SG.hu
Szabványosítanák az elfogadható jelszavakat
Az amerikai Nemzeti Szabványügyi és Technológiai Intézet (National Institute of Standards and Technology, NIST) által javasolt irányelvek célja, hogy véget vessenek a legképtelenebb jelszószabályoknak.
A NIST egy amerikai szövetségi testület, amely technológiai szabványokat állít fel a kormányzati szervek, szabványügyi szervezetek és magánvállalatok számára. Informatikai rendszerekre vonatkozó ajánlásai és szabályai a Microsoft, a Google és más amerikai IT-cégek által a világ minden részén megjelennek. Most javaslatot tettek néhány, a jelszavakra vonatkozó legbosszantóbb és legképtelenebb követelmény betiltására. Ezek közül a legfontosabbak a kötelező visszaállítás, bizonyos karakterek kötelező vagy korlátozott használata, valamint a biztonsági kérdések használata.
Az erős jelszavak kiválasztása és biztonságos tárolása a jó kiberbiztonsági rendszer egyik legnagyobb kihívást jelentő része. Még nagyobb kihívást jelent a munkáltatók, szövetségi ügynökségek és az online szolgáltatások szolgáltatói által előírt jelszószabályoknak való megfelelés. Gyakran előfordul, hogy a szabályok - amelyek látszólag a biztonság fokozását szolgálják - valójában aláássák azt.
Az SP 800-63-4 nyilvános tervezete a digitális személyazonosságra vonatkozó iránymutatás legújabb változata. A nagyjából 35 000 szavas, zsargonnal és bürokratikus kifejezésekkel teli dokumentumot szinte lehetetlen végigolvasni, és ugyanilyen nehéz teljesen megérteni. A dokumentum meghatározza mind a technikai követelményeket, mind az ajánlott legjobb gyakorlatokat az online digitális személyazonosságok hitelesítésére használt módszerek érvényességének megállapítására. A szövetségi kormánnyal online kapcsolatban álló szervezeteknek meg kell felelniük ezeknek a követelményeknek.
* A jelszavaknak szentelt rész a józan ész talaján áll, és megkérdőjelez jónéhány általános irányelveket. Egy példa: az új szabályok kizárják azt a követelményt, hogy a végfelhasználók rendszeresen változtassák meg jelszavaikat. Ezt még évtizedekkel ezelőtt vezették be az informatikusok, amikor a jelszavak még könnyen törhetők voltak, és gyakori volt, hogy az emberek közönséges neveket, szótári szavakat és más, könnyen kitalálható kombinációkat választottak. Azóta a legtöbb szolgáltatás megköveteli a véletlenszerűen generált karakterekből vagy mondatokból álló, erősebb jelszavak használatát. Ha a jelszavakat megfelelően választják meg, a rendszeres - jellemzően egy-három havonta történő - megváltoztatásuk követelménye valójában csökkentheti a biztonságot, mivel a többletteher olyan gyengébb jelszavakra ösztönzi az embereket, amelyeket könnyebben beállítanak és megjegyeznek. Mindazonáltal a hitelesítőknek ki kell kényszeríteniük a módosítást, ha kompromittálódására utaló jelek vannak.
Egy másik követelmény, amely gyakran többet árt, mint használ, bizonyos karakterek kötelező használata, például legalább egy szám, egy speciális karakter, valamint egy nagy- és egy kisbetű. A szervezet szerint ha a jelszavak kellően hosszúak és véletlenszerűek, akkor nincs haszna annak, ha bizonyos karakterek használatát megkövetelik vagy korlátozzák. És az összetételre vonatkozó szabályok valójában ahhoz vezethetnek, hogy az emberek gyengébb jelszavakat választanak. A legújabb dokumentum számos más józan ésszel alkalmazható gyakorlatot is tartalmaz, többek között:
A hitelesítőknek és a hitelesítésszolgáltatóknak meg KELL követelniük, hogy a jelszavak hossza legalább nyolc karakter legyen, és követelniük KELL, hogy a jelszavak hossza legalább 15 karakter legyen.
A hitelesítőknek és a hitelesítésszolgáltatóknak legalább 64 karakteres maximális jelszóhosszúságot meg KELL engedniük.
A hitelesítőknek és a hitelesítésszolgáltatóknak a jelszavakban el KELL fogadniuk az összes nyomtatott ASCII [RFC20] karaktert és a szóköz karaktert.
A hitelesítőknek és a hitelesítésszolgáltatóknak el KELL fogadniuk az Unicode [ISO/ISC 10646] karaktereket a jelszavakban. Minden Unicode kódpontot egyetlen karakterként KELL számolni a jelszó hosszának értékelésekor.
A hitelesítők és a hitelesítésszolgáltatók NEM írhatnak elő egyéb összetételi szabályokat (pl. különböző karaktertípusok keverékének megkövetelése) a jelszavakra vonatkozóan.
A hitelesítők és a hitelesítésszolgáltatók NEM kérhetik az előfizetőket, hogy a jelszavak kiválasztásakor tudásalapú hitelesítést (pl. „Mi volt az első háziállata neve?”) vagy biztonsági kérdéseket használjanak.
