Когда инженер Билл Бёрр из Национального института стандартов и технологий США (NIST) написал в 2003 году то, что вскоре станет мировым золотой стандарт безопасности паролей, он посоветовал людям и организациям защищать свои учетные записи, изобретая длинные и «хаотичные» строки символов, цифр и знаков, а также регулярно их менять.
Четырнадцать лет спустя Берр признался, что сожалеет о своем прошлом совете. «Это просто сводит людей с ума, и они не выбирают хорошие пароли, что бы вы ни делали», — сказал он. сказал Wall Street Journal.
Или, как известно комикс xkcd поместил это: «За 20 лет усилий мы успешно обучили всех использовать пароли, которые трудно запомнить людям, но легко подобрать компьютерам».
В наши дни средний человек имеет до 100 паролей для запоминания, причем в последние годы их число стремительно растет (хотя на самом деле некоторые люди использовал около 50 паролей, включая ряд автономных кодов, даже несколько лет назад, и некоторые эксперты по безопасности указывали на то, что такие привычки и политики в отношении паролей неустойчивы.)
Действительно, исследования показали, что люди обычно помнят всего до пяти паролей и используйте ярлыки, создавая легко угадываемые пароли , а затем перерабатывать их через различные онлайн-аккаунты. Некоторые могут фактически заменять буквы цифрами и специальными символами (например, «пароль» превращается в «P4??WØrd»), но это все равно делает пароль легко взломанным.
В последние годы ведущие организации, такие как The Open Web Application Security Project (OWASP) и, конечно же, сам NIST, изменили свою политику и советы в сторону более удобного для пользователя подхода — при одновременном повышении безопасности паролей.
В то же время технологические гиганты, такие как Microsoft и Google призывают всех полностью отказаться от паролей и перейти без пароля вместо. Однако, если ваш малый или средний бизнес еще не готов расстаться с паролями, вот несколько рекомендаций, которые помогут вам и вашим сотрудникам в 2023 году.
Прекратите навязывать излишне сложные правила составления паролей
Любые чрезвычайно сложные правила композиции (например, требование, чтобы пользователи включали как прописные, так и строчные буквы, по крайней мере, одну цифру и специальный символ) больше не являются обязательными. Это связано с тем, что такие правила редко поощряют пользователей устанавливать более надежные пароли, побуждая их вместо этого действовать предсказуемо и придумывать пароли, которые наносят двойной удар: они и слабые, и трудные для запоминания.
Переключиться на пароли
Вместо более коротких, но сложных паролей, пойти на парольные фразы. Они длиннее и сложнее, но все же легко запоминаются. Например, это может быть целое предложение, которое почему-то засело у вас в голове, обсыпанное заглавными буквами, специальными символами и смайликами. Хотя это и не суперсложно, автоматизированным инструментам все равно потребуется много времени, чтобы взломать его.
Несколько лет назад минимальная длина хорошего пароля составляла восемь символов, состоящих из строчных и прописных букв, знаков и цифр. Сегодня средства автоматизированного взлома паролей могут угадать такой пароль за считанные минуты, особенно если он защищен функцией хеширования MD5.
Это согласно тесты, проводимые Hive Systems и опубликован в апреле 2023 года. Напротив, простой пароль, который содержит только символы нижнего и верхнего регистра, но имеет длину 18 символов, требует гораздо больше времени для взлома.
Стремитесь к минимальной длине 12 символов — чем больше, тем лучше!
Руководящие принципы NIST признают длину ключевым фактором надежности пароля и вводят минимальную требуемую длину в 12 символов, достигая максимум 64 символов после объединения нескольких пробелов. При прочих равных чем больше, тем лучше.
Включить различные символы
Когда они устанавливают свои пароли, пользователи должны иметь возможность выбирать из всех печатных символов ASCII и UNICODE, включая смайлики. У них также должна быть возможность использовать пробелы, которые являются естественной частью фраз-паролей — часто рекомендуемой альтернативы традиционным паролям.
Ограничьте повторное использование пароля
К настоящему времени общепринято, что люди не должны повторно использовать свои пароли через разные онлайн-аккаунты, потому что взлом одной учетной записи может легко привести к компрометации других учетных записей.
Однако от многих привычек трудно избавиться, и около половины респондентов в исследовании Ponemon Institute 2019 г. признались в повторном использовании в среднем пяти паролей в своих деловых и/или личных учетных записях.
