Ikke tortur folk med ekstremt komplekse regler for passordsammensetning, men svartelist ofte brukte passord, pluss andre måter å hjelpe folk med å hjelpe seg selv – og hele organisasjonen din
Da ingeniør Bill Burr fra US National Institute of Standards and Technology (NIST) skrev i 2003 det som snart skulle bli verdens gullstandard for passordsikkerhet, rådet han folk og organisasjoner til å beskytte kontoene sine ved å finne opp lange og 'kaotiske' linjer med tegn, tall og tegn – og endre dem regelmessig.
Fjorten år senere innrømmet Burr at han angret på sine tidligere råd. "Det driver bare folk til bananer, og de velger ikke gode passord uansett hva du gjør," han fortalte Wall Street Journal.
Eller, som den berømte xkcd comic har satt det: "Gjennom 20 års innsats har vi trent opp alle til å bruke passord som er vanskelige for mennesker å huske, men enkle for datamaskiner å gjette."
I disse dager, en gjennomsnittlig person har opptil 100 passord å huske, med antallet som har vokst raskt de siste årene (selv om det faktisk er noen mennesker brukte rundt 50 passord, inkludert en rekke frakoblede koder, selv for mange år siden, og noen sikkerhetseksperter har påpekt at slike passordvaner og retningslinjer er uholdbare.)
Faktisk har studier funnet at folk vanligvis husker bare opptil fem passord og ta snarveier ved å lage passord som er enkle å gjette og deretter resirkulere dem på tvers av ulike nettkontoer. Noen kan faktisk erstatte tall og spesialtegn med bokstaver (f.eks. "passord" blir til "P4??WØrd"), men dette gir fortsatt et passord som er lett å knekke.
De siste årene har ledende organisasjoner som The Open Web Application Security Project (OWASP) og selvfølgelig NIST selv endret sine retningslinjer og råd mot en mer brukervennlig tilnærming – alt samtidig som passordsikkerheten økes.
Samtidig har teknologigiganter som f.eks Microsoft og Google oppfordrer alle til å droppe passord helt gå uten passord i stedet. Men hvis den lille eller mellomstore bedriften din ikke er klar til å skille seg av med passord ennå, her er noen veiledninger som vil hjelpe deg og dine ansatte i 2023.
Slutt å pålegge unødvendig komplekse regler for passordsammensetning
Eventuelle ekstremt komplekse komposisjonsregler (som å kreve at brukere inkluderer både store og små bokstaver, minst ett tall og et spesialtegn) er ikke lenger et must. Dette er fordi slike regler sjelden oppmuntrer brukere til å angi sterkere passord, og ber dem i stedet handle forutsigbart og komme opp med passord som er en "dobbel whammy" - de er både svake og vanskelige å huske.
Bytt til passordfraser
I stedet for kortere, men vanskelige passord, gå for passordfraser. De er lengre og mer komplekse, men fortsatt enkle å huske. Det kan for eksempel være en hel setning som har satt seg fast i hodet av en eller annen grunn, overstrødd av store bokstaver, spesialtegn og emojier. Selv om det ikke er superkomplekst, vil det fortsatt ta evigheter før automatiserte verktøy knekker det.
For noen år siden var minimumslengden for et godt passord åtte tegn, som besto av små og store bokstaver, tegn og tall. I dag kan automatiserte passordknekkingsverktøy gjette et slikt passord på få minutter, spesielt hvis det er sikret med MD5-hash-funksjonen.
Dette er ifølge tester drevet av Hive Systems og publisert i april 2023. Tvert imot, et enkelt passord som kun inneholder små og store bokstaver, men som er 18 tegn langt, tar langt, langt lengre tid å knekke.
Sikt etter en minimumslengde på 12 tegn – jo flere jo bedre!
NIST-retningslinjene anerkjenner lengde som nøkkelfaktoren for passordstyrke og introduserer en minimumslengde på 12 tegn som når opp til maksimalt 64 tegn etter å ha kombinert flere mellomrom. Alt er likt, jo mer jo bedre.
Aktiver en rekke tegn
Når de angir passordene sine, skal brukerne stå fritt til å velge mellom alle utskrivbare ASCII- og UNICODE-tegn, inkludert emojier. De bør også ha muligheten til å bruke mellomrom, som er en naturlig del av passordfraser – et ofte anbefalt alternativ til tradisjonelle passord.