A hitelesítők a teljes megadott jelszót KELL, hogy ellenőrizzék (azaz ne vágják le).
Az iránymutatások korábbi változataiban néhány szabályban a „nem kellene” kifejezés szerepelt, ami azt jelenti, hogy az adott módszer nem ajánlott legjobb gyakorlatként. A „nem szabad” ezzel szemben azt jelenti, hogy a gyakorlatot ki kell zárni ahhoz, hogy egy szervezet megfeleljen a követelményeknek.
A kritikusok évek óta figyelmeztetnek, hogy sok általánosan használt jelszószabály valójában csak károkat okoz, a bankok, online szolgáltatások és kormányzati szervek mégis nagyrészt ragaszkodnak ezekhez. Az új irányelvek, amennyiben véglegesek lesznek, nem lesznek általánosan kötelező érvényűek, de meggyőző vitaindítóként szolgáltathatnak a képtelenségek megszüntetése mellett.
A NIST egy amerikai szövetségi testület, amely technológiai szabványokat állít fel a kormányzati szervek, szabványügyi szervezetek és magánvállalatok számára. Informatikai rendszerekre vonatkozó ajánlásai és szabályai a Microsoft, a Google és más amerikai IT-cégek által a világ minden részén megjelennek. Most javaslatot tettek néhány, a jelszavakra vonatkozó legbosszantóbb és legképtelenebb követelmény betiltására. Ezek közül a legfontosabbak a kötelező visszaállítás, bizonyos karakterek kötelező vagy korlátozott használata, valamint a biztonsági kérdések használata.
Az erős jelszavak kiválasztása és biztonságos tárolása a jó kiberbiztonsági rendszer egyik legnagyobb kihívást jelentő része. Még nagyobb kihívást jelent a munkáltatók, szövetségi ügynökségek és az online szolgáltatások szolgáltatói által előírt jelszószabályoknak való megfelelés. Gyakran előfordul, hogy a szabályok - amelyek látszólag a biztonság fokozását szolgálják - valójában aláássák azt.
Az SP 800-63-4 nyilvános tervezete a digitális személyazonosságra vonatkozó iránymutatás legújabb változata. A nagyjából 35 000 szavas, zsargonnal és bürokratikus kifejezésekkel teli dokumentumot szinte lehetetlen végigolvasni, és ugyanilyen nehéz teljesen megérteni. A dokumentum meghatározza mind a technikai követelményeket, mind az ajánlott legjobb gyakorlatokat az online digitális személyazonosságok hitelesítésére használt módszerek érvényességének megállapítására. A szövetségi kormánnyal online kapcsolatban álló szervezeteknek meg kell felelniük ezeknek a követelményeknek.
* A jelszavaknak szentelt rész a józan ész talaján áll, és megkérdőjelez jónéhány általános irányelveket. Egy példa: az új szabályok kizárják azt a követelményt, hogy a végfelhasználók rendszeresen változtassák meg jelszavaikat. Ezt még évtizedekkel ezelőtt vezették be az informatikusok, amikor a jelszavak még könnyen törhetők voltak, és gyakori volt, hogy az emberek közönséges neveket, szótári szavakat és más, könnyen kitalálható kombinációkat választottak. Azóta a legtöbb szolgáltatás megköveteli a véletlenszerűen generált karakterekből vagy mondatokból álló, erősebb jelszavak használatát. Ha a jelszavakat megfelelően választják meg, a rendszeres - jellemzően egy-három havonta történő - megváltoztatásuk követelménye valójában csökkentheti a biztonságot, mivel a többletteher olyan gyengébb jelszavakra ösztönzi az embereket, amelyeket könnyebben beállítanak és megjegyeznek. Mindazonáltal a hitelesítőknek ki kell kényszeríteniük a módosítást, ha kompromittálódására utaló jelek vannak.
Egy másik követelmény, amely gyakran többet árt, mint használ, bizonyos karakterek kötelező használata, például legalább egy szám, egy speciális karakter, valamint egy nagy- és egy kisbetű. A szervezet szerint ha a jelszavak kellően hosszúak és véletlenszerűek, akkor nincs haszna annak, ha bizonyos karakterek használatát megkövetelik vagy korlátozzák. És az összetételre vonatkozó szabályok valójában ahhoz vezethetnek, hogy az emberek gyengébb jelszavakat választanak. A legújabb dokumentum számos más józan ésszel alkalmazható gyakorlatot is tartalmaz, többek között:
Az iránymutatások korábbi változataiban néhány szabályban a „nem kellene” kifejezés szerepelt, ami azt jelenti, hogy az adott módszer nem ajánlott legjobb gyakorlatként. A „nem szabad” ezzel szemben azt jelenti, hogy a gyakorlatot ki kell zárni ahhoz, hogy egy szervezet megfeleljen a követelményeknek.
A kritikusok évek óta figyelmeztetnek, hogy sok általánosan használt jelszószabály valójában csak károkat okoz, a bankok, online szolgáltatások és kormányzati szervek mégis nagyrészt ragaszkodnak ezekhez. Az új irányelvek, amennyiben véglegesek lesznek, nem lesznek általánosan kötelező érvényűek, de meggyőző vitaindítóként szolgáltathatnak a képtelenségek megszüntetése mellett.