Kiedy inżynier Bill Burr z amerykańskiego Narodowego Instytutu Standardów i Technologii (NIST) napisał w 2003 roku, co wkrótce stanie się światowym złoty standard bezpieczeństwa haseł, doradzał ludziom i organizacjom, aby chronili swoje konta, wymyślając długie i „chaotyczne” ciągi znaków, cyfr i znaków – i regularnie je zmieniali.
Czternaście lat później Burr przyznał, że żałuje swojej wcześniejszej rady. „To po prostu doprowadza ludzi do szału i nie wybierają dobrych haseł bez względu na to, co robisz” — powiedział powiedział Wall Street Journal.
Albo jak słynny komiks xkcd to umieścił: „W ciągu 20 lat pracy z powodzeniem wyszkoliliśmy wszystkich w używaniu haseł trudnych do zapamiętania dla ludzi, ale łatwych do odgadnięcia przez komputery”.
W dzisiejszych czasach przeciętny człowiek ma do 100 haseł do zapamiętania, a liczba ta szybko rosła w ostatnich latach (chociaż w rzeczywistości niektóre osoby użył około 50 haseł, w tym szereg kodów offline, nawet lata temu, a niektórzy eksperci ds. bezpieczeństwa zwracali uwagę, że takie nawyki i zasady związane z hasłami są nie do utrzymania).
Rzeczywiście, badania wykazały, że ludzie zazwyczaj pamiętają tylko do pięciu haseł i idź na skróty, tworząc łatwe do odgadnięcia hasła , a następnie przetwarzać je na różnych kontach internetowych. Niektóre mogą faktycznie zastąpić litery cyframi i znakami specjalnymi (np. „hasło” zamienia się w „P4??WØrd”), ale to nadal sprawia, że hasło jest łatwe do złamania.
W ostatnich latach wiodące organizacje, takie jak The Open Web Application Security Project (OWASP) i oczywiście sam NIST zmienili swoje zasady i porady w kierunku bardziej przyjaznego dla użytkownika podejścia – a wszystko to przy jednoczesnym zwiększeniu bezpieczeństwa haseł.
W tym samym czasie giganci technologiczni, tacy jak Microsoft i Google zachęcają wszystkich do całkowitego zrezygnowania z haseł i przejść bez hasła Zamiast. Jeśli jednak Twoja mała lub średnia firma nie jest jeszcze gotowa na rezygnację z haseł, oto kilka wskazówek, które zapewnią Tobie i Twoim pracownikom dobrą pozycję w 2023 roku.
Przestań narzucać niepotrzebnie skomplikowane zasady tworzenia haseł
Wszelkie niezwykle złożone zasady dotyczące kompozycji (takie jak wymaganie od użytkowników uwzględnienia zarówno wielkich, jak i małych liter, co najmniej jednej cyfry i znaku specjalnego) nie są już koniecznością. Dzieje się tak dlatego, że takie zasady rzadko zachęcają użytkowników do ustawiania silniejszych haseł, zamiast tego skłaniają ich do przewidywalnego działania i wymyślania haseł, które są „podwójnym ciosem” – są zarówno słabe, jak i trudne do zapamiętania.
Przełącz na hasła
Zamiast krótszych, ale trudnych haseł, idź na hasła. Są dłuższe i bardziej złożone, ale nadal łatwe do zapamiętania. Na przykład może to być całe zdanie, które z jakiegoś powodu utkwiło Ci w głowie, posypane wielkimi literami, znakami specjalnymi i emotikonami. Chociaż nie jest to bardzo skomplikowane, złamanie go zautomatyzowanym narzędziom zajmie wieki.
Kilka lat temu minimalna długość dobrego hasła wynosiła osiem znaków, na które składały się małe i duże litery, znaki i cyfry. Obecnie zautomatyzowane narzędzia do łamania haseł mogą odgadnąć takie hasło w ciągu kilku minut, zwłaszcza jeśli jest ono zabezpieczone funkcją mieszania MD5.
Jest to zgodne z testy przeprowadzone przez Hive Systems i opublikowane w kwietniu 2023 r. Wręcz przeciwnie, proste hasło, które zawiera tylko małe i duże litery, ale ma 18 znaków, wymaga znacznie więcej czasu na złamanie.
