Content
- Sense errors, sense estrès: la vostra guia pas a pas per crear programes que canvien la vida sense destruir la vida
- Dissonància cognitiva i la mentalitat de la rajada
- Nous estàndards NIST: què hi ha a l'interior?
- Per què és millor una frase de contrasenya?
- Sense consells!
- No, no és Waffle House! Salat, picat i estirat
- Implementació pràctica: resten alguns reptes
- A emportar
Font: designer491 / iStockphoto
Emportar:
Les noves regles NIST permeten als usuaris respirar un alleujament sobre les polítiques de contrasenya
Hi ha grans canvis en el plantejament que els agradaria tant els administradors de sistemes com els usuaris habituals, que tenen a veure amb els protocols de contrasenya.
Les contrasenyes són un fet de la vida: la majoria de nosaltres en tenim moltes. No els podem recordar tots i gairebé no hi ha manera de fer-ne un seguiment, tret que els comencem a escriure. Una altra alternativa és recordar només les contrasenyes que utilitzeu amb regularitat i demanar restabliments de contrasenya quan hagueu d’accedir als altres llocs, però això és un munt de restabliments de contrasenya! Experts com Cormac Herley, investigador de Microsoft, han continuat les seves xerrades parlant sobre els enormes costos del temps del restabliment de contrasenyes i sobre com pot costar grans empreses milions de dòlars cada any. També costa als usuaris milions de minuts, fent un cop d’ull al teclat, tant si intenten veure dades personals, registrar-se en un servei o comprar alguna cosa en una botiga de comerç electrònic.
Què podem fer? I quins són els aspectes més obstructors i molestos del nostre ús de contrasenya que ens fan voler llançar els nostres ordinadors i dispositius per la finestra?
Els nous informes demostren que, com a societat, podríem alliberar-nos d'alguns molestos problemes de contrasenya. Continuant amb les noves investigacions sobre ciberseguretat, probablement progressarem més enllà d’algunes de les normes de seguretat actuals que ens han provocat tanta estrès durant els darrers anys.
Un article del Wall Street Journal arriba a mostrar els companys darrere d'algunes d'aquestes regles i obtenir els seus comentaris sobre el motiu pel qual potser no calen més.
El 7 d'agost de 2017, l'escriptor de la WSJ Robert McMillan va lliurar un full bomba en forma de peça investigadora a Bill Burr, l'autor d'un treball de 2003 que va acabar tenint grans efectes en els estàndards de la contrasenya corporativa. Burr va treballar a l’Institut Nacional de Normes i Tecnologia, l’agència federal encarregada d’avaluar la innovació tecnològica als EUA.
"L'home que va escriure el llibre sobre la gestió de contrasenyes té una confessió", comença la peça de McMillan. "El va bufar."
A partir d’aquí, l’article continua descrivint dos problemes d’errors de l’era digital que han complexat la nostra vida. El primer és aquells requisits agreujants per incloure caràcters especials en una contrasenya. L’altra són canvis freqüents de contrasenya.
Sense errors, sense estrès: la vostra guia pas a pas per crear programes que canvien la vida sense destruir la vida
No podeu millorar les vostres habilitats de programació quan ningú es preocupa per la qualitat del programari.
Ambdues pràctiques triguen molt de temps quan es parla de desenes de contrasenyes individuals. El primer, però, també és un cas clàssic de “mala interfície”, no és intuïtiu i obliga a la gent a solucionar-se.
Dissonància cognitiva i la mentalitat de la rajada
La majoria de nosaltres podem semblar “sentir” com aquests estàndards de contrasenya provoquen confusió en els nostres cervells. Davant l’opció molt abstracta d’incloure un número i un caràcter especial en una contrasenya, que d’altra manera és una cadena alfabètica, molts de nosaltres simplement esborraran un "1!", Que no solen ser realment informatius dels pirates informàtics. De fet, com més triem les mateixes opcions genèriques, més fàcil es converteix en trencar les nostres contrasenyes. (Obteniu més informació sobre els pirates informàtics en la Recerca de seguretat ajuda realment als pirates informàtics?)
Afegiu, a més a més, el requisit que els usuaris actualitzin les seves contrasenyes cada mes o tres mesos més o menys.
El raonament d’aquest requisit és que l’antiga contrasenya s’hauria de canviar en una cosa totalment diferent, però massa sovint, no és així com funciona. Tractant de manejar el ritme cerebral addicional de recordar una contrasenya totalment nova, l’usuari agafarà la contrasenya antiga i canviarà una lletra o un número. Ara, l'antiga contrasenya és un "indicador" important per a la nova: es converteix en un passiu.