Slå ned på gjenbruk av passord
Det er konvensjonell visdom nå det folk bør ikke gjenbruke passordene sine på tvers av forskjellige nettkontoer, fordi et brudd på én konto lett kan føre til at andre kontoer blir kompromittert.
Imidlertid dør mange vaner hardt, og rundt halvparten av respondentene i en Ponemon Institute-studie fra 2019 innrømmet å gjenbruke i gjennomsnitt fem passord på tvers av bedrifts- og/eller personlige kontoer.
Ikke angi en «siste bruksdato» for passord
NIST anbefaler også at man ikke krever regelmessige passordendringer med mindre brukeren ber om det eller med mindre det er bevis på et kompromiss. Begrunnelsen er at brukerne bare har så mye tålmodighet for å hele tiden måtte tenke på nye rimelig sterke passord. Som et resultat kan det å få dem til å gjøre det med jevne mellomrom gjøre mer skade enn nytte.
Da Microsoft annonserte å droppe retningslinjene for passordutløp for tre år siden, stilte det spørsmål ved hele ideen om passordutløp.
"Hvis det er gitt at et passord sannsynligvis vil bli stjålet, hvor mange dager er en akseptabel tid å fortsette for å la tyven bruke det stjålne passordet? Windows standard er 42 dager. Virker ikke det som en latterlig lang tid? Vel, det er det, og likevel sier vår nåværende baseline 60 dager – og pleide å si 90 dager – fordi å tvinge frem hyppig utløp introduserer sine egne problemer.» leser Microsofts blogg.
Husk at dette bare er generelle råd. Hvis du sikrer deg en app som er avgjørende for virksomheten din og attraktiv for angripere, kan du fortsatt tvinge de ansatte til å endre passord med jevne mellomrom.
Grøftehint og kunnskapsbasert autentisering
Passordtips og kunnskapsbaserte verifiseringsspørsmål er også foreldet. Selv om disse faktisk kan hjelpe brukere med å søke etter glemte passord, kan de også være av stor verdi for angripere. Vår kollega Jake Moore har ved flere anledninger vist hvordan hackere kan misbruke «glemt passord»-siden på for å bryte seg inn på andres kontoer, for eksempel på PayPal og Instagram.
For eksempel kan et spørsmål som "navnet på ditt første kjæledyr" lett gjettes med litt forskning eller sosial ingeniørkunst, og det er egentlig ikke et uendelig antall muligheter som et automatisert verktøy må gå gjennom.
Svarteliste vanlige passord
I stedet for å stole på tidligere brukte komposisjonsregler, sjekk nye passord mot en "svarteliste" over mest brukte og/eller tidligere kompromitterte passord og vurdere samsvarsforsøk som uakseptable.
I 2019, Microsoft skannet brukernes kontoer som sammenligner brukernavn og passord med en database med mer enn tre milliarder sett med lekket legitimasjon. Den fant 44 millioner brukere med kompromitterte passord og tvang en tilbakestilling av passord.
Gi støtte for passordbehandlere og verktøy
Sørg for at "kopier og lim inn"-funksjonaliteten, nettleserpassordverktøyene og eksterne passordbehandlere har tillatelse til å håndtere bryet med å opprette og oppbevare brukernes passord.
Brukere bør også velge å enten midlertidig vise hele det maskerte passordet eller det sist skrevne tegnet i passordet. I henhold til OWASP-retningslinjene, er ideen å forbedre brukervennligheten til legitimasjonsregistrering, spesielt rundt bruken av lengre passord, passordfraser og passordbehandlere.
Angi en kort holdbarhet for de første passordene
Når den nye medarbeideren din oppretter en konto, bør det systemgenererte første passordet eller aktiveringskoden være sikkert tilfeldig generert, minst seks tegn langt, og kan inneholde bokstaver og tall.
Pass på at det utløper etter en kort periode og ikke kan bli det sanne og langsiktige passordet.
Varsle brukere om passordendringer
Når brukere endrer passord, bør de først bli bedt om å skrive inn det gamle passordet og, ideelt sett, aktivere tofaktorautentisering (2FA). Når det er gjort, skal de motta et varsel.
Vær forsiktig med prosessen for gjenoppretting av passord
Ikke bare skal gjenopprettingsprosessen ikke avsløre gjeldende passord, men det samme gjelder også informasjon om hvorvidt kontoen faktisk eksisterer eller ikke. Med andre ord, ikke gi angripere noen (unødvendig) informasjon!