Celuj w minimalną długość 12 znaków – im więcej, tym lepiej!
Wytyczne NIST uznają długość za kluczowy czynnik siły hasła i wprowadzają minimalną wymaganą długość 12 znaków, sięgającą maksymalnie 64 znaków po połączeniu wielu spacji. Wszystkie rzeczy są równe, im więcej, tym weselej.
Włącz różne postacie
Podczas ustawiania hasła użytkownicy powinni mieć swobodę wyboru spośród wszystkich możliwych do wydrukowania znaków ASCII i UNICODE, w tym emotikonów. Powinny również mieć możliwość korzystania ze spacji, które są naturalną częścią haseł – często polecaną alternatywą dla tradycyjnych haseł.
Ogranicz ponowne użycie hasła
To już powszechna mądrość ludzie nie powinni ponownie używać swoich haseł na różnych kontach internetowych, ponieważ naruszenie jednego konta może łatwo doprowadzić do naruszenia bezpieczeństwa innych kont.
Jednak wiele nawyków trudno umrzeć, a około połowa respondentów w badaniu Ponemon Institute z 2019 r przyznało się do ponownego użycia średnio pięciu haseł na swoich kontach firmowych i/lub osobistych.
Nie ustawiaj daty ważności haseł
NIST odradza również wymaganie regularnych zmian hasła, chyba że zażąda tego użytkownik lub jeśli nie ma dowodów na kompromis. Powodem jest to, że użytkownicy mają tylko tyle cierpliwości, że muszą ciągle wymyślać nowe, dość silne hasła. W rezultacie zmuszanie ich do robienia tego w regularnych odstępach czasu może wyrządzić więcej szkody niż pożytku.
Kiedy trzy lata temu Microsoft ogłosił rezygnację z zasad wygasania haseł, zakwestionował całą ideę wygaśnięcia hasła.
„Jeśli wiadomo, że hasło może zostać skradzione, ile dni to dopuszczalny czas, aby złodziej mógł nadal używać tego skradzionego hasła? Wartość domyślna systemu Windows to 42 dni. Czy to nie wydaje się śmiesznie długi czas? Cóż, tak jest, a jednak nasza obecna linia bazowa mówi 60 dni – a kiedyś mówiono 90 dni – ponieważ wymuszanie częstego wygaśnięcia wprowadza własne problemy ” czyta blog Microsoftu.
Pamiętaj, że to tylko ogólna rada. Jeśli zabezpieczasz aplikację, która jest kluczowa dla Twojej firmy i atrakcyjna dla atakujących, nadal możesz zmusić swoich pracowników do okresowej zmiany haseł.
Porzuć wskazówki i uwierzytelnianie oparte na wiedzy
Podpowiedzi do hasła i pytania weryfikacyjne oparte na wiedzy również są przestarzałe. Chociaż mogą one w rzeczywistości pomóc użytkownikom w wyszukiwaniu zapomnianych haseł, mogą być również bardzo cenne dla atakujących. Nasz kolega Jake Moore wielokrotnie pokazał, jak hakerzy mogą nadużywać strony „zapomniane hasło” w celu włamania się na konta innych osób, np. PayPal i Instagram.
Na przykład pytanie takie jak „imię twojego pierwszego zwierzaka” można łatwo odgadnąć przy odrobinie badań lub inżynierii społecznej, a tak naprawdę nie ma nieskończonej liczby możliwości, przez które musi przejść zautomatyzowane narzędzie.
Czarna lista popularnych haseł
Zamiast polegać na wcześniej stosowanych regułach składu, sprawdź nowe hasła na „czarnej liście” systemu najczęściej używane i/lub wcześniej złamanych haseł i oceniać próby dopasowania jako niedopuszczalne.
W 2019, Microsoft przeskanowany konta użytkowników porównuje nazwy użytkowników i hasła z bazą danych zawierającą ponad trzy miliardy zestawów danych uwierzytelniających, które wyciekły. Znalazł 44 miliony użytkowników ze złamanymi hasłami i wymusił zresetowanie hasła.
