Számítástechnika
Sulaki - 2017-05-20
A nemsokára életbelépő szabályozás felhasználóbarát és biztonságos megközelítést ígér a jelszavak használatának területén
Mindannyian ismerjük az új internetes fiók létrehozásakor tapasztalt kellemetlenségeket. Miután megpróbáljuk megadni a számunkra legmegfelelőbb jelszót, gyakran ütközünk a következő hibaüzenetekbe: „A jelszónak tartalmaznia kell legalább egy nagybetűt/speciális karaktert/számot”. Majd miután beleírunk mindent, megjelennek a nem várt üzenetek: „A jelszó nem tartalmazhatja az ön által megadott karaktert”, vagy „A választott jelszó túl hosszú”. A jelszavak világnapja (World Password Day) alkalmából az ESET szakemberei összeszedték a legfontosabb tudnivalókat a belépőkódokat érintő, a közeljövőben várható szabályozásról.
Május elsején lezárult a NIST (az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézete) által megfogalmazott új digitális személyazonossági irányelvek (Digital Identity Guidelines) nyilvános vitája, és az anyag készen áll a véglegesítésre. A tervezet új, továbbfejlesztett jelszókövetelményeket tartalmaz, megváltoztatva az eddigi szokásokat és a hozzájuk kapcsolódó, fent említett kellemetlenségeket.
Bár az iránymutatások csak a szövetségi ügynökségekre nézve kötelezőek, azonban nagy befolyást gyakorolnak majd a szervezetekre általában, és ez világszerte érinteni fogja az internethasználókat. Melyek a fő változások?
Nincs többé kötelező szabály a jelszavak összetételéről
Visszavonásra kerülnének a jelszavak összetételéről szóló szabályok, mint például a kis és nagybetűk, számok és speciális karakterek kötelező szerepeltetése a belépőkódokban. Ennek oka, hogy ezek a szabályok elvétve eredményeznek erősebb jelszavakat, sokkal inkább gyenge, és/vagy nehezen megjegyezhető kódok generálására veszik rá a felhasználókat.
Megszűnik a rendszeres kötelező jelszóváltoztatás
Az új szabályozás azt tanácsolja, hogy ne kérjenek rendszeres jelszóváltoztatást a felhasználóktól, hacsak ők maguk nem kezdeményezik, vagy ha valamilyen adatvesztés történt a szervezetnél. Ennek oka, hogy a felhasználóknak nincs türelmük állandóan új, erősebb jelszavakat kitalálni, így ez a megoldás több kárt okoz, mint hasznot.
Megszűnik a jelszóemlékeztető és a tudás alapú azonosítás
A jelszóemlékeztetők és a tudás alapú azonosítás segíthet az elfelejtett jelszavak megtalálásában, azonban ezek az adatok nagy értéket jelentenek a kiberbűnözők számára is, így egyre több oldalon szűnik meg ezek használata.
Az elfogadhatatlan jelszavak feketelistája
A jelszavak összetételének szabályozása helyett a NIST egy feketelista használatát javasolja, amely tartalmazza a leggyakrabban használt és/vagy korábban kiszivárgott jelszavakat, így ezek megadására már nem lesz lehetőség.
Több választható karakter
Jelszó beállításakor a felhasználók szabadon választhatnak majd minden nyomtatható
8
Az új irányelvek szerint a jelszavak hossza kulcsfontosságú tényező a kódok erősségében. A megfelelő jelszónak minimum 8 karakternek, maximum 64
Az egyfaktoros azonosítás nem elég, azonban az
Nem számít, hogy milyen jó jelszavakat adunk, mert a kódunk továbbra is csak egyetlen áthatolandó akadályt jelent az adataink és a kiberbűnözők között. A biztonságos fiókok esetében még egy rétegre szükség van a hatékony védelemhez, ezért a NIST a kétfaktoros azonosítást javasolja minden helyen, ahol elérhető a megoldás.
Az új ajánlások között szerepel az is, hogy az SMS üzeneteket ne használják többet a kétfaktoros azonosításra, a szakemberek inkább a
Az új irányelvek sokkal egyenesebb megközelítést alkalmaznak a digitális azonosításban, amely nem csak felhasználóbarátabb, de biztonságosabb is. Ebben a törekvésében a NIST nincs egyedül, az ESET szakemberei és a World Password Day kezdeményezés mögött álló személyek is elkötelezettek a jelszavak erősítése felé. Ennek jegyében a szakemberek azt szorgalmazzák, hogy minden fiókhoz egyedi jelszavakat használjunk, illetve állítsunk fel egy jelszó stratégiát, amelynek fontos része a kétfaktoros azonosítás is.
