Nu torturați oamenii cu reguli de compunere a parolelor extrem de complexe, ci puneți pe lista neagră parolele utilizate în mod obișnuit, plus alte modalități de a ajuta oamenii să se ajute pe ei înșiși - și întreaga organizație
Când inginerul Bill Burr de la Institutul Național de Standarde și Tehnologie al SUA (NIST) a scris în 2003 ceea ce avea să devină în curând standardul de aur pentru securitatea parolei, el a sfătuit oamenii și organizațiile să își protejeze conturile inventând linii lungi și „haotice” de caractere, numere și semne – și să le schimbe în mod regulat.
Paisprezece ani mai târziu, Burr a recunoscut că a regretat sfaturile sale din trecut. „Doar că îi dă pe oameni banane și ei nu aleg parole bune, indiferent ce faci”, el a spus Wall Street Journal.
Sau, ca celebrul Xkcd comic a pus-o: „Prin 20 de ani de efort, i-am instruit cu succes pe toată lumea să folosească parole greu de reținut de oameni, dar ușor de ghicit pentru computere.”
În aceste zile, o persoană obișnuită are până la 100 de parole de reținut, cu numărul crescând rapid în ultimii ani (deși, de fapt, unii oameni a folosit aproximativ 50 de parole, inclusiv o serie de coduri offline, chiar și cu ani în urmă și unii experți în securitate au subliniat că astfel de obiceiuri și politici de parole sunt nesustenabile.)
Într-adevăr, studiile au descoperit că oamenii își amintesc de obicei doar până la cinci parole și luați comenzi rapide prin creare parole ușor de ghicit și apoi reciclați-le în diferite conturi online. Unii pot înlocui literele cu cifre și caractere speciale (de exemplu, „parolă” se transformă în „P4??WØrd”), dar acest lucru face totuși o parolă ușor de spart.
În ultimii ani, organizații de top, cum ar fi Open Web Application Security Project (OWASP) și, desigur, NIST însuși au și-au schimbat politicile și sfaturile către o abordare mai prietenoasă cu utilizatorul – toate în același timp sporind securitatea parolelor.
În același timp, giganți ai tehnologiei precum Microsoft și Google îi încurajează pe toată lumea să renunțe la parole și merge fără parolă in schimb. Cu toate acestea, dacă afacerea dvs. mică sau mijlocie nu este încă pregătită să se despartă de parole, iată câteva îndrumări care vă vor ajuta pe dvs. și angajații dvs. în 2023.
Nu mai impuneți reguli de compunere a parolelor inutil de complexe
Orice reguli de compunere extrem de complexe (cum ar fi solicitarea utilizatorilor să includă atât caractere majuscule, cât și litere mici, cel puțin un număr și un caracter special) nu mai sunt obligatorii. Acest lucru se datorează faptului că astfel de reguli rareori încurajează utilizatorii să stabilească parole mai puternice, îndemnându-i în schimb să acționeze previzibil și să vină cu parole care sunt o „dublă șansă” – sunt atât slabe, cât și greu de reținut.
Comutați la fraze de acces
În loc de parole mai scurte, dar dificile, mergeți după fraze de acces. Sunt mai lungi și mai complexe, dar totuși ușor de reținut. De exemplu, poate fi o propoziție întreagă care ți-a rămas în cap din anumite motive, presărată cu majuscule, caractere speciale și emoji. Deși nu este foarte complex, va dura totuși o mulțime de ani pentru ca instrumentele automate să-l spargă.
Cu câțiva ani în urmă, lungimea minimă pentru o parolă bună era de opt caractere, care constau din litere mici și mari, semne și numere. Astăzi, instrumentele automate de spargere a parolelor pot ghici o astfel de parolă în câteva minute, mai ales dacă este securizată cu funcția de hashing MD5.
Acest lucru este în conformitate cu teste efectuate de Hive Systems și publicată în aprilie 2023. Dimpotrivă, o parolă simplă care conține doar caractere mici și majuscule, dar are 18 caractere durează mult, mult mai mult să se spargă.
Țintește-te la o lungime minimă de 12 caractere – cu cât mai multe, cu atât mai bine!
Orientările NIST recunosc lungimea ca factor cheie în puterea parolei și introduc o lungime minimă necesară de 12 caractere, ajungând până la maximum 64 de caractere după combinarea mai multor spații. Toate lucrurile fiind egale, cu atât mai mult, cu atât mai bine.
Activați o varietate de caractere
Când își setează parolele, utilizatorii ar trebui să aibă libertatea de a alege dintre toate caracterele ASCII și UNICODE imprimabile, inclusiv emoji-urile. De asemenea, ar trebui să aibă opțiunea de a folosi spații, care sunt o parte naturală a frazelor de acces – o alternativă adesea recomandată la parolele tradiționale.