Zapewnij wsparcie dla menedżerów haseł i narzędzi
Upewnij się, że funkcja „kopiuj i wklej”, narzędzia przeglądarki do tworzenia haseł oraz zewnętrzne menedżery haseł mogą poradzić sobie z kłopotami związanymi z tworzeniem i zabezpieczaniem haseł użytkowników.
Użytkownicy powinni również zdecydować się na tymczasowe wyświetlanie całego hasła maskowanego lub ostatniego wpisanego znaku hasła. Zgodnie z wytycznymi OWASP, chodzi o to, aby poprawić użyteczność wprowadzania poświadczeń, szczególnie w zakresie używania dłuższych haseł, haseł i menedżerów haseł.
Ustaw krótki okres trwałości dla haseł początkowych
Gdy nowy pracownik zakłada konto, wygenerowane przez system hasło początkowe lub kod aktywacyjny powinny być bezpiecznie generowane losowo, składać się z co najmniej sześciu znaków i mogą zawierać litery i cyfry.
Upewnij się, że wygasa po krótkim czasie i nie może stać się prawdziwym i długoterminowym hasłem.
Powiadamiaj użytkowników o zmianach hasła
Gdy użytkownicy zmieniają swoje hasła, powinni najpierw zostać poproszeni o wprowadzenie starego hasła, a najlepiej włączyć uwierzytelnianie dwuskładnikowe (2FA). Po zakończeniu powinni otrzymać powiadomienie.
Uważaj na proces odzyskiwania hasła
Proces odzyskiwania nie tylko nie powinien ujawniać aktualnego hasła, ale to samo dotyczy informacji o tym, czy konto faktycznie istnieje, czy nie. Innymi słowy, nie podawaj atakującym żadnych (niepotrzebnych) informacji!
Używaj CAPTCHA i innych elementów sterujących zapobiegających automatyzacji
Korzystaj z mechanizmów antyautomatycznych, aby zapobiegać naruszonym testom poświadczeń, atakom brutalnej siły i blokadzie konta. Takie kontrole obejmują blokowanie najczęściej łamanych haseł, miękkie blokady, ograniczanie szybkości, CAPTCHA, coraz większe opóźnienia między próbami, ograniczenia adresu IP lub ograniczenia oparte na ryzyku, takie jak lokalizacja, pierwsze logowanie na urządzeniu, ostatnie próby odblokowania konta , lub podobne.
Zgodnie z obowiązującymi standardami OWASP na jednym koncie powinno być maksymalnie 100 nieudanych prób na godzinę.
Nie polegaj tylko na hasłach
Niezależnie od tego, jak silne i unikalne jest hasło, pozostaje ono pojedynczą barierą oddzielającą atakującego od Twoich cennych danych. Dążąc do bezpiecznych kont, dodatkowa warstwa uwierzytelniania powinna być uważana za absolutną konieczność.
Dlatego zawsze, gdy jest to możliwe, należy używać uwierzytelniania dwuskładnikowego (2FA) lub wieloskładnikowego (MFA).
Jednak nie wszystkie opcje 2FA są sobie równe. Wiadomości SMS, choć znacznie lepsze niż brak 2FA, są podatne na liczne zagrożenia. Bardziej bezpieczne alternatywy obejmują korzystanie z dedykowanych urządzeń sprzętowych i opartych na oprogramowaniu generatorów haseł jednorazowych (OTP), takich jak bezpieczne aplikacje instalowane na urządzeniach mobilnych.
Uwaga: ten artykuł jest zaktualizowaną i rozszerzoną wersją tego artykułu, który opublikowaliśmy w 2017 roku: Nigdy więcej bezsensownych wymagań dotyczących hasła
Być może sprawdź Generator haseł firmy ESET?
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Motoryzacja / pojazdy elektryczne, Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- ChartPrime. Podnieś poziom swojej gry handlowej dzięki ChartPrime. Dostęp tutaj.
- Przesunięcia bloków. Modernizacja własności offsetu środowiskowego. Dostęp tutaj.