Bruk CAPTCHA og andre anti-automatiseringskontroller
Bruk anti-automatiseringskontroller for å redusere brudd på legitimasjonstesting, brute force og kontosperreangrep. Slike kontroller inkluderer blokkering av de vanligste passordene som brytes, myk lockout, hastighetsbegrensning, CAPTCHA, stadig økende forsinkelser mellom forsøk, IP-adressebegrensninger eller risikobaserte begrensninger som plassering, første pålogging på en enhet, nylige forsøk på å låse opp kontoen , eller liknende.
I henhold til gjeldende OWASP-standarder bør det være maksimalt 100 mislykkede forsøk per time på en enkelt konto.
Ikke stol bare på passord
Uansett hvor sterkt og unikt et passord er, forblir det en enkelt barriere som skiller en angriper og dine verdifulle data. Når du sikter mot sikre kontoer, bør et ekstra autentiseringslag betraktes som et absolutt must.
Det er derfor du bør bruke to-faktor (2FA) eller multi-faktor autentisering (MFA) når det er mulig.
Ikke alle 2FA-alternativer er født like. SMS-meldinger, selv om de er langt bedre enn ingen 2FA i det hele tatt, er utsatt for en rekke trusler. Sikrere alternativer innebærer bruk av dedikerte maskinvareenheter og programvarebaserte engangspassordgeneratorer (OTP), for eksempel sikre apper installert på mobile enheter.
Merk: Denne artikkelen er en oppdatert og utvidet versjon av denne artikkelen vi publiserte i 2017: Ingen flere meningsløse passordkrav
Kanskje sjekke ut ESETs passordgenerator?
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoAiStream. Web3 Data Intelligence. Kunnskap forsterket. Tilgang her.
- Minting the Future med Adryenn Ashley. Tilgang her.
- Kjøp og selg aksjer i PRE-IPO-selskaper med PREIPO®. Tilgang her.
- kilde: https://www.welivesecurity.com/2023/05/04/creating-strong-user-friendly-passwords-tips-business-password-policy/
- : har
- :er
- :ikke
- $OPP
- 1
- 100
- 12
- 20
- 20 år
- 2017
- 2019
- 2023
- 2FA
- 50
- 7
- 9
- a
- Om oss
- Absolute
- misbruk
- akseptabelt
- Ifølge
- Logg inn
- kontoer
- anerkjenne
- tvers
- Handling
- Aktivering
- faktisk
- Ytterligere
- adresse
- innrømmet
- råd
- Etter
- mot
- Ages
- siden
- Sikter
- Alle
- tillate
- også
- alternativ
- alternativer
- Selv
- helt
- an
- og
- annonsert
- noen
- app
- Søknad
- applikasjonssikkerhet
- tilnærming
- apps
- April
- ER
- rundt
- Artikkel
- AS
- At
- Angrep
- forsøk
- attraktiv
- Autentisering
- Automatisert
- gjennomsnittlig
- barriere
- Baseline
- BE
- fordi
- bli
- vært
- være
- Bedre
- mellom
- Bill
- Milliarder
- Bit
- blokkering
- Blogg
- født
- både
- brudd
- Break
- nett~~POS=TRUNC leseren~~POS=HEADCOMP
- brute force
- virksomhet
- men
- by
- CAN
- kan ikke
- forsiktig
- saken
- saker
- endring
- Endringer
- karakter
- tegn
- sjekk
- Velg
- kode
- kollega
- kombinere
- Kom
- Felles
- vanligvis
- sammenligne
- komplekse
- kompromiss
- kompromittert
- datamaskiner
- ansett
- stadig
- inneholde
- inneholder
- fortsette
- motsetning
- kontroller
- konvensjonell
- Kurs
- crack
- Opprette
- KREDENSISJON
- Credentials
- avgjørende
- Gjeldende
- dato
- Database
- Dato
- Dager
- dedikert
- Misligholde
- forsinkelser
- enhet
- Enheter
- Die
- forskjellig
- vanskelig
- Vise
- do
- ikke
- gjort
- ikke
- ned
- slippe
- e
- lett
- lett
- innsats
- enten
- Ansatt
- ansatte
- muliggjøre
- oppmuntre
- oppmuntrende
- Endless
- ingeniør
- Ingeniørarbeid
- Enter
- Hele
- entry
- lik
- spesielt
- etablerer
- evaluere
- Selv
- stadig økende
- alle
- bevis
- eksempel
- finnes
- eksperter
- utløp
- utvendig
- faktor
- Mislyktes
- berømt
- langt
- Noen få
- Først
- Til
- Tving
- funnet
- Gratis
- hyppig
- fra
- funksjon
- funksjonalitet
- general
- generert
- generatorer
- få
- gitt
- Go
- god
- flott
- Økende
- gjettet
- veiledning
- retningslinjer
- hackere
- Halvparten
- håndtere
- Hard
- maskinvare
- maskinvareenheter
- skade
- hashing
- Ha
- å ha
- he
- hode
- hjelpe
- skjult
- hint
- hans
- Hive
- time
- Hvordan
- Men
- HTML
- HTTPS
- Mennesker
- Tanken
- if
- pålegge
- forbedre
- in
- I andre
- inkludere
- Inkludert
- økende
- informasjon
- innledende
- installerte
- i stedet
- Institute
- inn
- introdusere
- Introduserer
- involvere
- IP
- IP-adresse
- IT
- DET ER
- selv
- jpg
- bare
- nøkkel
- nøkkelfaktor
- Siste
- seinere
- lag
- føre
- ledende
- minst
- Lengde
- Life
- i likhet med
- Sannsynlig
- linjer
- lite
- plassering
- lockout
- Logg inn
- Lang
- lang tid
- langsiktig
- lenger
- lavere
- GJØR AT
- Ledere
- mange
- matchende
- Saken
- max bredde
- maksimal
- Kan..
