Újragondolta a NIST a személyazonosságra vonatkozó irányelveit. A nyilvános vita lezárult. A jelszavakban komoly változás jöhet.

Néhány éve Lorrie Cranor, az FTC (Federal Trade Commission) technológusa beszélt először arról, hogy a jelszókezelési szabályok – például a rövid időközönként kikényszerített jelszóváltoztatás – nem hogy növelné, hanem kifejezetten csökkenti a biztonságot. Cranor okfejtését a neves biztonsági kutató és megmondó ember, Bruce Schneier is igencsak megfontolandónak találta, többször is írt róla blogjában (Cranor elméletével itt foglalkoztunk részletesen).

Mivel a jelszó mind a mai napig az egyik legfontosabb biztonsági elem, a NIST (National Institute of Standards and Technology) is újragondolásra érdemesnek tartotta a vele kapcsolatos ajánlásait. Az USA kereskedelmi minisztériumának szervezete május elején zárta le az általa kidolgozott új digitális azonosságkezelési irányelvek (Digital Identity Guidelines) nyilvános vitáját, amely új elveket fogalmaz meg a jelszóhasználattal szemben.

A Digital Identity Guidelines előírásainak alkalmazása ugyan csak az amerikai szövetségi szervezeteknél és intézményekben kötelező, de jelentős a hatása globálisan is. A NIST szabályozására ugyanis minden olyan szervezet, vállalat figyel, amely igyekszik követni a legjobb biztonsági gyakorlatokat.

Mit kell máshogy csinálni?

Az ESET szakértői kimazsolázták azokat a módosításokat, melyek a leginkább érintik a jelszókezelést. Van köztük néhány igencsak figyelemre méltó.

1. Megszűnik a kötelező szabály a jelszavak összetételéről. Jelenleg az az elv, hogy egy erős jelszónak kell tartalmaznia kis- és nagybetűket, számokat és speciális karaktereket is. (Egyes weboldalakon ki is kényszerítik ennek betartását, és mi is többször foglalkoztunk azzal, hogy mitől lesz erős a jelszó, például itt.)

A legújabb kutatások fényében azonban a NIST szerint ez az elv nem eredményez erősebb jelszavakat, sőt sokszor éppen ez az elv az, ami miatt a felhasználók gyenge jelszavakat választanak. Például a választott jelszó formailag megfelel ugyan az előírásnak, de hogy a felhasználó könnyen meg tudja jegyezni (és így valószínűleg más is könnyen ki tudja találni), mégis könnyen visszafejthető. De az sem ad jobb eredményt, ha nehezen megjegyezhető jelszót választ valaki, mert akkor általában ő is nehezen jegyzi meg, ezért valahol tárolja jellemzően nem biztonságos módon.

Ettől természetesen még igaz, hogy minél bonyolultabb és véletlenszerűbb egy jelszó karakterlánca, annál erősebb.

2. Jönnek a feketelisták. A formai szabályozás helyett a NIST bevezetné a feketelistát a leggyakrabban használt és a kompromittálódott jelszavakra.

3. Nem lesz a rendszeres és kötelező jelszóváltoztatás. Az új irányelv konkrétan a Lorrie Cranor felvetette problémára is reagál. A javaslat szerint az alkalmazások, szolgáltatások ne kérjenek rendszeres jelszóváltoztatást a felhasználóktól, csak akkor, ha egy szervezetet támadás vagy adatvesztés ért. Az NIST magyarázata is egybeesik Cranoréval: a rendszeres jelszóváltoztatás kikényszerítése a felhasználókat arra sarkalja, hogy gyenge jelszavakat használjanak. Cranor és Schneier szerint is elkezdenek jól követhető mintázatok szerint módosítani a jelszavakon, amivel újabb eszközt adnak a jelszó-visszafejtők kezébe.

4. Ne javasolt jelszó-emlékeztető és a tudásalapú azonosítás. Mindkét eszköz akkor segíti a felhasználót, ha elfelejtette a jelszavát. Azokon az oldalakon, szolgáltatásokban, melyek ilyen elemet is tartalmaznak, valamilyen, a felhasználóra jellemző infót kérnek, hiszen azt senki sem felejti el. Csakhogy ezek az adatok a kiberbűnözők számára is értéket jelentenek, akár további támadásokban is segíthetnek. Sok oldal éppen ezért már most sem alkalmazza ezt a módszert.

5. Több karakterből lehet választani. Bár a jelszóval szembeni kötelező formai követelményeket megszüntetné a NIST, attól még az erős jelszó korábbi jellemzői (pl. véletlenszerű karakterlánc, kéisbetű-nagybetű kombináció stb.) igazak maradnak. Éppen ezért fontos, hogy a tervek szerint a felhasználók a jövőben minden nyomtatható ASCII és UNICODE karaktert felhasználhatnak a jelszavaikban, hangulatjeleket vagy szóközt is.

6. Egy jelszónak legalább 8 karakterből kell állnia. A NIST új irányelve kulcsszerepet tulajdonít a jelszavak hosszának: a minimum 8, a maximum pedig 64 karakter. Ugyanakkor a szakértők szerint – mint arra az ESET összefoglalója is felhívja a figyelmet – 10 karakterig nincs különösebben nagy különbség egy jelszó feltörésének időigényében, de az 11 karakternál már jelentősen megnő, így érdemes legalább ilyen hosszú jelszavakat használni.

A jelszó önmagában kevés

Bár a NIST az ajánlások betartásától azt várja, hogy javul a jelszavakkal garantálható biztonság szintje, továbbra is igaz, hogy az egyfaktoros azonosítás már közel sem elég, hangsúlyozza a szervezet által közzétett dokumentum. Ha valaki a felhasználói fiókját és a védett erőforrásait valóban biztonságban akarja tudni, továbbra is többfaktoros azonosításban kell gondolkodnia.

Ebben azonban szintén vannak új elemek. Mindenekelőtt az, hogy a NIST a mobilbiztonsági kockázatok miatt nem javasolja, hogy SMS-ben küldött egyszeri belépési kódot alkalmazzunk második azonosítási faktornak. Sokkal megbízhatóbb a szoftveres token vagy az erre a célra kifejlesztett alkalmazások által generált, egyszer használatos jelszavak használata.

A NIST célja az új ajánlásokkal kettős: úgy tenni biztonságosabbá a jelszavak kezelését, hogy közben az azonosítási folyamat felhasználóbarátabbá váljon. A két igény között nehéz megtalálni az egyensúlyt, de hogy érdemes rá törekedni, jól mutatják Lorrie Cranor megállapításai is: a kényelmetlenség – például a rendszeres jelszóváltoztatás kényszere – inkább gyengíti a biztonságot. Jól érzékelhető, hogy a NIST is igyekezett reagálni a jelszókezelési módszerek utóbbi években feltárt kockázataira.

Az új ajánlások átültetése a gyakorlatba időt vesz igénybe. Nem feltétlenül a technológiai megvalósítás kell sok idő, hanem inkább ahhoz, hogy elvégezzék az ajánlások kockázatainak elemzését, valamint implementálásuk közvetett, más rendszerekre gyakorolt hatásainak feltérképezését.

Biztonság

Ismét keresik a hazai digitális szakma női példaképeit

A 40 év feletti női szakemberek elismerését célzó pályázatot immár harmadszorra hirdette meg az IVSZ és a WiTH.
 
Ezt már akkor sokan állították, amikor a Watson vagy a DeepMind még legfeljebb érdekes játék volt, mert jó volt kvízben, sakkban vagy góban.
Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.