- Źródło: https://www.welivesecurity.com/2023/05/04/creating-strong-user-friendly-passwords-tips-business-password-policy/
- :ma
- :Jest
- :nie
- $W GÓRĘ
- 1
- 100
- 12
- 20
- 20 roku
- 2017
- 2019
- 2023
- 2FA
- 50
- 60
- 7
- a
- O nas
- bezwzględny
- nadużycie
- do przyjęcia
- Stosownie
- Konto
- Konta
- uznać
- w poprzek
- działać
- Aktywacja
- faktycznie
- Dodatkowy
- adres
- Przyznał
- Rada
- Po
- przed
- Ages
- temu
- Cel
- Wszystkie kategorie
- dopuszczać
- również
- alternatywny
- alternatywy
- Chociaż
- całkowicie
- an
- i
- ogłosił
- każdy
- Aplikacja
- Zastosowanie
- bezpieczeństwo aplikacji
- podejście
- mobilne i webowe
- kwiecień
- SĄ
- na około
- artykuł
- AS
- At
- Ataki
- Próby
- atrakcyjny
- Uwierzytelnianie
- zautomatyzowane
- średni
- bariera
- Baseline
- BE
- bo
- stają się
- być
- jest
- Ulepsz Swój
- pomiędzy
- Rachunek
- Miliard
- Bit
- bloking
- Blog
- urodzony
- obie
- naruszenie
- przerwa
- przeglądarka
- brutalna siła
- biznes
- ale
- by
- CAN
- nie może
- ostrożny
- walizka
- Etui
- zmiana
- Zmiany
- charakter
- znaków
- ZOBACZ
- Dodaj
- kod
- Kody
- kolega
- łączenie
- jak
- wspólny
- powszechnie
- porównanie
- kompleks
- skład
- kompromis
- Zagrożone
- komputery
- za
- stale
- zawierać
- zawiera
- kontynuować
- przeciwnie
- kontroli
- Konwencjonalny
- Kurs
- pęknięcie
- Tworzenie
- POŚWIADCZENIE
- Listy uwierzytelniające
- istotny
- Aktualny
- dane
- Baza danych
- Data
- Dni
- dedykowane
- Domyślnie
- opóźnienia
- urządzenie
- urządzenia
- Umierać
- różne
- trudny
- Wyświetlacz
- do
- Nie
- zrobić
- nie
- na dół
- dyski
- Rzut
- e
- z łatwością
- łatwo
- wysiłek
- bądź
- Pracownik
- pracowników
- umożliwiać
- zachęcać
- zachęcający
- Nieskończony
- inżynier
- Inżynieria
- Wchodzę
- Cały
- wejście
- równy
- szczególnie
- ustanawia
- oceniać
- Parzyste
- stale rosnący
- wszyscy
- dowód
- przykład
- istnieje
- eksperci
- wygaśnięcie
- zewnętrzny
- fakt
- czynnik
- Failed
- sławny
- daleko
- kilka
- i terminów, a
- W razie zamówieenia projektu
- wytrzymałość
- znaleziono
- Darmowy
- częsty
- od
- funkcjonować
- Funkcjonalność
- Ogólne
- wygenerowane
- generatory
- miejsce
- gigantów
- dany
- Go
- dobry
- wspaniały
- Rozwój
- zgadłem
- poradnictwo
- wytyczne
- hakerzy
- Pół
- uchwyt
- Ciężko
- sprzęt komputerowy
- urządzenia sprzętowe
- zaszkodzić
- mieszanie
- Have
- mający
- he
- głowa
- pomoc
- Ukryty
- wskazówki
- jego
- Ul
- godzina
- W jaki sposób
- Jednak
- HTML
- HTTPS
- Ludzie
- pomysł
- idealnie
- if
- imponujący
- podnieść
- in
- W innych
- zawierać
- Włącznie z
- wzrastający
- Informacja
- początkowy
- zainstalowany
- zamiast
- Instytut
- najnowszych
- przedstawiać
- Przedstawia
- angażować
- IP
- Adres IP
- IT
- JEGO
- samo
- jpg
- właśnie
- Klawisz
- kluczowy czynnik
- Nazwisko
- później
- warstwa
- prowadzić
- prowadzący
- najmniej
- Długość
- życie
- lubić
- Prawdopodobnie
- ograniczenie
- linie
- mało
- lokalizacja
- lokaut
- Zaloguj Się
- długo
- długi czas
- długoterminowy
- dłużej
- niższy
- WYKONUJE
- Zarządzający
- wiele
- dopasowywanie
- Materia
- maksymalny
- Może..