Не устанавливайте дату «использовать до» для паролей
NIST также рекомендует не требовать регулярной смены пароля, если этого не требует пользователь или если нет доказательств компрометации. Причина в том, что у пользователей достаточно терпения, чтобы постоянно думать о новых достаточно надежных паролях. В результате, заставлять их делать это через равные промежутки времени может принести больше вреда, чем пользы.
Когда три года назад Microsoft объявила об отказе от политик истечения срока действия паролей, она поставила под сомнение саму идею истечения срока действия паролей.
«Если предполагается, что пароль может быть украден, сколько дней является приемлемым периодом времени, в течение которого вор может использовать этот украденный пароль? По умолчанию Windows составляет 42 дня. Не кажется ли это смехотворно долгим? Что ж, это так, и все же наш текущий базовый план говорит о 60 днях — а раньше говорил о 90 днях — потому что форсирование частого истечения создает свои проблемы ». читает блог Microsoft.
Имейте в виду, что это всего лишь общий совет. Если вы защищаете приложение, которое имеет решающее значение для вашего бизнеса и привлекательно для злоумышленников, вы все равно можете заставить своих сотрудников периодически менять пароли.
Откажитесь от подсказок и аутентификации на основе знаний
Подсказки для пароля и вопросы, основанные на знаниях, также устарели. Хотя на самом деле они могут помочь пользователям в поиске забытых паролей, они также могут быть очень полезны для злоумышленников. Наш коллега Джейк Мур несколько раз показывал, как хакеры могут злоупотреблять страницей «забытый пароль» для взлома чужих учетных записей, например, на PayPal и Instagram.
Например, такой вопрос, как «имя вашего первого питомца», можно легко угадать с помощью небольшого исследования или социальной инженерии, и на самом деле нет бесконечного количества возможностей, через которые должен пройти автоматизированный инструмент.
Черный список общих паролей
Вместо того, чтобы полагаться на ранее использовавшиеся правила составления, проверяйте новые пароли по «черному списку» наиболее часто используемый и/или ранее скомпрометированные пароли и оценивают попытки сопоставления как неприемлемые.
В 2019 Microsoft отсканировано учетные записи своих пользователей сравнивают имена пользователей и пароли с базой данных, содержащей более трех миллиардов наборов утекших учетных данных. Он обнаружил 44 миллиона пользователей со скомпрометированными паролями и принудительно сбросил пароль.
Обеспечьте поддержку менеджеров паролей и инструментов
Убедитесь, что функции «копировать и вставить», инструменты для работы с паролями в браузере и внешние менеджеры паролей разрешены для решения проблем, связанных с созданием и хранением паролей пользователей.
Пользователям также следует выбрать временный просмотр всего замаскированного пароля или последнего введенного символа пароля. В соответствии с рекомендациями OWASP, идея состоит в том, чтобы повысить удобство ввода учетных данных, особенно в отношении использования более длинных паролей, кодовых фраз и менеджеров паролей.
Установите короткий срок хранения для первоначальных паролей
Когда ваш новый сотрудник создает учетную запись, сгенерированный системой начальный пароль или код активации должен быть безопасно сгенерирован случайным образом, иметь длину не менее шести символов и может содержать буквы и цифры.
Убедитесь, что он истекает через короткий промежуток времени и не может стать истинным и долгосрочным паролем.
Уведомлять пользователей об изменении пароля
Когда пользователи меняют свои пароли, их следует попросить сначала ввести свой старый пароль и, в идеале, включить двухфакторную аутентификацию (2FA). После этого они должны получить уведомление.
Будьте осторожны в процессе восстановления пароля
Мало того, что процесс восстановления не должен раскрывать текущий пароль, то же самое относится и к информации о том, существует ли учетная запись на самом деле или нет. Другими словами, не сообщайте злоумышленникам никакой (ненужной) информации!
Используйте CAPTCHA и другие средства защиты от автоматизации.
Используйте антиавтоматизированные элементы управления, чтобы смягчить последствия взлома учетных данных, атак методом грубой силы и блокировки учетной записи. Такие элементы управления включают блокировку наиболее распространенных взломанных паролей, мягкую блокировку, ограничение скорости, CAPTCHA, постоянно увеличивающиеся задержки между попытками, ограничения IP-адресов или ограничения на основе риска, такие как местоположение, первый вход на устройство, недавние попытки разблокировать учетную запись. , или похожие.
