. , vagy hasonló.
A jelenlegi OWASP szabványok szerint óránként legfeljebb 100 sikertelen próbálkozás lehet egyetlen fiókban.
Ne hagyatkozz csak a jelszavakon
Függetlenül attól, hogy mennyire erős és egyedi egy jelszó, továbbra is egyetlen akadály választja el a támadót és az Ön értékes adatait. Amikor biztonságos fiókokra törekszünk, feltétlenül figyelembe kell venni egy további hitelesítési réteget.
Ezért érdemes lehetőség szerint kétfaktoros (2FA) vagy többtényezős hitelesítést (MFA) használni.
Nem minden 2FA opció születik egyenlőnek. Az SMS-üzenetek, bár sokkal jobbak, mint a 2FA hiánya, számos fenyegetésnek ki vannak téve. A biztonságosabb alternatívák közé tartozik a dedikált hardvereszközök és a szoftver alapú egyszeri jelszógenerátorok (OTP) használata, például a mobileszközökre telepített biztonságos alkalmazások.
Megjegyzés: Ez a cikk a 2017-ben közzétett cikk frissített és bővített változata: Nincs több értelmetlen jelszókövetelmény
Esetleg nézd meg Az ESET jelszógenerátora?
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoAiStream. Web3 adatintelligencia. Felerősített tudás. Hozzáférés itt.
- A jövő pénzverése – Adryenn Ashley. Hozzáférés itt.
- Részvények vásárlása és eladása PRE-IPO társaságokban a PREIPO® segítségével. Hozzáférés itt.
- Forrás: https://www.welivesecurity.com/2023/05/04/creating-strong-user-friendly-passwords-tips-business-password-policy/
- :van
- :is
- :nem
- $ UP
- 1
- 100
- 12
- 20
- 20 év
- 2017
- 2019
- 2023
- 2FA
- 50
- 7
- 9
- a
- Rólunk
- Abszolút
- visszaélés
- elfogadható
- Szerint
- Fiók
- Fiókok
- elismerni
- át
- törvény
- Az aktiválás
- tulajdonképpen
- További
- cím
- felvételt nyer
- tanács
- Után
- ellen
- Korosztály
- Augusztus
- Célzás
- Minden termék
- lehetővé
- Is
- alternatív
- alternatívák
- Bár
- teljesen
- an
- és a
- bejelentés
- bármilyen
- app
- Alkalmazás
- alkalmazás biztonsága
- megközelítés
- alkalmazások
- április
- VANNAK
- körül
- cikkben
- AS
- At
- Támadások
- Kísérletek
- vonzó
- Hitelesítés
- Automatizált
- átlagos
- korlát
- kiindulási
- BE
- mert
- válik
- óta
- hogy
- Jobb
- között
- Számla
- Billió
- Bit
- blokkoló
- Blog
- született
- mindkét
- megsértése
- szünet
- böngésző
- brute force
- üzleti
- de
- by
- TUD
- nem tud
- óvatos
- eset
- esetek
- változik
- Változások
- karakter
- karakter
- ellenőrizze
- A pop-art design, négy időzóna kijelzése egyszerre és méretének arányai azok az érvek, amelyek a NeXtime Time Zones-t kiváló választássá teszik. Válassza a
- kód
- kolléga
- kombinálása
- hogyan
- Közös
- általában
- összehasonlítva
- bonyolult
- kompromisszum
- Veszélyeztetett
- számítógépek
- figyelembe vett
- állandóan
- tartalmaz
- tartalmaz
- folytatódik
- ellentétes
- ellenőrzések
- hagyományos
- Tanfolyam
- repedés
- létrehozása
- HITELEZÉS
- Hitelesítő adatok
- kritikus
- Jelenlegi
- dátum
- adatbázis
- találka
- Nap
- elszánt
- alapértelmezett
- késedelmek
- eszköz
- Eszközök
- az
- különböző
- nehéz
- kijelző
- do
- Nem
- csinált
- ne
- le-
- Csepegés
- e
- könnyen
- könnyű
- erőfeszítés
- bármelyik
- munkavállaló
- alkalmazottak
- lehetővé
- ösztönzése
- bátorító
- Végtelen
- mérnök
- Mérnöki
- belép
- Egész
- belépés
- egyenlő
- különösen
- megállapítja
- értékelni
- Még
- egyre növekvő
- mindenki
- bizonyíték
- példa
- létezik
- szakértők
- lejárat
- külső
- tényező
- Sikertelen
- híres
- messze
- kevés
- vezetéknév
- A
- Kényszer
- talált
- Ingyenes
- gyakori
- ból ből
- funkció
- funkcionalitás
- általános
- generált
- generátorok
- szerzés
- adott
- Go
- jó
- nagy
- Növekvő
- kitalálta
- útmutatást
- irányelvek
- hackerek
- fél
- fogantyú
- Kemény
- hardver
- hardvereszközök
- kárt
- tördelő
- Legyen
- tekintettel
- he
- fej
- segít
- Rejtett
- tanácsok
- övé
- Kaptár
- óra
- Hogyan
- azonban
- HTML
- HTTPS
- Az emberek
- ötlet
- if
- impozáns
- javul
- in
- Más
- tartalmaz
- Beleértve
- növekvő
- információ
- kezdetben
- telepítve
- helyette
- Intézet
- bele
- bevezet
- Bemutatja
- vonja
- IP
- IP-cím
- IT
- ITS
- maga
- jpg
- éppen
- Kulcs
- kulcstényező
- keresztnév
- a későbbiekben
- réteg
- vezet
- vezető
- legkevésbé
- Hossz
- élet
- mint
- Valószínű
- vonalak
- kis
- elhelyezkedés
- lockout
- Belépés
- Hosszú
- hosszú idő
- hosszú lejáratú
- hosszabb
- alacsonyabb
- KÉSZÍT
- Menedzserek
- sok
- egyező
- Anyag
- max-width
- maximális
- Lehet..