- MD5
- wiadomości
- MSZ
- Microsoft
- może
- milion
- nic
- minimum
- minut
- Złagodzić
- Aplikacje mobilne
- urządzenia mobilne
- jeszcze
- większość
- dużo
- wielokrotność
- musi
- narodowy
- Naturalny
- Nowości
- nist
- Nie
- powiadomienie
- już dziś
- numer
- z naszej
- liczny
- przestarzały
- okazje
- of
- nieaktywny
- Stary
- on
- pewnego razu
- ONE
- Online
- tylko
- koncepcja
- Option
- Opcje
- or
- zamówienie
- organizacji
- Inne
- ludzkiej,
- na zewnątrz
- własny
- strona
- część
- szczególnie
- Hasło
- resetowanie hasła
- hasła
- Przeszłość
- Cierpliwość
- Ludzie
- Ludzie na
- dla
- okres
- osoba
- osobisty
- wybierać
- plato
- Analiza danych Platona
- PlatoDane
- polityka
- polityka
- możliwości
- możliwy
- poprzednio
- problemy
- wygląda tak
- projekt
- chronić
- zapewniać
- opublikowany
- położyć
- pytanie
- Zapytana
- pytania
- generowane losowo
- szybki
- rzadko
- Kurs
- racjonalny
- osiągnięcie
- gotowy
- naprawdę
- powód
- otrzymać
- niedawny
- zaleca
- regeneracja
- regularny
- regularnie
- polegać
- szczątki
- pamiętać
- wymagany
- Badania naukowe
- respondenci
- Ograniczenia
- dalsze
- ponownie
- ujawniać
- reguły
- run
- s
- taki sam
- powiedzieć
- mówią
- Szukaj
- bezpieczne
- zabezpieczone
- bezpiecznie
- zabezpieczenia
- bezpieczeństwo
- wydać się
- wyrok
- rozsadzający
- zestaw
- Zestawy
- kilka
- Półka
- Short
- powinien
- pokazane
- znaki
- podobny
- Prosty
- pojedynczy
- SIX
- mały
- SMS
- So
- Obserwuj Nas
- Inżynieria społeczna
- Miękki
- kilka
- wkrótce
- obowiązuje
- specjalny
- stoisko
- standard
- standardy
- Nadal
- skradziony
- ulica
- jest determinacja.
- silny
- silniejszy
- badania naukowe
- Z powodzeniem
- taki
- Wspaniały
- wsparcie
- pewnie
- wrażliwy
- Brać
- trwa
- tech
- technologiczni giganci
- Technologia
- Testowanie
- niż
- że
- Połączenia
- ich
- Im
- następnie
- Tam.
- Te
- one
- rzeczy
- myśleć
- to
- zagrożenia
- trzy
- Przez
- czas
- wskazówki
- do
- już dziś
- narzędzie
- narzędzia
- w kierunku
- tradycyjny
- przeszkolony
- prawdziwy
- włącza
- zazwyczaj
- nas
- wyjątkowy
- odblokować
- niepotrzebnie
- niepotrzebny
- niezrównoważony
- zaktualizowane
- użyteczność
- posługiwać się
- używany
- Użytkownik
- łatwy w obsłudze
- Użytkownicy
- za pomocą
- Cenny
- wartość
- różnorodność
- różnorodny
- weryfikacja
- wersja
- Zobacz i wysłuchaj
- Ściana
- wall Street
- była
- sposoby
- we
- sieć
- Aplikacja internetowa
- DOBRZE
- Co
- jeśli chodzi o komunikację i motywację
- ilekroć
- czy
- który
- Podczas
- cały
- dlaczego
- szerokość
- będzie
- okna
- mądrość
- w
- słowa
- świat
- by
- napisał
- WSJ
- lat
- jeszcze
- You
- Twój
- youtube
- zefirnet