Nous estàndards NIST: què hi ha a l'interior?
Tot això canviarà les noves regles que està desenvolupant NIST.
La publicació especial 800-63-3 és una actualització de la versió original que ofereix molt del que alguns experts diuen que s'haurien d'aplicar al llarg del temps.
Primer, s’eliminen les regles de composició, com ara haver d’introduir un punt d’exclamació a la vostra contrasenya i el requisit de caducitats rutinàries.
El que afegeix NIST 800-63-3 és centrar-se en pràctiques de seguretat “realistes”.
Les noves regles posen en relleu l’autenticació multi-factor, que els escriptors descriuen com barrejar una contrasenya (cosa que recordeu) amb una clau física o una clau (alguna cosa que teniu) o un tros de dades biomètriques (alguna cosa que en forma part). Altres suggeriments són l’ús de claus criptogràfiques i la necessitat d’acceptar tots els caràcters ASCII capaços, així com una longitud superior de 64 caràcters i una longitud mínima de vuit. (Obteniu més informació sobre la biometria sobre com pot ajudar la biometria passiva en la seguretat de les dades de TI.)
En una presentació de presentacions de diapositives pública titulada "Cap a millors requisits de contrasenya", l'expert en investigació en seguretat Jim Fenton exposa en detall moltes d'aquestes solucions com "has de fer" i "no ho farà", explicant també com NIST recomana crear un diccionari de contrasenyes fàcilment habilitables. que s'hauria de prohibir automàticament.
"Si no és fàcil, els usuaris fan trampes", escriu Fenton, examinant algunes de les regles comunes que faran més difícil que les contrasenyes febles comprometin una xarxa.
Els experts també suggereixen que els usuaris pensin en una "frase de contrasenya" o un conjunt de paraules per a una contrasenya, en lloc dels embussos de sopa alfanumèrica que ens han entrenat per proporcionar.
Per què és millor una frase de contrasenya?
Hi ha moltes maneres d’explicar per què una frase de contrasenya llarga com ara “burro total de bicicleta d’ou” serà una opció més forta de contrasenya que una cosa com “MisterA1!” - però el més senzill té a veure amb una mètrica molt comprensible: la longitud.
Una idea al cor de les noves regulacions NIST és que, d’alguna manera, hem estat fonamentant la nostra estratègia de contrasenya en allò que té sentit per als humans, sense deixar de banda el que té sentit per a les màquines.
Alguns personatges aleatoris poden desconcertar els pirates informàtics humans, però és probable que els ordinadors no siguin fàcilment balancejats per un número o un caràcter addicional al final d'una contrasenya. Això és degut a que, a diferència dels humans, els equips no llegeixen contrasenyes amb sentit. Simplement els llegeixen per corda.
Un atac de força bruta és quan un ordinador recorre totes les possibles permutacions de caràcters per intentar "entrar" en trobar la combinació adequada, la seleccionada originalment per l'usuari. Quan es produeixen aquests atacs, el que importa és la complexitat de la vostra contrasenya i cada personatge addicional aporta una complexitat enorme, gairebé exponencial.
Tenint en compte això, una frase de contrasenya serà exponencialment més forta, tot i que "sembla" més fàcil per a l'ull humà.
Amb l’ampliació de la longitud màxima d’una contrasenya a 64 caràcters, les noves directrius NIST proporcionen als usuaris la contrasenya que necessiten, sense imposar gaires normes contraintuitives.
Sense consells!
A molts administradors els encantarà desfer-se dels requisits especials de caràcter i totes aquelles actualitzacions de contrasenya amb molta feina, però hi ha una altra característica que també obté la destral, ja que els professionals llegeixen les noves directrius NIST.
Molts sistemes demanen als usuaris nous que afegeixin dades sobre ells mateixos a una base de dades durant la borda: la idea és que més tard, si obliden la seva contrasenya, el sistema els pugui autentificar a partir d’alguns pensaments sobre el seu passat que ningú més sabria. Per exemple: Quin va ser el teu primer cotxe? Quin era el nom de la teva primera mascota? Quin és el nom de la mare de ta mare?
Aquesta és una altra d'aquestes tendències que a molts de nosaltres ens ha sentit incòmoda. De vegades, les preguntes semblen intrusives. Els escèptics amb seguretat asseguren que també n’hi ha molts que vàrem conduir primer un Chevrolet o, en un jove exuberança, anomenat el nostre primer gos “Spot”.
Després hi ha la càrrega de treball de mantenir la base de dades i adaptar les respostes quan siguin necessàries.