- MD5
- üzenetek
- MFA
- microsoft
- esetleg
- millió
- bánja
- minimum
- Perc
- Enyhít
- Mobil
- mobil eszközök
- több
- a legtöbb
- sok
- többszörös
- kell
- nemzeti
- Természetes
- Új
- nst
- nem
- bejelentés
- Most
- szám
- számok
- számos
- elavult
- alkalommal
- of
- Nem elérhető
- Régi
- on
- egyszer
- ONE
- online
- csak
- nyitva
- opció
- Opciók
- or
- érdekében
- szervezetek
- Más
- mi
- ki
- saját
- oldal
- rész
- különösen
- Jelszó
- jelszó visszaállítása
- jelszavak
- múlt
- Türelem
- Emberek (People)
- emberek
- időszak
- person
- személyes
- vedd
- Plató
- Platón adatintelligencia
- PlatoData
- plusz
- Politikák
- politika
- lehetőségek
- lehetséges
- korábban
- problémák
- folyamat
- program
- védelme
- ad
- közzétett
- tesz
- kérdés
- megkérdőjelezte
- Kérdések
- véletlenszerűen generált
- gyors
- Arány
- logika
- elérése
- kész
- tényleg
- ok
- kap
- új
- ajánlja
- felépülés
- szabályos
- rendszeresen
- támaszkodnak
- maradványok
- eszébe jut
- kötelező
- kutatás
- A válaszadók
- korlátozások
- eredményez
- újra
- mutatják
- szabályok
- futás
- s
- azonos
- azt mondják
- azt mondja,
- Keresés
- biztonság
- biztosított
- biztosan
- biztosítása
- biztonság
- látszik
- mondat
- elválasztó
- készlet
- Szettek
- számos
- Polc
- rövid
- kellene
- mutatott
- Jelek
- hasonló
- Egyszerű
- egyetlen
- SIX
- kicsi
- SMS
- So
- Közösség
- Szociális tervezés
- Puha
- néhány
- terek
- speciális
- állvány
- standard
- szabványok
- Még mindig
- lopott
- utca
- erő
- erős
- erősebb
- tanulmányok
- sikeresen
- ilyen
- szuper
- támogatás
- fogékony
- Vesz
- tart
- tech
- tech óriások
- Technológia
- Tesztelés
- mint
- hogy
- A
- azok
- Őket
- maguk
- akkor
- Ott.
- Ezek
- ők
- dolgok
- Szerintem
- ezt
- fenyegetések
- három
- Keresztül
- idő
- tippek
- nak nek
- Ma
- szerszám
- szerszámok
- felé
- hagyományos
- kiképzett
- igaz
- fordul
- jellemzően
- nekünk
- egyedi
- kinyit
- szükségtelenül
- fenntarthatatlan
- frissítve
- használhatóság
- használ
- használt
- használó
- barátságos felhasználói
- Felhasználók
- segítségével
- Értékes
- érték
- fajta
- különféle
- ellenőrzése
- változat
- Megnézem
- Fal
- Wall Street
- volt
- módon
- we
- háló
- webalkalmazás
- JÓL
- Mit
- amikor
- bármikor
- vajon
- ami
- míg
- egész
- miért
- széles
- szélesség
- lesz
- ablakok
- bölcsesség
- val vel
- szavak
- világ
- lenne
- WSJ
- év
- még
- te
- A te
- youtube
- zephyrnet