Ko je inženir Bill Burr z ameriškega nacionalnega inštituta za standarde in tehnologijo (NIST) leta 2003 zapisal, kaj bo kmalu postalo svetovno zlati standard za varnost gesel, je ljudem in organizacijam svetoval, naj zaščitijo svoje račune tako, da si izmislijo dolge in 'kaotične' vrste znakov, številk in znakov – in naj jih redno spreminjajo.
Štirinajst let pozneje je Burr priznal, da obžaluje svoje pretekle nasvete. "Ljudje preprosto požene v banane in ne izberejo dobrih gesel, ne glede na to, kaj počnete," je dejal je povedal Wall Street Journal.
Ali kot slavni xkcd strip ga je postavil: "Skozi 20 let truda smo vse uspešno usposobili za uporabo gesel, ki si jih ljudje težko zapomnijo, računalniki pa jih enostavno uganejo."
Te dni povprečen človek ima do 100 gesel, ki si jih je treba zapomniti, pri čemer število v zadnjih letih hitro narašča (čeprav nekateri ljudje dejansko uporabili okoli 50 gesel, vključno s številnimi kodami brez povezave, že pred leti in nekateri varnostni strokovnjaki so poudarjali, da so takšne navade in politike gesel nevzdržne.)
Študije so dejansko pokazale, da si ljudje običajno zapomnijo samo do pet gesel in ubiraj bližnjice z ustvarjanjem gesla, ki jih je enostavno uganiti in nato jih reciklirajte v različnih spletnih računih. Nekateri morda črke dejansko nadomestijo s številkami in posebnimi znaki (npr. »geslo« se spremeni v »P4??WØrd«), vendar to še vedno pomeni geslo, ki ga je enostavno razbiti.
V zadnjih letih so vodilne organizacije, kot je The Open Web Application Security Project (OWASP) in seveda sam NIST, spremenili svojo politiko in nasvete v smeri uporabniku prijaznejšega pristopa – vse ob povečani varnosti gesel.
Hkrati pa tehnološki velikani, kot je npr Microsoft in google spodbujajo vse, naj popolnoma opustijo gesla in brez gesla namesto tega. Vendar, če vaše malo ali srednje veliko podjetje še ni pripravljeno na ločitev od gesel, je tukaj nekaj smernic, ki bodo vam in vašim zaposlenim v dobro pomoč leta 2023.
Nehajte vsiljevati po nepotrebnem zapletena pravila za sestavo gesel
Vsa preveč zapletena pravila sestavljanja (kot je zahteva, da uporabniki vključijo tako velike kot male črke, vsaj eno številko in poseben znak) niso več obvezna. To je zato, ker takšna pravila le redko spodbujajo uporabnike, da nastavijo močnejša gesla, namesto tega jih spodbujajo, da ravnajo predvidljivo in pripravijo gesla, ki so "dvojni udarec" - tako so šibka in težko zapomniti.
Preklopite na gesla
Namesto krajših, a težkih gesel, poiščite gesla. So daljši in bolj zapleteni, vendar si jih je vseeno enostavno zapomniti. Lahko je na primer cel stavek, ki se vam je iz nekega razloga vtisnil v glavo, posut z velikimi črkami, posebnimi znaki in emodžiji. Čeprav ni super zapleten, bo še vedno trajalo več let, da ga avtomatska orodja razbijejo.
Pred nekaj leti je bila minimalna dolžina za dobro geslo osem znakov, sestavljenih iz malih in velikih črk, znakov in številk. Danes lahko avtomatizirana orodja za razbijanje gesel takšno geslo uganejo v nekaj minutah, zlasti če je zavarovano s funkcijo zgoščevanja MD5.
To je v skladu s teste, ki jih izvaja Hive Systems in objavljeno aprila 2023. Nasprotno, preprosto geslo, ki vsebuje samo male in velike črke, vendar je dolgo 18 znakov, traja veliko, veliko dlje, da se razbije.
Prizadevajte si za minimalno dolžino 12 znakov – več kot je, tem bolje!
Smernice NIST priznavajo dolžino kot ključni dejavnik pri trdnosti gesla in uvajajo minimalno zahtevano dolžino 12 znakov, ki doseže največ 64 znakov po kombinaciji več presledkov. Če so vse enake, več jih je, bolje je.
Omogočite različne znake
Ko nastavijo svoja gesla, morajo uporabniki imeti možnost, da izbirajo med vsemi natisljivimi znaki ASCII in UNICODE, vključno z emodžiji. Imeti morajo tudi možnost uporabe presledkov, ki so naravni del gesel – pogosto priporočena alternativa tradicionalnim geslom.
Omejite ponovno uporabo gesel
To je zdaj že običajna modrost ljudje ne bi smeli ponovno uporabiti svojih gesel prek različnih spletnih računov, saj lahko vdor v en račun zlahka privede do ogrožanja drugih računov.