Május elsején lezárult a NIST (az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézete) által megfogalmazott új digitális személyazonossági irányelvek (Digital Identity Guidelines) nyilvános vitája, és az anyag készen áll a véglegesítésre. A tervezet új, továbbfejlesztett jelszókövetelményeket tartalmaz, megváltoztatva az eddigi szokásokat és a hozzájuk kapcsolódó, fent említett kellemetlenségeket.
Bár az iránymutatások csak a szövetségi ügynökségekre nézve kötelezőek, azonban nagy befolyást gyakorolnak majd a szervezetekre általában, és ez világszerte érinteni fogja az internethasználókat. Melyek a fő változások?
Nincs többé kötelező szabály a jelszavak összetételéről
Visszavonásra kerülnének a jelszavak összetételéről szóló szabályok, mint például a kis és nagybetűk, számok és speciális karakterek kötelező szerepeltetése a belépőkódokban. Ennek oka, hogy ezek a szabályok elvétve eredményeznek erősebb jelszavakat, sokkal inkább gyenge, és/vagy nehezen megjegyezhető kódok generálására veszik rá a felhasználókat.
Megszűnik a rendszeres kötelező jelszóváltoztatás
Az új szabályozás azt tanácsolja, hogy ne kérjenek rendszeres jelszóváltoztatást a felhasználóktól, hacsak ők maguk nem kezdeményezik, vagy ha valamilyen adatvesztés történt a szervezetnél. Ennek oka, hogy a felhasználóknak nincs türelmük állandóan új, erősebb jelszavakat kitalálni, így ez a megoldás több kárt okoz, mint hasznot.
Megszűnik a jelszóemlékeztető és a tudás alapú azonosítás
A jelszóemlékeztetők és a tudás alapú azonosítás segíthet az elfelejtett jelszavak megtalálásában, azonban ezek az adatok nagy értéket jelentenek a kiberbűnözők számára is, így egyre több oldalon szűnik meg ezek használata.
Az elfogadhatatlan jelszavak feketelistája
A jelszavak összetételének szabályozása helyett a NIST egy feketelista használatát javasolja, amely tartalmazza a leggyakrabban használt és/vagy korábban kiszivárgott jelszavakat, így ezek megadására már nem lesz lehetőség.
Több választható karakter
Jelszó beállításakor a felhasználók szabadon választhatnak majd minden nyomtatható
ASCII
és UNICODE karakterből, beleértve a hangulatjeleket (emoji) is. A felhasználók számára lehetővé kell tenni a szóközök használatát is, amelyek a jelmondatok természetes részét alkotják, és gyakran a hagyományos jelszavak ajánlott alternatívái8
karakter
minimális hosszúságAz új irányelvek szerint a jelszavak hossza kulcsfontosságú tényező a kódok erősségében. A megfelelő jelszónak minimum 8 karakternek, maximum 64
karakter
hosszúságúnak kell lennie. Az ESET szakemberei azonban felhívják a figyelmet arra, hogy a jelszavak feltörésének idejében 11 karaktertől történik hatalmas ugrás, és a kódok megfejtése ekkor már szuperszámítógéppel is évekbe telne, így érdemes legalább ilyen hosszú jelszavakat használni.Az egyfaktoros azonosítás nem elég, azonban az
SMS
elhagyandóNem számít, hogy milyen jó jelszavakat adunk, mert a kódunk továbbra is csak egyetlen áthatolandó akadályt jelent az adataink és a kiberbűnözők között. A biztonságos fiókok esetében még egy rétegre szükség van a hatékony védelemhez, ezért a NIST a kétfaktoros azonosítást javasolja minden helyen, ahol elérhető a megoldás.
Az új ajánlások között szerepel az is, hogy az SMS üzeneteket ne használják többet a kétfaktoros azonosításra, a szakemberek inkább a
szoftver
által generált, egyszer használatos jelszavakat javasolják. Az új irányelvek sokkal egyenesebb megközelítést alkalmaznak a digitális azonosításban, amely nem csak felhasználóbarátabb, de biztonságosabb is. Ebben a törekvésében a NIST nincs egyedül, az ESET szakemberei és a World Password Day kezdeményezés mögött álló személyek is elkötelezettek a jelszavak erősítése felé. Ennek jegyében a szakemberek azt szorgalmazzák, hogy minden fiókhoz egyedi jelszavakat használjunk, illetve állítsunk fel egy jelszó stratégiát, amelynek fontos része a kétfaktoros azonosítás is.