És segur dir que no molta gent es llençarà de la desaparició de les funcions de "suggeriment de contrasenya" quan hi hagi millors opcions perquè l'activitat dels usuaris sigui realment segura.
No, no és Waffle House! Salat, picat i estirat
En altres novetats, els experts també recomanen les "contrasenyes" de les contrasenyes, que consisteix en crear una cadena de caràcters aleatòria abans d'un procés de "hashing", que mapeja un conjunt de dades a un altre, canviant així el maquillatge de la contrasenya i fa més difícil de trencar. També hi ha un procés anomenat “estirament” específicament dissenyat per combatre atacs de força bruta, en part fent que el procés d’avaluació sigui més lent.
El que tenen en comú totes aquestes funcions és que es desenvolupen en l'àmbit administratiu, i no a l'abast de l'usuari. L’usuari mitjà no vol res a veure amb aquest tipus de coses procedimentals: només vol accedir i fer tot allò que cal fer en un sistema de xarxa, ja sigui si es tracta de realitzar tasques de treball, de treballar amb xarxa o de comprar o vendre alguna cosa. en línia. Així, en treure les regles de contrasenya del "client" i fer una gran part de la seguretat administrativa, les empreses i altres parts interessades poden millorar l'experiència de l'usuari.
Aquest és un punt clau, perquè millorar l'experiència dels usuaris és el que es refereix a moltes novetats tecnològiques. Hem arribat al punt que hem tret una gran quantitat de funcionalitats als nostres ordinadors, telèfons intel·ligents i altres dispositius. Molts dels avenços que realitzarem en els pròxims anys consisteixen en fer més fàcils les tasques virtuals i en alliberar-nos de la molèstia. d’una experiència: com ara un lloc web que no és el primer mòbil, una interfície glitchy, poca durada de la bateria ... o un inici de sessió tediós! És allà on entra la innovació de la contrasenya. Tornant a la idea de l’autenticació de diversos factors, és probable que la biomètrica desbloqueixi encara més facilitat d’ús per a dispositius: per què toqueu i introduïu contrasenyes llargues quan només pugueu mostrar al vostre aparell qui. estan amb un dit?
Implementació pràctica: resten alguns reptes
Tot i així, com hem dit, de moment hem quedat claus amb contrasenyes i PIN. Per exemple, alguns sistemes operatius més nous han passat d’un PIN de quatre números a un PIN de sis números, cosa que fa que molts de nosaltres siguem molt més lents en el sorteig dels nostres dispositius.
Una de les qüestions relacionades amb l'enfocament de "contrasenya" recomanat per NIST és que encara hi haurà restabliments de contrasenya (tal com es discuteix en aquest fil sobre Naked Security). La gent continua oblidant les seves contrasenyes. Alguns suggereixen que pot ser més difícil per a les persones de TI emetre contrasenyes noves quan les originals siguin molt més llargues.
Tanmateix, pot ser que hi hagi algun potencial aquí quan es tracti d’autenticació de múltiples factors. Les biomètriques no són realment acumulades, però gairebé tothom té un telèfon mòbil. Molts sistemes de banca en línia i altres sistemes utilitzen SMS per autenticar usuaris. Podria ser una manera fàcil de comprovar els comptes on s’ha perdut o oblidat la contrasenya. És també una manera clau de reforçar una contrasenya en general, com s'ha esmentat anteriorment.
A emportar
Si sou administrador de xarxa, quines són les normes que us expliquen les NIST?
Essencialment, l’agència federal sembla que diu als directius: relaxeu-vos. Permeteu als usuaris fer allò que fan de manera intuïtiva, amb un millor xifrat, un diccionari de cadenes prohibides i un camp d’entrada més llarg amb més versatilitat. No els ensenyi a escriure les seves contrasenyes amb asteriscs i caràcters especials. I no els feu tornar a renovar tot el procés cada poques setmanes.
Tot plegat farà que una plataforma determinada sigui més lleugera i significativa. L'eliminació dels suggeriments de contrasenya només elimina una base de codis significativa amb tots els seus requeriments de recursos. Les noves regles NIST posen la seguretat de la contrasenya on pertany: de les mans de l'usuari idiosincràtic i en un lloc obscur on les funcions tècniques fan que l'historial sigui fàcil d'atacs amb força bruta. Ens van permetre a tots adoptar un nou enfocament refrescant al que ha estat un procés intentant: elaborar paraules i frases úniques per a tots els racons de la nostra vida digital. És un pas més cap a un món d’interfícies d’usuari més intuïtius: un món digital nou i millorat on el que fem se sent més natural i menys confús.