Újragondolta a NIST a személyazonosságra vonatkozó irányelveit. A nyilvános vita lezárult. A jelszavakban komoly változás jöhet.

Néhány éve Lorrie Cranor, az FTC (Federal Trade Commission) technológusa beszélt először arról, hogy a jelszókezelési szabályok – például a rövid időközönként kikényszerített jelszóváltoztatás – nem hogy növelné, hanem kifejezetten csökkenti a biztonságot. Cranor okfejtését a neves biztonsági kutató és megmondó ember, Bruce Schneier is igencsak megfontolandónak találta, többször is írt róla blogjában (Cranor elméletével itt foglalkoztunk részletesen).

Mivel a jelszó mind a mai napig az egyik legfontosabb biztonsági elem, a NIST (National Institute of Standards and Technology) is újragondolásra érdemesnek tartotta a vele kapcsolatos ajánlásait. Az USA kereskedelmi minisztériumának szervezete május elején zárta le az általa kidolgozott új digitális azonosságkezelési irányelvek (Digital Identity Guidelines) nyilvános vitáját, amely új elveket fogalmaz meg a jelszóhasználattal szemben.

A Digital Identity Guidelines előírásainak alkalmazása ugyan csak az amerikai szövetségi szervezeteknél és intézményekben kötelező, de jelentős a hatása globálisan is. A NIST szabályozására ugyanis minden olyan szervezet, vállalat figyel, amely igyekszik követni a legjobb biztonsági gyakorlatokat.

Mit kell máshogy csinálni?

Az ESET szakértői kimazsolázták azokat a módosításokat, melyek a leginkább érintik a jelszókezelést. Van köztük néhány igencsak figyelemre méltó.

1. Megszűnik a kötelező szabály a jelszavak összetételéről. Jelenleg az az elv, hogy egy erős jelszónak kell tartalmaznia kis- és nagybetűket, számokat és speciális karaktereket is. (Egyes weboldalakon ki is kényszerítik ennek betartását, és mi is többször foglalkoztunk azzal, hogy mitől lesz erős a jelszó, például itt.)

A legújabb kutatások fényében azonban a NIST szerint ez az elv nem eredményez erősebb jelszavakat, sőt sokszor éppen ez az elv az, ami miatt a felhasználók gyenge jelszavakat választanak. Például a választott jelszó formailag megfelel ugyan az előírásnak, de hogy a felhasználó könnyen meg tudja jegyezni (és így valószínűleg más is könnyen ki tudja találni), mégis könnyen visszafejthető. De az sem ad jobb eredményt, ha nehezen megjegyezhető jelszót választ valaki, mert akkor általában ő is nehezen jegyzi meg, ezért valahol tárolja jellemzően nem biztonságos módon.

Ettől természetesen még igaz, hogy minél bonyolultabb és véletlenszerűbb egy jelszó karakterlánca, annál erősebb.

2. Jönnek a feketelisták. A formai szabályozás helyett a NIST bevezetné a feketelistát a leggyakrabban használt és a kompromittálódott jelszavakra.

3. Nem lesz a rendszeres és kötelező jelszóváltoztatás. Az új irányelv konkrétan a Lorrie Cranor felvetette problémára is reagál. A javaslat szerint az alkalmazások, szolgáltatások ne kérjenek rendszeres jelszóváltoztatást a felhasználóktól, csak akkor, ha egy szervezetet támadás vagy adatvesztés ért. Az NIST magyarázata is egybeesik Cranoréval: a rendszeres jelszóváltoztatás kikényszerítése a felhasználókat arra sarkalja, hogy gyenge jelszavakat használjanak. Cranor és Schneier szerint is elkezdenek jól követhető mintázatok szerint módosítani a jelszavakon, amivel újabb eszközt adnak a jelszó-visszafejtők kezébe.

4. Ne javasolt jelszó-emlékeztető és a tudásalapú azonosítás. Mindkét eszköz akkor segíti a felhasználót, ha elfelejtette a jelszavát. Azokon az oldalakon, szolgáltatásokban, melyek ilyen elemet is tartalmaznak, valamilyen, a felhasználóra jellemző infót kérnek, hiszen azt senki sem felejti el. Csakhogy ezek az adatok a kiberbűnözők számára is értéket jelentenek, akár további támadásokban is segíthetnek. Sok oldal éppen ezért már most sem alkalmazza ezt a módszert.