Številne navade pa težko odmrejo in okoli polovica vprašanih v študiji Ponemon Institute iz leta 2019 priznali, da so ponovno uporabili povprečno pet gesel v svojih poslovnih in/ali osebnih računih.
Za gesla ne nastavite datuma uporabe do
NIST tudi priporoča, da se ne zahtevajo redne spremembe gesel, razen če to zahteva uporabnik ali če obstajajo dokazi o ogroženosti. Utemeljitev je, da imajo uporabniki le toliko potrpljenja, da morajo nenehno razmišljati o novih razmeroma močnih geslih. Če jih navajate k temu v rednih časovnih presledkih, lahko naredite več škode kot koristi.
Ko je Microsoft pred tremi leti napovedal opustitev pravilnikov o poteku gesel, je podvomil v celotno zamisel o poteku gesla.
»Če je podano, da bo geslo verjetno ukradeno, koliko dni je sprejemljiva dolžina časa, da lahko tat uporabi to ukradeno geslo? Privzeto za Windows je 42 dni. Se ne zdi to smešno dolgo? No, tako je, vendar naše trenutno izhodišče pravi 60 dni – prej pa je bilo rečeno 90 dni –, ker vsiljevanje pogostega izteka prinaša svoje težave,« bere Microsoftov blog.
Ne pozabite, da je to le splošen nasvet. Če zavarujete aplikacijo, ki je ključnega pomena za vaše podjetje in privlačna za napadalce, lahko še vedno prisilite svoje zaposlene, da redno spreminjajo gesla.
Opustite namige in preverjanje pristnosti na podlagi znanja
Zastareli so tudi namigi za gesla in vprašanja za preverjanje znanja. Čeprav lahko dejansko pomagajo uporabnikom pri iskanju pozabljenih gesel, so lahko zelo koristni tudi za napadalce. Naš kolega Jake Moore je ob več priložnostih pokazal, kako lahko hekerji zlorabijo stran »pozabljeno geslo« na , da vdrejo v račune drugih ljudi, na primer na PayPal in Instagram.
Na primer, vprašanje, kot je "ime vašega prvega hišnega ljubljenčka", je mogoče zlahka uganiti z malo raziskave ali socialnega inženiringa in v resnici ni neskončnega števila možnosti, skozi katere mora iti avtomatizirano orodje.
Črni seznam skupnih gesel
Namesto da se zanašate na prej uporabljena pravila sestavljanja, preverite nova gesla na "črnem seznamu" najpogosteje uporabljeni in/ali predhodno ogrožena gesla in poskuse ujemanja oceniti kot nesprejemljive.
V 2019, Microsoft skeniral račune svojih uporabnikov, ki primerjajo uporabniška imena in gesla z bazo podatkov z več kot tremi milijardami nizov razkritih poverilnic. Našel je 44 milijonov uporabnikov z ogroženimi gesli in prisilil v ponastavitev gesla.
Zagotovite podporo za upravitelje gesel in orodja
Prepričajte se, da so funkcija »kopiraj in prilepi«, orodja za gesla brskalnika in zunanji upravitelji gesel dovoljeni za obvladovanje težav pri ustvarjanju in varnem shranjevanju uporabniških gesel.
Uporabniki se morajo tudi odločiti za začasen ogled celotnega maskiranega gesla ali zadnjega vnesenega znaka gesla. V skladu s smernicami OWASP, je ideja izboljšati uporabnost vnosa poverilnic, zlasti glede uporabe daljših gesel, gesel in upraviteljev gesel.
Začetna gesla nastavite kratek rok trajanja
Ko vaš novi zaposleni ustvari račun, mora biti sistemsko ustvarjeno začetno geslo ali aktivacijska koda varno naključno ustvarjena, dolga vsaj šest znakov in lahko vsebuje črke in številke.
Prepričajte se, da poteče po kratkem času in ne more postati pravo in dolgoročno geslo.
Obvesti uporabnike o spremembah gesel
Ko uporabniki spremenijo svoja gesla, bi morali najprej vnesti svoje staro geslo in v idealnem primeru omogočiti dvostopenjsko avtentikacijo (2FA). Ko končajo, bi morali prejeti obvestilo.
Bodite previdni pri postopku obnovitve gesla
Ne samo, da postopek obnovitve ne bi smel razkriti trenutnega gesla, ampak enako velja tudi za informacije o tem, ali račun dejansko obstaja ali ne. Z drugimi besedami, napadalcem ne posredujte nobenih (nepotrebnih) informacij!