Limitați reutilizarea parolelor
Este înțelepciunea convențională până acum că oamenii nu ar trebui să-și refolosească parolele în diferite conturi online, deoarece o încălcare a unui cont poate duce cu ușurință la compromisul altor conturi.
Cu toate acestea, multe obiceiuri mor greu și aproximativ jumătate dintre respondenți într-un studiu din 2019 al Institutului Ponemon au recunoscut că au reutilizat în medie cinci parole în conturile lor de afaceri și/sau personale.
Nu setați o dată până la „utilizare” pentru parole
NIST recomandă, de asemenea, să nu se solicite modificări regulate ale parolei, cu excepția cazului în care sunt solicitate de către utilizator sau dacă există dovezi ale unui compromis. Motivul este că utilizatorii au doar atât de multă răbdare pentru a trebui să se gândească în mod constant la noi parole destul de puternice. Drept urmare, a-i face să facă acest lucru la intervale regulate poate face mai mult rău decât bine.
Când Microsoft a anunțat renunțarea politicilor de expirare a parolei în urmă cu trei ani, a pus sub semnul întrebării ideea de expirare a parolei.
„Dacă este un dat că o parolă este probabil să fie furată, câte zile este o perioadă acceptabilă de timp pentru a permite hoțului să folosească acea parolă furată? Valoarea implicită Windows este de 42 de zile. Nu vi se pare o perioadă ridicol de lungă? Ei bine, este, și totuși, valoarea noastră de bază actuală spune 60 de zile – și obișnuia să spună 90 de zile – pentru că forțarea expirării frecvente introduce propriile probleme.” citește blogul Microsoft.
Rețineți că acesta este doar un sfat general. Dacă securizați o aplicație crucială pentru afacerea dvs. și atractivă pentru atacatori, vă puteți forța totuși angajații să schimbe parolele periodic.
Renunțați la indicii și autentificarea bazată pe cunoștințe
Sfaturile pentru parole și întrebările de verificare bazate pe cunoștințe sunt, de asemenea, învechite. Deși acestea ar putea ajuta, de fapt, utilizatorii în căutarea parolelor uitate, ele pot fi, de asemenea, de mare valoare pentru atacatori. Colegul nostru Jake Moore a arătat în mai multe rânduri cum hackerii pot abuza de pagina „parolă uitată” pentru a pătrunde în conturile altor persoane, de exemplu pe PayPal și Instagram.
De exemplu, o întrebare precum „numele primului tău animal de companie” poate fi ghicită cu ușurință cu puțină cercetare sau inginerie socială și nu există cu adevărat un număr nesfârșit de posibilități prin care trebuie să treacă un instrument automat.
Lista neagră a parolelor comune
În loc să vă bazați pe regulile de compunere utilizate anterior, verificați noile parole cu o „listă neagră” a cel mai frecvent utilizat și/sau parole compromise anterior și evaluează încercările de potrivire ca fiind inacceptabile.
În 2019, Microsoft a scanat conturile utilizatorilor săi comparând numele de utilizator și parolele cu o bază de date de peste trei miliarde de seturi de acreditări scurse. A găsit 44 de milioane de utilizatori cu parole compromise și a forțat resetarea parolei.
Oferiți asistență pentru managerii de parole și instrumente
Asigurați-vă că funcționalitatea „copiere și lipire”, instrumentele de parole ale browserului și managerii externi de parole au permisiunea de a face față problemei creării și păstrării parolelor utilizatorilor.
De asemenea, utilizatorii ar trebui să aleagă fie să vizualizeze temporar întreaga parolă mascată, fie ultimul caracter introdus al parolei. Conform ghidurilor OWASP, ideea este de a îmbunătăți gradul de utilizare al introducerii acreditărilor, în special în ceea ce privește utilizarea parolelor mai lungi, a frazelor de acces și a managerilor de parole.
Setați o perioadă scurtă de valabilitate pentru parolele inițiale
Când noul dvs. angajat își înființează un cont, parola inițială generată de sistem sau codul de activare ar trebui să fie generat în mod sigur aleatoriu, lungime de cel puțin șase caractere și poate conține litere și cifre.
Asigurați-vă că expiră după o perioadă scurtă de timp și că nu poate deveni parola adevărată și pe termen lung.
Notificați utilizatorii despre modificările parolei
Când utilizatorii își schimbă parolele, ar trebui să li se ceară să introducă mai întâi vechea parolă și, în mod ideal, să activeze autentificarea cu doi factori (2FA). Odată terminat, ar trebui să primească o notificare.
