İçerik
- Hata Yok, Stres Yok - Hayatınızı Yok Etmeden Hayat Değiştiren Yazılım Yaratma Adım Adım Kılavuzunuz
- Bilişsel Uyumsuzluk ve Sürü Zihinselliği
- Yeni NIST Standartları: İçeride Neler Var?
- Bir Parola Neden Daha İyi?
- İpucu yok!
- Hayır, Waffle evi değil! Tuzlama, Karma ve Germe
- Pratik Uygulama: Bazı Zorluklar Kalan
- çıkarımlar
Kaynak: designer491 / iStockphoto
Paket servisi:
Yeni NIST kuralları, kullanıcıların şifre politikalarına rahatça nefes almasını sağlar
Hem sistem yöneticilerinin hem de normal kullanıcıların sevebileceği büyüklükte büyük değişiklikler var - şifre protokolleriyle yapmak zorundalar.
Şifreler yaşamın bir gerçeğidir - çoğumuzun çok fazlası var. Hepsini hatırlayamıyoruz ve onları yazmaya başlamadıkça takip etmenin bir yolu yok. Diğer bir alternatif, düzenli olarak kullandığınız şifreleri hatırlamak ve diğer sitelere erişmeniz gerektiğinde şifre sıfırlamalarını istemektir - ancak bu çok fazla şifre sıfırlar! Microsoft araştırmacısı Cormac Herley gibi uzmanlar parola sıfırlamanın muazzam zaman maliyetleri ve büyük şirketlere her yıl milyonlarca dolara nasıl mal olabileceği hakkında konuşmaya başladılar. Kullanıcılara klavyede gagalamayı, kişisel verileri görüntülemeyi, bir hizmete kaydolmayı veya bir e-ticaret mağazasından bir şey satın almayı denemelerini istemesi milyonlarca dakikaya mal olur.
Öyleyse ne yapabiliriz? Ve, bilgisayarlarımızı ve cihazlarımızı camdan fırlatmak istememizi sağlayan şifremizin en engelleyici ve rahatsız edici yönleri nelerdir?
Yeni raporlar, bir toplum olarak, bu rahatsız edici parola sorunlarından bazılarından kurtulmak üzere olabileceğimizi gösteriyor. Siber güvenlik konusunda yeni araştırmalara devam edersek, muhtemelen son birkaç yılda çok fazla strese neden olan mevcut güvenlik standartlarının bazılarının ötesine geçeceğiz.
Wall Street Journal'daki bir makale, bu kuralların bazılarının arkasındaki adamı ortaya çıkarmak ve neden artık ihtiyaç duyulmadıklarına dair girdilerini almak için çok ileri gidiyor.
7 Ağustos 2017'de WSJ yazarı Robert McMillan, kurumsal şifre standartları üzerinde büyük etkileri olan 2003 tarihli bir makalenin yazarı olan Bill Burr'da bir soruşturma parçası şeklinde bir bomba sundu. Burr, ABD'deki teknolojik yeniliği değerlendirmekle görevli federal ajans olan Ulusal Standartlar ve Teknoloji Enstitüsü'nde çalıştı.
“Parola yönetimi üzerine kitap yazan adamın bir itirafı var” diyor McMillan'ın eseri. “Onu havaya uçurdu.”
Oradan, makale dijital çağın hayatımızı karmaşıklaştıran iki böceği tanımlamaya devam ediyor. Bunlardan ilki, bir şifreye özel karakterler eklemek için artan şartlar. Diğeri sık sık parola değişikliğidir.
Hata Yok, Stres Yok - Hayatınızı Yok Etmeden Hayat Değiştiren Yazılım Yaratma Adım Adım Kılavuzunuz
Hiç kimse yazılım kalitesini önemsemediğinde programlama becerilerinizi geliştiremezsiniz.
Bu uygulamaların her ikisi de onlarca şifreden söz ederken çok zaman alıyor. Bunlardan ilki, aynı zamanda klasik bir “kötü arayüz” örneğidir - yalnızca sezgisel değildir ve insanları geçici çözümlere zorlar.
