Contenuto
- Nessun bug, nessuno stress: la tua guida passo passo alla creazione di software che ti cambia la vita senza distruggere la tua vita
- Dissonanza cognitiva e mentalità da gregge
- Nuovi standard NIST: cosa c'è dentro?
- Perché una passphrase è migliore?
- Nessun suggerimento!
- No, non è Waffle House! Salatura, Hashing e Stretching
- Implementazione pratica: restano alcune sfide
- Takeaways
Fonte: designer491 / iStockphoto
Porta via:
Le nuove regole NIST fanno sì che gli utenti tirino un sospiro di sollievo sulle politiche relative alle password
Ci sono grandi cambiamenti in arrivo che potrebbero piacere sia agli amministratori di sistema che agli utenti regolari: hanno a che fare con i protocolli di password.
Le password sono un dato di fatto: la maggior parte di noi ne ha troppe. Non possiamo ricordarli tutti e non c'è quasi modo di tenerne traccia a meno che non iniziamo a scriverli. Un'altra alternativa è semplicemente ricordare le password che usi regolarmente e chiedere la reimpostazione delle password quando devi accedere agli altri siti, ma sono molte le reimpostazioni delle password! Esperti come Cormac Herley, un ricercatore di Microsoft, hanno registrato l'enorme parlare dei tempi enormi di reimpostazione della password e di come può costare alle grandi aziende milioni di dollari ogni anno. Costa anche agli utenti milioni di minuti, beccando la tastiera, indipendentemente dal fatto che stiano cercando di visualizzare i dati personali, iscriversi a un servizio o acquistare qualcosa da un negozio di e-commerce.
Quindi cosa possiamo fare? E quali sono gli aspetti più ostruttivi e fastidiosi della nostra password che ci spingono a scagliare i nostri computer e dispositivi dalla finestra?
Nuovi rapporti mostrano che, come società, potremmo essere in procinto di eliminare alcuni di questi fastidiosi problemi di password. Andando con una nuova ricerca sulla sicurezza informatica, probabilmente progrediremo oltre alcuni degli attuali standard di sicurezza che ci hanno causato così tanto stress negli ultimi anni.
Un articolo sul Wall Street Journal arriva fino a far emergere il collega dietro alcune di queste regole e ottenere il suo contributo sul perché potrebbero non essere più necessarie.
Il 7 agosto 2017, lo scrittore del WSJ Robert McMillan ha consegnato una bomba sotto forma di un pezzo investigativo su Bill Burr, l'autore di un documento del 2003 che ha avuto grandi effetti sugli standard delle password aziendali. Burr ha lavorato presso il National Institute of Standards and Technology, l'agenzia federale incaricata di valutare l'innovazione tecnologica negli Stati Uniti.
"L'uomo che ha scritto il libro sulla gestione delle password ha una confessione da fare", inizia la scia dell'opera di McMillan. "L'ha fatto esplodere."
Da lì, l'articolo continua descrivendo due bugbear dell'era digitale che hanno complicato le nostre vite. Il primo è quei requisiti aggravanti di includere caratteri speciali in una password. L'altro è frequenti cambi di password.
Nessun bug, nessuno stress: la tua guida passo passo alla creazione di software che ti cambia la vita senza distruggere la tua vita
Non puoi migliorare le tue capacità di programmazione quando a nessuno importa della qualità del software.
Entrambe queste pratiche richiedono molto tempo quando parli di dozzine di singole password. Il primo, tuttavia, è anche un classico caso di "cattiva interfaccia": non è intuitivo e costringe le persone a risolvere il problema.
Dissonanza cognitiva e mentalità da gregge
La maggior parte di noi può "sentire" come questi standard di password stiano causando confusione nel nostro cervello. Di fronte alla scelta molto astratta di come includere un numero e un carattere speciale in una password, che altrimenti è una stringa alfabetica, molti di noi semplicemente tratteranno un "1!" Che non tende a sventare gli hacker. In effetti, più scegliamo le stesse scelte generiche, più diventa facile violare le nostre password. (Ulteriori informazioni sugli hacker in Security Research stanno davvero aiutando gli hacker?)
Aggiungete, inoltre, l'obbligo per gli utenti di aggiornare le loro password ogni mese o ogni tre mesi circa.
Il ragionamento alla base di questo requisito è che la vecchia password dovrebbe essere cambiata in qualcosa di completamente diverso, ma troppo spesso non è così che funziona. Nel tentativo di gestire il battito del cervello aggiuntivo di ricordare una nuova password, l'utente prenderà la vecchia password e cambierà una lettera o un numero. Ora, la vecchia password è un importante "tell" per la nuova - diventa una responsabilità.