Uporabite CAPTCHA in druge kontrole proti avtomatizaciji
Uporabite kontrolnike proti avtomatizaciji, da ublažite preizkušanje kršitev poverilnic, napade s surovo silo in zaklepanje računa. Takšni nadzori vključujejo blokiranje najpogostejših vlomljenih gesel, mehko zaklepanje, omejevanje hitrosti, CAPTCHA, vedno večje zakasnitve med poskusi, omejitve naslovov IP ali omejitve na podlagi tveganja, kot so lokacija, prva prijava v napravo, nedavni poskusi odklepanja računa , ali podobno.
Po trenutnih standardih OWASP bi moralo biti na enem računu največ 100 neuspelih poskusov na uro.
Ne zanašajte se samo na gesla
Ne glede na to, kako močno in edinstveno je geslo, ostaja ena sama ovira, ki ločuje napadalca in vaše dragocene podatke. Ko si prizadevate za varne račune, je treba dodatno plast za preverjanje pristnosti obravnavati kot nujno potrebno.
Zato morate uporabiti dvofaktorsko (2FA) ali večfaktorsko avtentikacijo (MFA), kadar koli je to mogoče.
Vendar niso vse možnosti 2FA enake. Čeprav so sporočila SMS veliko boljša kot brez 2FA, so dovzetna za številne grožnje. Varnejše alternative vključujejo uporabo namenskih strojnih naprav in generatorjev enkratnih gesel (OTP) na osnovi programske opreme, kot so varne aplikacije, nameščene v mobilnih napravah.
Opomba: Ta članek je posodobljena in razširjena različica tega članka, ki smo ga objavili leta 2017: Nič več nesmiselnih zahtev za geslo
Morda preverite ESET-ov generator gesel?
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Avtomobili/EV, Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- ChartPrime. Izboljšajte svojo igro trgovanja s ChartPrime. Dostopite tukaj.
- BlockOffsets. Posodobitev okoljskega offset lastništva. Dostopite tukaj.
- vir: https://www.welivesecurity.com/2023/05/04/creating-strong-user-friendly-passwords-tips-business-password-policy/
- :ima
- : je
- :ne
- $GOR
- 1
- 100
- 12
- 20
- 20 let
- 2017
- 2019
- 2023
- 2FA
- 50
- 60
- 7
- a
- O meni
- absolutna
- zloraba
- sprejemljiv
- Po
- Račun
- računi
- potrditi
- čez
- Zakon
- Aktiviranje
- dejansko
- Dodatne
- Naslov
- priznal
- nasveti
- po
- proti
- Vek
- Avgust
- Usmerjanje
- vsi
- omogočajo
- Prav tako
- alternativa
- alternative
- Čeprav
- skupaj
- an
- in
- razglasitve
- kaj
- aplikacija
- uporaba
- varnost aplikacije
- pristop
- aplikacije
- april
- SE
- okoli
- članek
- AS
- At
- Napadi
- Poskusi
- privlačen
- Preverjanje pristnosti
- Avtomatizirano
- povprečno
- ovira
- Izhodišče
- BE
- ker
- postanejo
- bilo
- počutje
- Boljše
- med
- Bill
- Billion
- Bit
- blokiranje
- Blog
- rojen
- tako
- kršitev
- Break
- brskalnik
- silo
- poslovni
- vendar
- by
- CAN
- ne more
- previdni
- primeru
- primeri
- spremenite
- Spremembe
- značaja
- znaki
- preveriti
- Izberite
- Koda
- Kode
- Sodelavec
- združevanje
- kako
- Skupno
- pogosto
- primerjavo
- kompleksna
- sestava
- Kompromis
- Ogroženo
- računalniki
- šteje
- nenehno
- vsebujejo
- Vsebuje
- naprej
- nasprotno
- Nadzor
- konvencionalne
- Tečaj
- tresk
- Ustvarjanje
- POVERILNICA
- Mandatno
- ključnega pomena
- Trenutna
- datum
- Baze podatkov
- Datum
- Dnevi
- namenjen
- privzeto
- zamude
- naprava
- naprave
- Polnilna postaja
- drugačen
- težko
- zaslon
- do
- Ne
- opravljeno
- dont
- navzdol
- diski
- Spuščanje
- e
- enostavno
- lahka
- prizadevanje
- bodisi
- Zaposlen
- Zaposleni
- omogočajo
- spodbujanje
- spodbujanje
- Endless
- inženir
- Inženiring
- Vnesite
- Celotna
- Vpis
- enako
- zlasti
- vzpostavlja
- oceniti
- Tudi
- vedno večja
- vsi
- dokazi
- Primer
- obstaja
- Strokovnjaki
- potekel
- zunanja
- Dejstvo
- Faktor
- ni uspelo
- slavni
- daleč
- Nekaj
- prva
- za
- moč
- je pokazala,
- brezplačno
- pogosto
- iz
- funkcija
- funkcionalnost
- splošno
- ustvarila
- generatorji
- pridobivanje
- velikani
- dana
- Go
- dobro
- veliko
- Pridelovanje
- ugibati
- Navodila
- Smernice
- hekerji
- Pol
- ročaj
- Trdi
- strojna oprema
- strojne naprave
- škodovalo
- mešanje
- Imajo
- ob
- he
- Glava
- pomoč
- skrita
- nasveti
- njegov
- Panj
- uro
- Kako
- Vendar
- HTML
- HTTPS
- Ljudje
- Ideja
- idealno
- if
- vsiljiv
- izboljšanje
- in
- V drugi
- vključujejo
- Vključno
- narašča
- Podatki
- začetna
- nameščen
- Namesto
- Inštitut
- v
- uvesti
- Predstavlja
- vključujejo
- IP
- IP naslov
- IT
- ITS
- sam
- jpg
- samo
- Ključne
- ključni dejavnik
- Zadnja
- pozneje
- plast
- vodi
- vodi
- vsaj
- dolžina
- življenje
- kot
- Verjeten
- omejujoč
- linije
- malo
- kraj aktivnosti
- lockout
- prijava
- Long
- dolgo časa
- dolgoročna
- več
- nižje
- IZDELA
- Vodje
- več
- ujemanje
- Matter
- največja
- Maj ..