Bilişsel Uyumsuzluk ve Sürü Zihinselliği
Birçoğumuz bu şifre standartlarının beynimizde nasıl kafa karışıklığına neden olduğunu “hissedebilir”. Şifreye bir rakam ve özel bir karakter eklemenin çok soyut bir seçimle karşı karşıya kalması, aksi halde alfabetik bir dizedir, çoğumuz hacker'ları gerçekten kandırmayan bir “1!” Lafını çekeriz. Aslında, aynı genel seçimleri ne kadar çok seçersek, şifrelerimizi kırmak o kadar kolay hale gelir. (Güvenlik Araştırması Korsanları Hakkında Daha Fazla Bilgi Edinin Aslında Korsanlara Yardım Ediyor mu?)
Bunun üzerine, kullanıcıların şifrelerini her ay veya her üç ayda bir güncelleme gereksinimlerini ekleyin.
Bu gerekliliğin ardındaki sebep, eski şifrenin tamamen farklı bir şeye dönüşmesi gerektiğidir - ama çok sık, böyle işlemez. Yepyeni bir şifreyi hatırlamanın ek beyin vuruşunu yapmaya çalışan kullanıcı, eski şifreyi alacak ve bir harf veya rakam değiştirecektir. Şimdi, eski şifre yeni şifre için büyük bir "söyleme" dir - bu bir sorumluluktur.
Yeni NIST Standartları: İçeride Neler Var?
NIST tarafından geliştirilen yeni kurallar bunların hepsini değiştirecek.
Özel Yayın 800-63-3, bazı uzmanların başından beri uygulanması gerekenlerin çoğunu gerçekleştiren orijinal versiyona yapılan güncellemedir.
Birincisi, şifrenize bir ünlem işareti koymak zorunda kalmanız ve rutin son kullanma sürelerinin gerekliliği gibi hem kompozisyon kurallarını ortadan kaldırır.
NIST 800-63-3'ün eklediği şey “gerçekçi” güvenlik uygulamalarına odaklanmak.
Yeni kurallar, yazarların bir parolayı (hatırladığınız bir şey) fiziksel bir anahtar veya anahtar kartla (sahip olduğunuz bir şey) veya bir parça biyometrik verinin (bir parçanızın parçası) karıştırması olarak tanımladığı çok faktörlü kimlik doğrulamasını vurgular. Diğer öneriler arasında, kriptografik anahtarların kullanımı ve tüm ASCII karakterlerinin yanı sıra en fazla 64 karakter uzunluğunda ve en az sekiz uzunluğunda kabul edilmesi gerekir. (Pasif Biyometrilerin BT Veri Güvenliğinde Nasıl Yardımcı Olabileceği konusundaki biyometri hakkında daha fazla bilgi edinin.)
Güvenlik araştırması uzmanı Jim Fenton, “Daha İyi Şifre Gereksinimlerine Doğru” başlıklı halka açık bir slayt gösterisi sunumunda, bu düzeltmelerin birçoğunu “ne yapacaksın” ve “ne yapmazsın” olarak açıklıyor; bu otomatik olarak yasaklanmalı.
“Kolay değilse, kullanıcılar hile yapar” diyen Fenton, zayıf şifrelerin bir ağın güvenliğini zorlaştırmasını zorlaştıracak bazı ortak kurallara dikkat çekerek yazıyor.
Uzmanlar aynı zamanda, kullanıcıların, eğitmek için eğitilmiş olduğumuz alfanümerik çorba titremeleri yerine, bir "parola" ya da bir parola için bir sözcük grubu düşündüğünü öne sürüyorlar.
Bir Parola Neden Daha İyi?
“Toplam yumurta bisikleti eşek” gibi uzun bir parolanın neden “MisterA1!” Gibi bir şeyden daha güçlü bir şifre seçimi olacağını açıklamanın birçok yolu vardır - ama en basit olanı anlaşılır bir ölçümle yapmaktır: uzunluk.
Yeni NIST düzenlemelerinin kalbinde yer alan fikirlerden biri, bazı açılardan, şifre stratejimizi, insanlar için neyin anlamlı olduğunu, makineler için neyin anlamlı olduğunu göz ardı ederek temel aldığımızdır.
