Inhoud
- Geen bugs, geen stress - Uw stapsgewijze handleiding voor het creëren van levensveranderende software zonder uw leven te vernietigen
- Cognitieve Dissonantie en de kuddementaliteit
- Nieuwe NIST-normen: wat zit erin?
- Waarom is een wachtwoordzin beter?
- Geen tips!
- Nee, het is geen Waffle House! Zouten, slaan en strekken
- Praktische implementatie: er blijven nog enkele uitdagingen
- Takeaways
Bron: designer491 / iStockphoto
Afhaal:
Nieuwe NIST-regels laten gebruikers opgelucht ademhalen over wachtwoordbeleid
Er zijn grote veranderingen op komst die zowel systeembeheerders als reguliere gebruikers leuk zullen vinden - ze hebben te maken met wachtwoordprotocollen.
Wachtwoorden zijn een feit van het leven - de meesten van ons hebben er veel te veel. We kunnen ze niet allemaal onthouden, en er is nauwelijks een manier om ze bij te houden, tenzij we beginnen ze op te schrijven. Een ander alternatief is om de wachtwoorden die u regelmatig gebruikt te onthouden en te vragen om een wachtwoordreset wanneer u de andere sites moet bezoeken - maar dat zijn veel wachtwoordresets! Experts als Cormac Herley, een Microsoft-onderzoeker, hebben het al altijd gehad over de enorme tijdskosten van het resetten van wachtwoorden en hoe het grote bedrijven elk jaar miljoenen dollars kan kosten. Het kost gebruikers ook miljoenen minuten, pikken achter het toetsenbord, of ze nu proberen persoonlijke gegevens te bekijken, zich aan te melden voor een service of iets kopen bij een e-commerce winkel.
Dus, wat kunnen we doen? En wat zijn de meest obstructieve en irritante aspecten van ons wachtwoordgebruik waardoor we onze computers en apparaten uit het raam willen slingeren?
Nieuwe rapporten tonen aan dat we als samenleving misschien op het punt staan om van deze vervelende wachtwoordproblemen af te komen. Met nieuw onderzoek naar cyberbeveiliging gaan we waarschijnlijk verder dan enkele van de huidige beveiligingsstandaarden die ons de afgelopen jaren zoveel stress hebben bezorgd.
Een artikel in de Wall Street Journal gaat zelfs zo ver dat het de kerel achter sommige van deze regels naar voren brengt en zijn inbreng krijgt over waarom ze misschien niet langer nodig zijn.
Op 7 augustus 2017 leverde WSJ-schrijver Robert McMillan een bom in de vorm van een onderzoeksstuk over Bill Burr, de auteur van een artikel uit 2003 dat uiteindelijk grote gevolgen had voor de normen voor bedrijfswachtwoorden. Burr werkte bij het National Institute of Standards and Technology, het federale agentschap belast met de evaluatie van technologische innovatie in de VS
"De man die het boek over wachtwoordbeheer heeft geschreven, moet een bekentenis afleggen", begint het verhaal van McMillan. "Hij heeft het verpest."
Vanaf daar beschrijft het artikel twee bugbears van het digitale tijdperk die ons leven hebben gecompliceerd. De eerste is die verzwarende vereisten om speciale tekens in een wachtwoord op te nemen. De andere is frequente wachtwoordwijzigingen.
Geen bugs, geen stress - Uw stapsgewijze handleiding voor het creëren van levensveranderende software zonder uw leven te vernietigen
Je kunt je programmeervaardigheden niet verbeteren als niemand om softwarekwaliteit geeft.
Beide praktijken kosten veel tijd als je het over tientallen individuele wachtwoorden hebt. De eerste is echter ook een klassiek geval van een "slechte interface" - het is gewoon niet intuïtief en het dwingt mensen tot tijdelijke oplossingen.
Cognitieve Dissonantie en de kuddementaliteit
De meesten van ons kunnen “voelen” hoe deze wachtwoordstandaarden verwarring veroorzaken in onze hersenen. Geconfronteerd met de zeer abstracte keuze om een nummer en een speciaal teken in een wachtwoord op te nemen, wat anders een alfabetische reeks is, zullen velen van ons gewoon een "1" wegstrepen die hackers niet echt verijdelen. Hoe meer we dezelfde generieke keuzes kiezen, des te gemakkelijker wordt het om onze wachtwoorden te kraken. (Meer informatie over hackers in Helpt Beveiligingsonderzoek hackers eigenlijk?)
Voeg daar nog de eis aan toe dat gebruikers hun wachtwoorden elke maand bijwerken, of ongeveer om de drie maanden.
De redenering achter deze vereiste is dat het oude wachtwoord moet worden veranderd in iets heel anders - maar al te vaak is dat niet hoe het werkt. In een poging om de extra hersenkraken te verwerken van het onthouden van een gloednieuw wachtwoord, zal de gebruiker het oude wachtwoord nemen en een letter of cijfer wijzigen. Nu is het oude wachtwoord een belangrijke 'aanwijzing' voor het nieuwe - het wordt een verplichting.