Fiți atenți la procesul de recuperare a parolei
Nu numai că procesul de recuperare nu ar trebui să dezvăluie parola curentă, dar același lucru se aplică și informațiilor despre dacă contul există sau nu. Cu alte cuvinte, nu le oferi atacatorilor nicio informație (inutilă)!
Utilizați CAPTCHA și alte comenzi anti-automatizare
Utilizați controale anti-automatizare pentru a atenua testele de acreditări încălcate, forța brută și atacurile de blocare a contului. Astfel de controale includ blocarea celor mai frecvente parole încălcate, blocări soft, limitarea ratei, CAPTCHA, întârzieri tot mai mari între încercări, restricții privind adresele IP sau restricții bazate pe riscuri, cum ar fi locația, prima conectare pe un dispozitiv, încercările recente de deblocare a contului. , sau asemănător.
Conform standardelor actuale OWASP, ar trebui să existe cel mult 100 de încercări eșuate pe oră pe un singur cont.
Nu te baza afară pe parole
Indiferent de cât de puternică și de unică este o parolă, aceasta rămâne o singură barieră care separă un atacator de datele dumneavoastră valoroase. Atunci când se urmărește conturi securizate, un strat suplimentar de autentificare ar trebui să fie considerat o necesitate absolută.
De aceea, ar trebui să utilizați autentificarea cu doi factori (2FA) sau cu mai mulți factori (MFA) ori de câte ori este posibil.
Cu toate acestea, nu toate opțiunile 2FA se nasc egale. Mesajele SMS, deși mult mai bune decât nici 2FA, sunt susceptibile la numeroase amenințări. Alternative mai sigure implică utilizarea dispozitivelor hardware dedicate și a generatoarelor de parole unice (OTP) bazate pe software, cum ar fi aplicațiile securizate instalate pe dispozitivele mobile.
Notă: Acest articol este o versiune actualizată și extinsă a acestui articol pe care l-am publicat în 2017: Gata cu cerințele inutile pentru parole
Poate verifica Generatorul de parole ESET?
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoAiStream. Web3 Data Intelligence. Cunoștințe amplificate. Accesați Aici.
- Mintând viitorul cu Adryenn Ashley. Accesați Aici.
- Cumpărați și vindeți acțiuni în companii PRE-IPO cu PREIPO®. Accesați Aici.
- Sursa: https://www.welivesecurity.com/2023/05/04/creating-strong-user-friendly-passwords-tips-business-password-policy/
- :are
- :este
- :nu
- $UP
- 1
- 100
- 12
- 20
- ani 20
- 2017
- 2019
- 2023
- 2FA
- 50
- 7
- 9
- a
- Despre Noi
- Absolut
- abuz
- acceptabil
- Conform
- Cont
- Conturi
- recunoaște
- peste
- act
- Activarea
- de fapt
- Suplimentar
- adresa
- admise
- sfat
- După
- împotriva
- Evul
- în urmă
- Urmarind
- TOATE
- permite
- de asemenea
- alternativă
- alternative
- Cu toate ca
- întru totul
- an
- și
- a anunțat
- Orice
- aplicaţia
- aplicație
- securitatea aplicațiilor
- abordare
- Apps
- Aprilie
- SUNT
- în jurul
- articol
- AS
- At
- Atacuri
- Încercările
- atractiv
- Autentificare
- Automata
- in medie
- barieră
- De bază
- BE
- deoarece
- deveni
- fost
- fiind
- Mai bine
- între
- Proiect de lege
- Miliard
- Pic
- blocarea
- Blog
- născut
- atât
- încălcarea
- Pauză
- browser-ul
- brute force
- afaceri
- dar
- by
- CAN
- nu poti
- atent
- caz
- cazuri
- Schimbare
- Modificări
- caracter
- caractere
- verifica
- Alege
- cod
- coleg
- combinând
- cum
- Comun
- în mod obișnuit
- compararea
- complex
- compromis
- compromis
- Calculatoare
- luate în considerare
- mereu
- conţine
- conține
- continua
- contrar
- controale
- convențional
- Curs
- crăpa
- Crearea
- CREDENTIALĂ
- scrisori de acreditare
- crucial
- Curent
- de date
- Baza de date
- Data
- Zi
- dedicat
- Mod implicit
- întârzieri
- dispozitiv
- Dispozitive
- .
- diferit
- dificil
- Afişa
- do
- Nu
- făcut
- Dont
- jos
- scăparea
- e
- cu ușurință
- uşor
- efort
- oricare
- Angajat
- de angajați
- permite
- încuraja
- Fii încurajator.