- MD5
- sporočil
- MZZ
- Microsoft
- morda
- milijonov
- moti
- minimalna
- Minute
- Omiliti
- Mobilni
- mobilne naprave
- več
- Najbolj
- veliko
- več
- morajo
- nacionalni
- naravna
- Novo
- nst
- št
- Obvestilo
- zdaj
- Številka
- številke
- številne
- zastarela
- priložnostih
- of
- offline
- Staro
- on
- enkrat
- ONE
- na spletu
- samo
- odprite
- Možnost
- možnosti
- or
- Da
- organizacije
- Ostalo
- naši
- ven
- lastne
- Stran
- del
- zlasti
- Geslo
- resetiranje gesla
- gesla
- preteklosti
- Potrpljenje
- ljudje
- Ljudske
- za
- Obdobje
- oseba
- Osebni
- kramp
- platon
- Platonova podatkovna inteligenca
- PlatoData
- politike
- politika
- možnosti
- mogoče
- prej
- Težave
- Postopek
- Projekt
- zaščito
- zagotavljajo
- objavljeno
- dal
- vprašanje
- Vprašanje
- vprašanja
- naključno ustvarjeno
- hitro
- redko
- Oceniti
- utemeljitev
- dosegli
- pripravljen
- res
- Razlog
- prejeti
- nedavno
- priporoča
- okrevanje
- redni
- redno
- zanašajo
- ostanki
- ne pozabite
- obvezna
- Raziskave
- anketirancev
- Omejitve
- povzroči
- ponovna
- razkrivajo
- pravila
- Run
- s
- Enako
- pravijo,
- pravi
- Iskalnik
- zavarovanje
- Zavarovano
- Varno
- zavarovanje
- varnost
- zdi se
- stavek
- ločitev
- nastavite
- Kompleti
- več
- Rok
- Kratke Hlače
- shouldnt
- pokazale
- Znaki
- Podoben
- Enostavno
- sam
- SIX
- majhna
- SMS
- So
- socialna
- Socialni inženiring
- Soft
- nekaj
- Kmalu
- prostori
- posebna
- stati
- standardna
- standardi
- Še vedno
- ukradeno
- ulica
- moč
- močna
- močnejši
- Študije
- Uspešno
- taka
- Super
- podpora
- Preverite
- dovzetne
- Bodite
- meni
- tech
- tehnični velikani
- Tehnologija
- Testiranje
- kot
- da
- O
- njihove
- Njih
- POTEM
- Tukaj.
- te
- jih
- stvari
- mislim
- ta
- grožnje
- 3
- skozi
- čas
- nasveti
- do
- danes
- orodje
- orodja
- proti
- tradicionalna
- usposobljeni
- Res
- zavoji
- tipično
- nas
- edinstven
- odklepanje
- po nepotrebnem
- nepotrebna
- nevzdržno
- posodobljeno
- uporabnost
- uporaba
- Rabljeni
- uporabnik
- Uporabniku prijazen
- Uporabniki
- uporabo
- dragocene
- vrednost
- raznolikost
- različnih
- preverjanje
- različica
- Poglej
- Wall
- Wall Street
- je
- načini
- we
- web
- Spletna aplikacija
- Dobro
- Kaj
- kdaj
- kadar koli
- ali
- ki
- medtem
- celoti
- zakaj
- širina
- bo
- okna
- modrost
- z
- besede
- svetu
- bi
- Napisal
- WSJ
- let
- še
- Vi
- Vaša rutina za
- youtube
- zefirnet