Birkaç rastgele karakter, insan korsanlarını etkileyebilir, ancak bilgisayarların bir parolanın sonunda fazladan bir sayı veya karakter tarafından kolayca sallanma olasılığı yoktur. Bunun nedeni, insanların aksine, bilgisayarların anlam için şifreleri okumamasıdır. Onlar sadece onları dize ile okurlar.
Bir kaba kuvvet saldırısı, bir bilgisayar, orijinal olarak kullanıcı tarafından seçilen, doğru kombinasyonu bularak “parçalamayı” mümkün kılan karakterlerin tüm permütasyonlarından geçtiğinde meydana gelir. Bu saldırılar gerçekleştiğinde, önemli olan şey şifrenizin ne kadar karmaşık olduğudur - ve her bir ek karakter muazzam, neredeyse üssel bir karmaşıklık büyüklüğü ekliyor.
Bunu göz önünde bulundurarak, bir parola, insan gözüne daha kolay görünmesine rağmen üssel olarak daha güçlü olacak.
Bir parolanın maksimum uzunluğunu 64 karaktere çıkararak, yeni NIST kuralları, pek çok karşı-duyarlı kural koymadan, kullanıcılara ihtiyaç duydukları parola gücünü verir.
İpucu yok!
Çok sayıda yönetici özel karakter gereksinimlerinden ve emek yoğun parola güncellemelerinin hepsinden kurtulmayı sevecek, ancak profesyonellerin yeni NIST yönergeleri okuduğu için baltayı alan başka bir özellik daha var.
Pek çok sistem yeni kullanıcılardan gemiye binme sırasında kendileri hakkında bir veri tabanına bilgi eklemelerini ister: fikir daha sonra, eğer şifrelerini unuturlarsa, sistem başkalarının bilmeyeceği geçmişe dair bazı düşüncelere dayanarak onları doğrulayabilir. Örneğin: İlk arabanız neydi? ilk evcil hayvanının adı neydi? Annenizin kızlık soyadı nedir?
Bu, çoğumuz için rahatsız olmuş olan trendlerden bir diğeri. Bazen, sorular müdahaleci görünüyor. Ayrıca, güvenlik düşüncesinde şüpheciler, ilk olarak Chevrolet'i süren, ya da genç bir coşkuyla, ilk köpeğimize “Spot” adını verdiğimiz genç bir coşkuyla yüz yüze geldiğimize işaret edecek.
Daha sonra veritabanını koruma ve gerektiğinde cevapları eşleştirme iş yükü vardır.
Kullanıcı aktivitesini tamamen güvenli kılmak için daha iyi seçenekler olduğunda, “şifre ipucu” işlevlerinin ortadan kalkmasıyla ilgili çok fazla insanın gözyaşı dökmeyeceğini söylemek güvenlidir.
Hayır, Waffle evi değil! Tuzlama, Karma ve Germe
Diğer yeniliklerde uzmanlar artık bir veri kümesini diğerine eşleştiren bir "karma" işlemden önce rastgele bir karakter dizisi oluşturmayı ve böylece şifrenin yapısını değiştirmeyi ve kırılmasını zorlaştırmayı içeren "tuzlama" şifreleri de önermektedir. Kısmen değerlendirme sürecini yavaşlatmak suretiyle, kaba kuvvet saldırılarını engellemek için özel olarak tasarlanmış “germe” adı verilen bir işlem de var.
Tüm bu işlevlerin ortak noktası, kullanıcının parmaklarının ucunda değil, idari alanda gerçekleşmesidir. Ortalama bir kullanıcı, bu tür usule ilişkin şeyler ile hiçbir şey yapmak istememektedir - yalnızca bir ağ sisteminde ne yapılması gerektiğine, iş görevlerini tamamlaması, arkadaşlarıyla ağ kurması veya bir şeyler alıp satması konusunda ne yapmak istediğine bakmak istemektedir. internet üzerinden. Bu nedenle, “müşteri tarafı” şifre kurallarını ortadan kaldırmak ve birçok güvenlik yönetimini yapmak, şirketler ve diğer paydaşlar kullanıcı deneyimini gerçekten geliştirebilir.