- Fără sfârşit
- inginer
- Inginerie
- Intrați
- Întreg
- intrare
- egal
- mai ales
- stabilește
- evalua
- Chiar
- tot mai mare
- toată lumea
- dovadă
- exemplu
- există
- experți
- expirare
- extern
- factor
- A eșuat
- celebru
- departe
- puțini
- First
- Pentru
- Forţarea
- găsit
- Gratuit
- frecvent
- din
- funcţie
- funcționalitate
- General
- generată
- Generatoare
- obtinerea
- dat
- Go
- bine
- mare
- În creştere
- ghicit
- îndrumare
- orientări
- hackeri
- Jumătate
- manipula
- Greu
- Piese metalice
- dispozitive hardware
- rău
- hashing
- Avea
- având în
- he
- cap
- ajutor
- Ascuns
- sugestii
- lui
- Stup
- oră
- Cum
- Totuși
- HTML
- HTTPS
- Oamenii
- idee
- if
- impozant
- îmbunătăţi
- in
- În altele
- include
- Inclusiv
- crescând
- informații
- inițială
- instalat
- in schimb
- Institut
- în
- introduce
- Prezintă
- implica
- IP
- Adresa IP
- IT
- ESTE
- în sine
- jpg
- doar
- Cheie
- factorul cheie
- Nume
- mai tarziu
- strat
- conduce
- conducere
- cel mai puțin
- Lungime
- Viaţă
- ca
- Probabil
- linii
- mic
- locaţie
- deconectare
- Logare
- Lung
- perioadă lungă de timp
- pe termen lung
- mai lung
- LOWER
- FACE
- Manageri
- multe
- potrivire
- materie
- max-width
- maxim
- Mai..
- MD5
- mesaje
- AMF
- Microsoft
- ar putea
- milion
- minte
- minim
- minute
- diminua
- Mobil
- dispozitive mobile
- mai mult
- cele mai multe
- mult
- multiplu
- trebuie sa
- național
- Natural
- Nou
- nist
- Nu.
- notificare
- acum
- număr
- numere
- numeroși
- învechit
- ocazii
- of
- Offline
- Vechi
- on
- dată
- ONE
- on-line
- afară
- deschide
- Opțiune
- Opţiuni
- or
- comandă
- organizații
- Altele
- al nostru
- afară
- propriu
- pagină
- parte
- în special
- Parolă
- resetare parola
- Parolele
- trecut
- Răbdare
- oameni
- oamenii lui
- perioadă
- persoană
- personal
- alege
- Plato
- Informații despre date Platon
- PlatoData
- la care se adauga
- Politicile
- Politica
- posibilităţile de
- posibil
- în prealabil
- probleme
- proces
- proiect
- proteja
- furniza
- publicat
- pune
- întrebare
- Chestionat
- Întrebări
- generat aleatoriu
- rapid
- rată
- Argumentare
- ajungând
- gata
- într-adevăr
- motiv
- a primi
- recent
- recomandă
- recuperare
- regulat
- regulat
- se bazează
- rămășițe
- minte
- necesar
- cercetare
- respondenți
- restricții
- rezultat
- reutilizarea
- dezvălui
- norme
- Alerga
- s
- acelaşi
- Spune
- spune
- Caută
- sigur
- securizat
- în siguranță,
- asigurarea
- securitate
- părea
- propoziție
- separând
- set
- Seturi
- câteva
- Raft
- Pantaloni scurți
- să
- indicat
- Semne
- asemănător
- simplu
- singur
- SIX
- mic
- SMS-uri
- So
- Social
- Inginerie sociala
- Moale
- unele
- spații
- special
- stand
- standard
- standarde
- Încă
- furate
- stradă
- rezistenţă
- puternic
- puternic
- studiu
- Reușit
- astfel de
- Super
- a sustine
- susceptibil
- Lua
- ia
- tech
- gigantii tehnologici
- Tehnologia
- Testarea
- decât
- acea
- lor
- Lor
- se
- apoi
- Acolo.
- Acestea
- ei
- lucruri
- crede
- acest
- amenințări
- trei
- Prin
- timp
- Sfaturi
- la
- astăzi
- instrument
- Unelte
- față de
- tradiţional
- dresat
- adevărat
- se transformă
- tipic
- ne
- unic
- deschide
- inutil
- nesustenabil
- actualizat
- uzabilitate
- utilizare
- utilizat
- Utilizator
- ușor de utilizat
- utilizatorii
- folosind
- Valoros
- valoare
- varietate
- diverse
- verificarea
- versiune
- Vizualizare
- Perete
- Wall Street
- a fost
- modalități de
- we
- web
- aplicatie web
- BINE
- Ce
- cand
- oricând
- dacă
- care
- în timp ce
- întreg
- de ce
- larg
- lățime
- voi
- ferestre
- înţelepciune
- cu
- cuvinte
- lume
- ar
- WSJ
- ani
- încă
- Tu
- Ta
- youtube
- zephyrnet