Nuovi standard NIST: cosa c'è dentro?
Le nuove regole sviluppate da NIST cambieranno tutto ciò.
La Pubblicazione speciale 800-63-3 è un aggiornamento della versione originale che realizza molte delle cose che alcuni esperti sostengono che avrebbero dovuto essere implementate da sempre.
Innanzitutto, elimina sia le regole di composizione, come la necessità di inserire un punto esclamativo nella password, sia il requisito per le scadenze ordinarie.
Ciò che aggiunge NIST 800-63-3 è l'attenzione alle pratiche di sicurezza "realistiche".
Le nuove regole sottolineano l'autenticazione a più fattori, che gli autori descrivono come mescolare una password (qualcosa che ricordi) con una chiave fisica o una chiave magnetica (qualcosa che hai) o un pezzo di dati biometrici (qualcosa che fa parte di te). Altri suggerimenti includono l'uso di chiavi crittografiche e la necessità di accettare tutti i caratteri ASCII in grado, nonché una lunghezza massima di 64 caratteri e una lunghezza minima di otto. (Ulteriori informazioni sulla biometria in Come la biometria passiva può aiutare nella sicurezza dei dati IT.)
In una presentazione pubblica intitolata "Verso una migliore password richiesta", l'esperto di ricerca sulla sicurezza Jim Fenton espone in dettaglio molte di queste correzioni come "tu tagli" e "non devi", spiegando anche come NIST raccomanda di creare un dizionario di password facilmente hackerabili che dovrebbe essere automaticamente proibito.
"Se non è facile, gli utenti imbrogliano", scrive Fenton, esaminando alcune delle regole di buon senso che renderanno più difficile la compromissione di una rete da parte di password deboli.
Gli esperti suggeriscono inoltre che gli utenti pensano a una "passphrase" o a un insieme di parole per una password, piuttosto che al frastuono della zuppa alfanumerica che siamo stati addestrati a fornire.
Perché una passphrase è migliore?
Ci sono molti modi per spiegare perché una passphrase lunga come "asino di bicicletta per uova" sarà una scelta password più forte di qualcosa come "MisterA1!" - ma il più semplice ha a che fare con una metrica molto comprensibile: lunghezza.
Un'idea alla base delle nuove normative NIST è che, in un certo senso, abbiamo basato la nostra strategia di password su ciò che ha senso per gli esseri umani, ignorando ciò che ha senso per le macchine.
Alcuni personaggi casuali potrebbero confondere gli hacker umani, ma è probabile che i computer non siano facilmente influenzati da un numero o carattere aggiuntivo alla fine di una password. Questo perché, a differenza degli umani, i computer non leggono le password per significato. Li leggono semplicemente per stringa.
Un attacco a forza bruta è quando un computer attraversa tutte le possibili permutazioni di personaggi per provare a "irrompere" trovando la giusta combinazione, quella originariamente selezionata dall'utente. Quando si verificano questi attacchi, ciò che conta è la complessità della tua password - e ogni personaggio aggiuntivo aggiunge un'enorme, quasi esponenziale entità di complessità.
Con questo in mente, una passphrase sarà esponenzialmente più forte, anche se "sembra" più facile per l'occhio umano.
Espandendo la lunghezza massima di una password a 64 caratteri, le nuove linee guida del NIST offrono agli utenti la sicurezza della password di cui hanno bisogno, senza imporre molte regole controintuitive.
Nessun suggerimento!
Molti amministratori adoreranno sbarazzarsi dei requisiti dei caratteri speciali e di tutti quegli aggiornamenti di password ad alta intensità di lavoro, ma c'è un'altra caratteristica che sta ottenendo l'ascia mentre i professionisti leggono le nuove linee guida del NIST.
Molti sistemi chiedono ai nuovi utenti di aggiungere fatti su se stessi a un database durante l'onboarding: l'idea è che in seguito, se dimenticano la password, il sistema può autenticarli sulla base di un pensiero sul loro passato che nessun altro avrebbe saputo. Ad esempio: qual è stata la tua prima macchina? Qual era il nome del tuo primo animale domestico? Qual è il cognome da nubile di tua madre?
Questa è un'altra di quelle tendenze che si sono sentite a disagio per molti di noi. A volte, le domande sembrano invadenti. Inoltre, gli scettici attenti alla sicurezza faranno notare che ci sono molti di noi che hanno guidato per la prima volta una Chevrolet o, con un'espressione giovanile di esuberanza, hanno chiamato il nostro primo cane "Spot".