- MD5
- meldinger
- MFA
- Microsoft
- kunne
- millioner
- tankene
- minimum
- minutter
- Minske
- Mobil
- håndholdte enheter
- mer
- mest
- mye
- flere
- må
- nasjonal
- Naturlig
- Ny
- nst
- Nei.
- varsling
- nå
- Antall
- tall
- mange
- foreldet
- anledninger
- of
- offline
- Gammel
- on
- gang
- ONE
- på nett
- bare
- åpen
- Alternativ
- alternativer
- or
- rekkefølge
- organisasjoner
- Annen
- vår
- ut
- egen
- side
- del
- spesielt
- Passord
- reset passord
- passord
- Past
- Tålmodighet
- Ansatte
- folks
- perioden
- person
- personlig
- plukke
- plato
- Platon Data Intelligence
- PlatonData
- i tillegg til
- Politikk
- politikk
- muligheter
- mulig
- tidligere
- problemer
- prosess
- prosjekt
- beskytte
- gi
- publisert
- sette
- spørsmål
- avhørt
- spørsmål
- tilfeldig generert
- rask
- Sats
- begrunnelsen
- nå
- klar
- virkelig
- grunnen til
- motta
- nylig
- anbefaler
- utvinning
- regelmessig
- regelmessig
- avhengige
- forblir
- husker
- påkrevd
- forskning
- respondentene
- restriksjoner
- resultere
- gjenbruk
- avsløre
- regler
- Kjør
- s
- samme
- sier
- sier
- Søk
- sikre
- sikret
- sikkert
- sikring
- sikkerhet
- synes
- dømme
- separering
- sett
- sett
- flere
- Hylle
- Kort
- bør
- vist
- Skilt
- lignende
- Enkelt
- enkelt
- SIX
- liten
- SMS
- So
- selskap
- Sosialteknikk
- Soft
- noen
- mellomrom
- spesiell
- stå
- Standard
- standarder
- Still
- stjålet
- gate
- styrke
- sterk
- sterkere
- studier
- vellykket
- slik
- Super
- støtte
- utsatt
- Ta
- tar
- tech
- tech giganter
- Teknologi
- Testing
- enn
- Det
- De
- deres
- Dem
- seg
- deretter
- Der.
- Disse
- de
- ting
- tror
- denne
- trusler
- tre
- Gjennom
- tid
- tips
- til
- i dag
- verktøy
- verktøy
- mot
- tradisjonelle
- trent
- sant
- snur
- typisk
- oss
- unik
- låse opp
- unødvendig
- uholdbar
- oppdatert
- brukervennlighet
- bruke
- brukt
- Bruker
- brukervennlig
- Brukere
- ved hjelp av
- Verdifull
- verdi
- variasjon
- ulike
- verifisere
- versjon
- Se
- Wall
- Wall Street
- var
- måter
- we
- web
- Webapplikasjon
- VI VIL
- Hva
- når
- når som helst
- om
- hvilken
- mens
- hele
- hvorfor
- bred
- bredde
- vil
- vinduer
- visdom
- med
- ord
- Verdens
- ville
- WSJ
- år
- ennå
- Du
- Din
- youtube
- zephyrnet