Bu çok önemli bir nokta çünkü kullanıcı deneyimini geliştirmek, yeni teknolojideki yeniliklerin çoğunun konusu. Bilgisayarlarımızdan, akıllı telefonlarımızdan ve diğer cihazlarımızdan çok fazla işlevsellik sıktığımız noktaya geldik - gelecek yıllarda yapacağımız ilerlemenin büyük bir kısmı sanal görevlerin yapılmasını kolaylaştırmak ve tıkanıklıktan kurtulmayı içerir. Deneyimsiz: ilk mobil olmayan bir web sitesi, aksaksız bir arayüz, zayıf pil ömrü… veya sıkıcı bir oturum açma gibi! Şifre inovasyonunun geldiği yer burasıdır. Çok faktörlü kimlik doğrulaması fikrine geri dönersek, biyometrilerin cihazlar için daha kolay kullanım kilidini açması muhtemeldir - neden cihazınızı yalnızca siz gösterebildiğiniz zaman uzun şifrelere dokunup yazabilirsiniz parmaklı mısın?
Pratik Uygulama: Bazı Zorluklar Kalan
Yine de söylediğimiz gibi, şimdilik şifreler ve PIN'lerle sıkışıp kaldık. Örneğin, bazı yeni işletim sistemleri, dört numaralı bir PIN’ten altı numaralı bir PIN’e geçmiştir, bu da çoğumuzun cihazlarımızdaki çekilişini çok yavaşlatır.
NIST tarafından önerilen “parola” yaklaşımıyla ilgili bir sorun, yine de parola sıfırlama işlemlerinin devam edeceğidir (bu konudaki Naked Security'de tartışıldığı gibi). İnsanlar hala şifrelerini unutacaklar. Bazıları, orijinalleri çok daha uzun olduğunda BT çalışanlarının yeni şifreler çıkarmasının daha zor olabileceğini öne sürüyor.
Bununla birlikte, burada çok faktörlü kimlik doğrulama konusunda bazı potansiyel olabilir. Biyometri henüz yakalanmadı, ancak hemen hemen herkesin bir cep telefonu var. Birçok çevrimiçi bankacılık sistemi ve diğer sistemler, kullanıcıların kimliklerini doğrulamak için SMS kullanıyor. Bu, şifrenin kaybolduğu veya unutulduğu hesapları kontrol etmenin kolay bir yolu olabilir. Ayrıca, yukarıda belirtildiği gibi, genel olarak bir şifreyi güçlendirmenin anahtar bir yoludur.
çıkarımlar
Bir ağ yöneticisiyseniz, yeni NIST kuralları size söyleyenler nelerdir?
Esasen, federal ajans yöneticilere söylüyor gibi görünüyor: rahatla. Kullanıcıların, daha iyi şifreleme, yasak dizeler sözlüğü ve daha çok yönlülük içeren daha uzun bir giriş alanı ile sezgisel olarak yaptıklarını yapmalarını sağlayın. Onlara şifrelerini yıldız ve sevimli özel karakterlerle doldurmalarını öğretmeyin. Ve birkaç haftada bir tüm süreci tekrarlamalarını sağlama.
Bunların hepsi belirli bir platformun daha yalın ve kaba olmasını sağlayacak. Yalnızca parola ipuçlarının kaldırılması, tüm kaynak gereksinimlerine sahip önemli bir kod tabanını ortadan kaldırır. Yeni NIST kuralları parola güvenliğini ait olduğu yere koyuyor: kendine has kullanıcının ellerinden ve teknik işlevlerin dünkü kaba kuvvet saldırıları geçmişini kolaylaştıracağı karanlık bir yere. Hepimizin, zorlu bir süreç olana yeni bir soğutulmuş yaklaşımı benimsemelerine izin verdiler: dijital yaşamımızın her köşesi için benzersiz küçük kelimeler ve kelime öbekleri hazırlıyorlar. Daha sezgisel kullanıcı arayüzleri dünyasına doğru bir adım daha - yaptığımızın daha doğal ve daha az kafa karıştırıcı hissettiği yeni ve gelişmiş bir dijital dünya.