Nieuwe NIST-normen: wat zit erin?
De nieuwe regels die door NIST worden ontwikkeld, zullen dat allemaal veranderen.
Special Publication 800-63-3 is een update van de originele versie die veel bereikt van wat sommige experts zeggen dat ze al die tijd hadden moeten zijn geïmplementeerd.
Ten eerste neemt het zowel de compositieregels weg, zoals het hebben van een uitroepteken in uw wachtwoord, als de vereiste voor routine-afloop.
Wat NIST 800-63-3 toevoegt, is een focus op "realistische" beveiligingsmethoden.
De nieuwe regels benadrukken multi-factor authenticatie, die schrijvers beschrijven als het combineren van een wachtwoord (iets dat je je herinnert) met een fysieke sleutel of keycard (iets dat je hebt) of een stukje biometrische gegevens (iets dat deel van je uitmaakt). Andere suggesties zijn het gebruik van cryptografische sleutels en de noodzaak om alle ASCII-tekens te kunnen accepteren, evenals een maximale lengte van 64 tekens en een minimale lengte van acht. (Meer informatie over biometrie vindt u in Hoe passieve biometrie kan helpen bij IT-gegevensbeveiliging.)
In een openbare presentatie met de titel "Naar betere wachtwoordvereisten" legt beveiligingsonderzoeksexpert Jim Fenton in detail veel van deze oplossingen uit als "gij zult" en "gij zult niet", waarin ook wordt uitgelegd hoe NIST aanbeveelt om een woordenboek met gemakkelijk te hacken wachtwoorden te maken dat zou automatisch verboden moeten worden.
"Als het niet gemakkelijk is, bedriegen gebruikers," schrijft Fenton en onderzoekt een aantal algemene regels die het moeilijker maken voor zwakke wachtwoorden om een netwerk te compromitteren.
Experts suggereren ook dat gebruikers denken aan een "wachtwoordzin" of een reeks woorden voor een wachtwoord, in plaats van de allegaartjes alfanumerieke soep die we zijn opgeleid om te bieden.
Waarom is een wachtwoordzin beter?
Er zijn veel manieren om uit te leggen waarom een lange wachtwoordzin als "totale eierfiets-ezel" een sterkere wachtwoordkeuze wordt dan iets als "MisterA1!" - maar het eenvoudigste heeft te maken met een zeer begrijpelijke metriek: lengte.
Eén idee in de kern van nieuwe NIST-voorschriften is dat we in sommige opzichten onze wachtwoordstrategie hebben gebaseerd op wat logisch is voor mensen, terwijl we voorbijgaan aan wat logisch is voor machines.
Een paar willekeurige tekens kunnen menselijke hackers in de war brengen, maar computers worden waarschijnlijk niet gemakkelijk door een extra nummer of teken aan het einde van een wachtwoord gestuurd. Dat komt omdat computers, anders dan mensen, geen wachtwoorden voor betekenis lezen. Ze lezen ze eenvoudig per string.
Een brute-force aanval is wanneer een computer alle mogelijke permutaties van tekens doorloopt om te proberen "in te breken" door de juiste combinatie te vinden, degene die oorspronkelijk door de gebruiker is geselecteerd. Wanneer deze aanvallen plaatsvinden, is het van belang hoe complex uw wachtwoord is - en elk extra teken voegt een enorme, bijna exponentiële omvang van complexiteit toe.
Met dat in gedachten, zal een wachtwoordzin exponentieel sterker zijn - ook al ziet het er voor het menselijk oog eenvoudiger uit.
Door de maximale lengte van een wachtwoord uit te breiden tot 64 tekens, geven de nieuwe NIST-richtlijnen gebruikers de wachtwoordsterkte die ze nodig hebben, zonder veel contra-intuïtieve regels op te leggen.
Geen tips!
Veel beheerders zullen dol zijn op het wegwerken van de speciale karaktervereisten en al die arbeidsintensieve wachtwoordupdates, maar er is nog een functie die de bijl krijgt als professionals nieuwe NIST-richtlijnen lezen.
Veel systemen vragen nieuwe gebruikers om feiten over zichzelf toe te voegen aan een database tijdens onboarding: het idee is dat later, als ze hun wachtwoord vergeten zijn, het systeem ze kan authenticeren op basis van een gedachte aan hun verleden die niemand anders zou weten. Bijvoorbeeld: wat was je eerste auto? Wat was de naam van je eerste huisdier? Wat is de meisjesnaam van je moeder?
Dit is weer een van die trends die voor velen van ons ongemakkelijk hebben gevoeld. Soms lijken de vragen opdringerig. Ook zullen veiligheidsbewuste sceptici erop wijzen dat er velen van ons zijn die voor het eerst in een Chevrolet reden, of, in een jeugdige uitbundigheid, onze eerste hond "Spot" noemden.
Dan is er de werklast van het onderhouden van de database en het matchen van de antwoorden wanneer ze nodig zijn.