Согласно текущим стандартам OWASP, для одной учетной записи должно быть не более 100 неудачных попыток в час.
Не полагайся только на паролях
Каким бы надежным и уникальным ни был пароль, он остается единым барьером, разделяющим злоумышленника и ваши ценные данные. При стремлении к безопасным учетным записям дополнительный уровень аутентификации следует рассматривать как абсолютную необходимость.
Вот почему вы должны использовать двухфакторную (2FA) или многофакторную аутентификацию (MFA), когда это возможно.
Однако не все варианты 2FA рождаются одинаковыми. SMS-сообщения, хотя и намного лучше, чем полное отсутствие 2FA, подвержены многочисленным угрозам. Более безопасные альтернативы включают использование выделенных аппаратных устройств и программных генераторов одноразовых паролей (OTP), таких как безопасные приложения, установленные на мобильных устройствах.
Примечание. Эта статья является обновленной и расширенной версией этой статьи, опубликованной в 2017 году: Больше никаких бессмысленных требований к паролю
Возможно зацените Генератор паролей ESET?
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- ЧартПрайм. Улучшите свою торговую игру с ChartPrime. Доступ здесь.
- Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
- Источник: https://www.welivesecurity.com/2023/05/04/creating-strong-user-friendly-passwords-tips-business-password-policy/
- :имеет
- :является
- :нет
- $UP
- 1
- 100
- 12
- 20
- 20 лет
- 2017
- 2019
- 2023
- 2FA
- 50
- 60
- 7
- a
- О нас
- Absolute
- злоупотребление
- приемлемый
- По
- Учетная запись
- Учетные записи
- признавать
- через
- Действие (Act):
- Активация
- на самом деле
- дополнительный
- адрес
- признал
- совет
- После
- против
- Века
- тому назад
- Стремясь
- Все
- позволять
- причислены
- альтернатива
- альтернативы
- Несмотря на то, что
- в целом
- an
- и
- объявило
- любой
- приложение
- Применение
- безопасность приложения
- подхода
- Программы
- апрель
- МЫ
- около
- гайд
- AS
- At
- нападки
- попытки
- привлекательный
- Аутентификация
- Автоматизированный
- в среднем
- барьер
- Базовая линия
- BE
- , так как:
- становиться
- было
- не являетесь
- Лучшая
- между
- Билл
- миллиард
- Немного
- блокирование
- Блог
- рожденный
- изоферменты печени
- нарушение
- Ломать
- браузер
- грубая сила
- бизнес
- но
- by
- CAN
- не могу
- тщательный
- случаев
- случаев
- изменение
- изменения
- персонаж
- символы
- проверка
- Выберите
- код
- Коды
- коллега
- комбинируя
- как
- Общий
- обычно
- сравнив
- комплекс
- композиция
- скомпрометированы
- Ослабленный
- компьютеры
- считается
- постоянно
- содержать
- содержит
- продолжать
- вопреки
- контрольная
- обычный
- "Курс"
- трещина
- Создающий
- ПОЛНОМОЧИЯ
- Полномочия
- решающее значение
- Текущий
- данным
- База данных
- Время
- Дней
- преданный
- По умолчанию
- задержки
- устройство
- Устройства
- Умереть
- различный
- трудный
- Дисплей
- do
- не
- сделанный
- Dont
- вниз
- диски
- Опустившись
- e
- легко
- легко
- усилие
- или
- Сотрудник
- сотрудников
- включить
- поощрять
- поощрение
- Бесконечный
- инженер
- Проект и
- Enter
- Весь
- запись
- равный
- особенно
- налаживает
- оценивать
- Даже
- постоянно растет
- все члены
- , поскольку большинство сенаторов
- пример
- существует
- эксперты
- истечение
- и, что лучший способ
- факт
- фактор
- Oшибка
- знаменитый
- далеко
- несколько
- Во-первых,
- Что касается
- Форс-мажор
- найденный
- Бесплатно
- частое
- от
- функция
- функциональность
- Общие
- генерируется
- генераторы
- получающий
- гигантов
- данный
- Go
- хорошо
- большой
- Рост
- догадывался
- руководство
- методические рекомендации
- Хакеры
- Половина
- обрабатывать
- Жесткий
- Аппаратные средства
- аппаратные устройства
- вред
- Хеширования
- Есть
- имеющий
- he
- помощь
- Скрытый
- подсказки
- его
- Hive
- час
- Как
- Однако
- HTML
- HTTPS
- Людей
- идея
- Идеально
- if
- внушительный
- улучшать
- in
- В других
- включают
- В том числе
- повышение
- информация
- начальный
- установлен
- вместо
- Институт
- в
- вводить
- Представляет
- включать в себя
- IP
- IP-адрес
- IT
- ЕГО
- саму трезвость
- JPG
- всего
- Основные
- ключевой фактор
- Фамилия
- новее
- слой
- вести
- ведущий
- наименее
- Длина
- ЖИЗНЬЮ
- такое как
- Вероятно
- ограничивающий
- линий
- мало
- расположение
- локаут
- Войти
- Длинное
- много времени
- долгосрочный
- дольше
- ниже
- ДЕЛАЕТ
- Менеджеры
- многих
- согласование
- Вопрос
- максимальный
- Май..