5. Több karakterből lehet választani. Bár a jelszóval szembeni kötelező formai követelményeket megszüntetné a NIST, attól még az erős jelszó korábbi jellemzői (pl. véletlenszerű karakterlánc, kéisbetű-nagybetű kombináció stb.) igazak maradnak. Éppen ezért fontos, hogy a tervek szerint a felhasználók a jövőben minden nyomtatható ASCII és UNICODE karaktert felhasználhatnak a jelszavaikban, hangulatjeleket vagy szóközt is.

6. Egy jelszónak legalább 8 karakterből kell állnia. A NIST új irányelve kulcsszerepet tulajdonít a jelszavak hosszának: a minimum 8, a maximum pedig 64 karakter. Ugyanakkor a szakértők szerint – mint arra az ESET összefoglalója is felhívja a figyelmet – 10 karakterig nincs különösebben nagy különbség egy jelszó feltörésének időigényében, de az 11 karakternál már jelentősen megnő, így érdemes legalább ilyen hosszú jelszavakat használni.

A jelszó önmagában kevés

Bár a NIST az ajánlások betartásától azt várja, hogy javul a jelszavakkal garantálható biztonság szintje, továbbra is igaz, hogy az egyfaktoros azonosítás már közel sem elég, hangsúlyozza a szervezet által közzétett dokumentum. Ha valaki a felhasználói fiókját és a védett erőforrásait valóban biztonságban akarja tudni, továbbra is többfaktoros azonosításban kell gondolkodnia.

Ebben azonban szintén vannak új elemek. Mindenekelőtt az, hogy a NIST a mobilbiztonsági kockázatok miatt nem javasolja, hogy SMS-ben küldött egyszeri belépési kódot alkalmazzunk második azonosítási faktornak. Sokkal megbízhatóbb a szoftveres token vagy az erre a célra kifejlesztett alkalmazások által generált, egyszer használatos jelszavak használata.

A NIST célja az új ajánlásokkal kettős: úgy tenni biztonságosabbá a jelszavak kezelését, hogy közben az azonosítási folyamat felhasználóbarátabbá váljon. A két igény között nehéz megtalálni az egyensúlyt, de hogy érdemes rá törekedni, jól mutatják Lorrie Cranor megállapításai is: a kényelmetlenség – például a rendszeres jelszóváltoztatás kényszere – inkább gyengíti a biztonságot. Jól érzékelhető, hogy a NIST is igyekezett reagálni a jelszókezelési módszerek utóbbi években feltárt kockázataira.

Az új ajánlások átültetése a gyakorlatba időt vesz igénybe. Nem feltétlenül a technológiai megvalósítás kell sok idő, hanem inkább ahhoz, hogy elvégezzék az ajánlások kockázatainak elemzését, valamint implementálásuk közvetett, más rendszerekre gyakorolt hatásainak feltérképezését.

Biztonság

Így vettem hatezer forintért Microsoft Office-t. Ön ne vegyen

Sajnos az ajánlat mellett nem volt ott, amit a híres bűvész, Rodolfo minden trükkje előtt elsütött: „Figyeljék a kezemet, mert csalok!” Sokan bedőltek a trükknek. Girardi Kornél (IPR-Insights) írása.
 
Nem elég beszélni róla, tenni is kell azért, hogy jövőállóbbak legyenek a vállalatok. Szerencsére ebben rengeteg technológia áll már a rendelkezésre, csak győzzünk válogatni közöttük.

a melléklet támogatója az Invitech

A VISZ éves INFOHajó rendezvényén az agilitás nagyvállalati alkalmazhatósága és tanulhatósága volt az egyik kerekasztal témája. Az ott elhangzottakat gondolta tovább Both András (Idomsoft), a kerekasztal egyik résztvevője.

Ez a nyolc technológia alakítja át a gyártást

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az Oracle átáll a féléves verzió-életciklusra, és megszünteti az ingyenes támogatást üzleti felhasználóknak. Mire kell felkészülni? Dr. Hegedüs Tamás licencelési tanácsadó (IPR-Insights Hungary) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2020 Bitport.hu Média Kft. Minden jog fenntartva.