Poi c'è il carico di lavoro per la gestione del database e la corrispondenza delle risposte quando sono necessarie.
È sicuro dire che non troppe persone verseranno lacrime per la scomparsa delle funzioni di "suggerimento password" quando ci sono opzioni migliori per rendere le attività degli utenti veramente sicure.
No, non è Waffle House! Salatura, Hashing e Stretching
In altre innovazioni, gli esperti ora raccomandano anche di "salare" le password, che comporta la creazione di una stringa casuale di caratteri prima di un processo di "hashing" che associa un set di dati a un altro, modificando così la composizione della password e rendendo più difficile la sua violazione. Esiste anche un processo chiamato "stiramento" progettato specificamente per sventare gli attacchi di forza bruta, in parte rendendo più lento il processo di valutazione.
Ciò che accomuna tutte queste funzioni è che si svolgono nel regno amministrativo, non a portata di mano dell'utente. L'utente medio non vuole avere nulla a che fare con questo tipo di cose procedurali: vuole solo avere accesso e fare tutto ciò che c'è da fare in un sistema di rete, sia che si tratti di completare attività di lavoro, fare rete con gli amici o acquistare o vendere qualcosa in linea. Quindi, eliminando le regole della password "lato client" e rendendo molto la sicurezza amministrativa, le aziende e le altre parti interessate possono davvero migliorare l'esperienza dell'utente.
Questo è un punto chiave, perché il miglioramento dell'esperienza utente è alla base di molte nuove innovazioni tecnologiche. Siamo arrivati al punto in cui abbiamo tolto molta funzionalità dai nostri computer, smartphone e altri dispositivi - molti dei progressi che faremo nei prossimi anni riguardano il rendere più semplici le attività virtuali e sbarazzarci del clunkiness di un'esperienza: come un sito Web non mobile-first, un'interfaccia glitch, una scarsa durata della batteria ... o un noioso accesso! È qui che entra in gioco l'innovazione della password. Tornando all'idea dell'autenticazione a più fattori, è probabile che la biometria sblocchi ancora più facilità d'uso per i dispositivi: perché toccare e digitare password lunghe quando si può semplicemente mostrare al proprio dispositivo chi sono con un dito?
Implementazione pratica: restano alcune sfide
Come abbiamo detto, tuttavia, per il momento siamo bloccati con password e PIN. Ad esempio, alcuni sistemi operativi più recenti sono passati da un PIN a quattro numeri a un PIN a sei numeri, rendendo molti di noi molto più lenti nel disegnare sui nostri dispositivi.
Un problema con l'approccio "passphrase" raccomandato da NIST è che ci saranno ancora reimpostazioni di password (come discusso in questo thread su Naked Security). Le persone continueranno a dimenticare le loro password. Alcuni suggeriscono che potrebbe essere più difficile per le persone IT emettere nuove password quando quelle originali sono molto più lunghe.
Tuttavia, potrebbe esserci qualche potenziale qui quando si tratta di autenticazione a più fattori. La biometria non ha ancora preso piede, ma quasi tutti hanno un telefono cellulare. Molti sistemi bancari online e altri sistemi utilizzano SMS per autenticare gli utenti. Questo potrebbe essere un modo semplice per controllare gli account in cui la password è stata persa o dimenticata. È anche un modo chiave per rafforzare una password in generale, come menzionato sopra.
Takeaways
Se sei un amministratore di rete, cosa ti dicono le nuove regole NIST?
In sostanza, l'agenzia federale sembra dire ai dirigenti: rilassati. Consenti agli utenti di fare ciò che fanno in modo intuitivo, con una migliore crittografia, un dizionario di stringhe vietate e un campo di input più lungo con maggiore versatilità. Non insegnare loro a lardare le loro password con asterischi e caratteri speciali carini. E non farli ripetere l'intero processo ogni poche settimane.
Tutto questo renderà una determinata piattaforma più snella e più cattiva. Solo l'eliminazione dei suggerimenti per le password porta via una base di codice significativa con tutti i suoi requisiti di risorse. Le nuove regole del NIST mettono la sicurezza della password al suo posto: dalle mani dell'utente idiosincratico e in un luogo oscuro in cui le funzioni tecniche rendono la storia degli attacchi di forza bruta facile di ieri. Ci hanno permesso di adottare un nuovo approccio rilassato a quello che è stato un processo difficile: creare piccole parole e frasi uniche per ogni angolo della nostra vita digitale. È un ulteriore passo in avanti verso un mondo di interfacce utente più intuitive: un mondo digitale nuovo e migliorato in cui ciò che facciamo è più naturale e meno confuso.