- MD5
- Сообщения
- МИД
- Microsoft
- может быть
- миллиона
- против
- минимальный
- Минут
- смягчать
- Мобильный телефон
- мобильных устройств
- БОЛЕЕ
- самых
- много
- с разными
- должен
- национальный
- натуральный
- Новые
- NIST
- нет
- уведомление
- сейчас
- номер
- номера
- многочисленный
- устаревший
- раз
- of
- оффлайн
- Старый
- on
- консолидировать
- ONE
- онлайн
- только
- открытый
- Опция
- Опции
- or
- заказ
- организации
- Другое
- наши
- внешний
- собственный
- страница
- часть
- особенно
- Пароль
- восстановление пароля
- пароли
- мимо
- Терпение
- Люди
- народный
- для
- период
- человек
- личного
- выбирать
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- сборах
- политика
- возможности,
- возможное
- предварительно
- проблемам
- процесс
- Проект
- для защиты
- обеспечивать
- опубликованный
- положил
- вопрос
- На вопрос
- Вопросы
- случайно сгенерированный
- быстро
- редко
- Обменный курс
- обоснование
- достигнув результата
- готовый
- на самом деле
- причина
- Получать
- последний
- рекомендует
- выздоровление
- регулярный
- регулярно
- полагаться
- остатки
- помнить
- обязательный
- исследованиям
- респондентов
- Ограничения
- результат
- снова использовать
- показывать
- условиями,
- Run
- s
- то же
- сообщили
- говорит
- Поиск
- безопасный
- обеспеченный
- безопасно
- обеспечение
- безопасность
- казаться
- предложение
- отделяющий
- набор
- Наборы
- несколько
- полка
- Короткое
- должен
- показанный
- Признаки
- аналогичный
- просто
- одинарной
- ШЕСТЬ
- небольшой
- SMS
- So
- Соцсети
- Социальная инженерия
- мягкая
- некоторые
- скоро
- пространства
- особый
- стоять
- стандарт
- стандартов
- По-прежнему
- украли
- улица
- прочность
- сильный
- сильнее
- исследования
- Успешно
- такие
- супер
- поддержка
- Убедитесь
- восприимчивый
- взять
- принимает
- технологии
- технические гиганты
- Технологии
- Тестирование
- чем
- который
- Ассоциация
- их
- Их
- тогда
- Там.
- Эти
- они
- вещи
- think
- этой
- угрозы
- три
- Через
- время
- Советы
- в
- сегодня
- инструментом
- инструменты
- к
- традиционный
- специалистов
- правда
- Получается
- типично
- нам
- созданного
- отпереть
- необязательно
- ненужный
- неустойчивый
- обновление
- юзабилити
- использование
- используемый
- Информация о пользователе
- удобно
- пользователей
- через
- ценный
- ценностное
- разнообразие
- различный
- проверка
- версия
- Вид
- стена
- Уолл-стрит
- законопроект
- способы
- we
- Web
- веб приложение
- ЧТО Ж
- Что
- когда
- когда бы ни
- будь то
- который
- в то время как
- все
- зачем
- ширина
- будете
- окна
- мудрость
- слова
- мире
- бы
- писал
- WSJ
- лет
- еще
- Ты
- ВАШЕ
- YouTube
- зефирнет