Het is veilig om te zeggen dat niet te veel mensen tranen zullen vergieten over het verdwijnen van "wachtwoordhint" -functies wanneer er betere opties zijn om gebruikersactiviteit echt veilig te maken.
Nee, het is geen Waffle House! Zouten, slaan en strekken
In andere innovaties raden experts nu ook aan om wachtwoorden te 'zouten', waarbij een willekeurige reeks tekens moet worden gemaakt vóór een 'hashing'-proces waarbij de ene gegevensset aan de andere wordt toegewezen, waardoor de samenstelling van het wachtwoord wordt gewijzigd en het moeilijker wordt om te breken. Er is ook een proces dat 'uitrekken' wordt genoemd en dat speciaal is ontworpen om brute-force-aanvallen te omzeilen, deels door het evaluatieproces langzamer te maken.
Wat al deze functies gemeen hebben, is dat ze plaatsvinden in het administratieve domein, niet binnen handbereik van de gebruiker. De gemiddelde gebruiker wil niets te maken hebben met dit soort procedurele dingen - hij of zij wil gewoon toegang krijgen en alles doen wat er te doen is in een netwerksysteem, of het nu gaat om het voltooien van werktaken, netwerken met vrienden, of het kopen of verkopen van iets online. Dus door de wachtwoordregels voor de klant weg te nemen en veel van de beveiligingsadministratie te maken, kunnen bedrijven en andere belanghebbenden de gebruikerservaring echt verbeteren.
Dit is een belangrijk punt, omdat veel nieuwe technologische innovatie draait om het verbeteren van de gebruikerservaring. We zijn op het punt gekomen dat we veel functionaliteit uit onze computers, smartphones en andere apparaten hebben gehaald - veel van de vooruitgang die we de komende jaren zullen maken, is het eenvoudiger maken van virtuele taken en het wegwerken van de onhandigheid van een ervaring: zoals een niet-mobiele website, een glitchy interface, slechte batterijlevensduur ... of een vervelende aanmelding! Dat is waar wachtwoordinnovatie van pas komt. Terugkerend naar het idee van multi-factor authenticatie, is het waarschijnlijk dat biometrie nog meer gebruiksgemak voor apparaten gaat ontgrendelen - waarom tikken en lange wachtwoorden typen als je je apparaat gewoon kunt laten zien wie je bent zijn met een vinger?
Praktische implementatie: er blijven nog enkele uitdagingen
Zoals we al zeiden, zitten we voorlopig echter vast aan wachtwoorden en pincodes. Sommige nieuwere besturingssystemen zijn bijvoorbeeld overgeschakeld van een viercijferige pincode naar een zescijferige pincode, waardoor velen van ons veel langzamer zijn bij het trekken van onze apparaten.
Een probleem met de "wachtwoordzin" -benadering aanbevolen door NIST is dat er nog steeds wachtwoordresets zullen plaatsvinden (zoals besproken in deze thread over Naked Security). Mensen gaan hun wachtwoorden nog steeds vergeten. Sommigen suggereren dat het voor IT-ers moeilijker kan worden om nieuwe wachtwoorden uit te geven wanneer de originele veel langer zijn.
Er kan hier echter een potentieel zijn als het gaat om multi-factor authenticatie. Biometrie is nog niet echt aangeslagen, maar bijna iedereen heeft een mobiele telefoon. Veel online banksystemen en andere systemen gebruiken sms om gebruikers te authenticeren. Dit kan een gemakkelijke manier zijn om accounts te controleren waar het wachtwoord is verloren of vergeten. Het is ook een belangrijke manier om een wachtwoord in het algemeen te versterken, zoals hierboven vermeld.
Takeaways
Als u een netwerkbeheerder bent, wat vertellen de nieuwe NIST-regels u?
In wezen lijkt het federale agentschap managers te vertellen: relax. Laat gebruikers intuïtief doen wat ze doen, met betere codering, een woordenboek met verboden tekenreeksen en een langer invoerveld met meer veelzijdigheid. Leer ze niet om hun wachtwoorden te laten reuzelen met sterretjes en schattige speciale tekens. En laat ze niet om de paar weken het hele proces herhalen.
Dit alles zal een bepaald platform slanker en gemener maken. Alleen al het elimineren van wachtwoordhints neemt een belangrijke codebase weg met alle bronvereisten. De nieuwe NIST-regels plaatsen wachtwoordbeveiliging waar het hoort: uit de handen van de idiosyncratische gebruiker en op een obscure plaats waar technische functies de gemakkelijke geschiedenis van brute-force aanvallen van gisteren maken. Ze lieten ons allemaal een nieuwe relaxte benadering volgen van wat een beproevingsproces was: unieke kleine woorden en woordgroepen maken voor elke uithoek van ons digitale leven. Het is nog een stap in de richting van een wereld met meer intuïtieve gebruikersinterfaces - een nieuwe en verbeterde digitale wereld waar wat we doen natuurlijker en minder verwarrend aanvoelt.