รักษาความปลอดภัยอย่างง่ายดาย: การเปลี่ยนข้อกำหนดรหัสผ่านง่ายขึ้นสำหรับผู้ใช้

ผู้เขียน: Roger Morrison
วันที่สร้าง: 24 กันยายน 2021
วันที่อัปเดต: 6 พฤษภาคม 2024
Anonim
Securing apps and services with Keycloak authentication | DevNation Tech Talk
วิดีโอ: Securing apps and services with Keycloak authentication | DevNation Tech Talk

เนื้อหา



ที่มา: designer491 / iStockphoto

Takeaway:

กฎ NIST ใหม่ช่วยให้ผู้ใช้ถอนหายใจโล่งอกนโยบายรหัสผ่าน

มีการเปลี่ยนแปลงครั้งใหญ่ในหอกที่ทั้งผู้ดูแลระบบและผู้ใช้ทั่วไปอาจชื่นชอบ - พวกเขาต้องทำกับโปรโตคอลรหัสผ่าน

รหัสผ่านเป็นความจริงของชีวิต - พวกเราส่วนใหญ่มีจำนวนมากเกินไป เราจำไม่ได้พวกเขาทั้งหมดและแทบจะไม่มีวิธีใดที่จะติดตามพวกเขาจนกว่าเราจะเริ่มจดบันทึก อีกทางเลือกหนึ่งคือเพียงจำรหัสผ่านที่คุณใช้เป็นประจำและขอรีเซ็ตรหัสผ่านเมื่อคุณต้องการเข้าถึงเว็บไซต์อื่น - แต่นั่นเป็นรหัสผ่านที่รีเซ็ตจำนวนมาก! ผู้เชี่ยวชาญเช่น Cormac Herley นักวิจัยของ Microsoft ได้บันทึกการพูดคุยเกี่ยวกับค่าใช้จ่ายมหาศาลในการรีเซ็ตรหัสผ่านและวิธีการที่ทำให้ บริษัท ยักษ์ใหญ่หลายล้านดอลลาร์ต้องเสียค่าใช้จ่ายในแต่ละปี นอกจากนี้ยังมีค่าใช้จ่ายผู้ใช้หลายล้านนาทีแอบดูที่แป้นพิมพ์ไม่ว่าพวกเขาจะพยายามดูข้อมูลส่วนบุคคลสมัครใช้บริการหรือซื้อบางอย่างจากร้านค้าอีคอมเมิร์ซ

แล้วเราจะทำอย่างไร และอะไรคือสิ่งกีดขวางและน่ารำคาญที่สุดของการใช้รหัสผ่านของเราที่ทำให้เราต้องการที่จะเหวี่ยงคอมพิวเตอร์และอุปกรณ์ออกไปนอกหน้าต่าง?


รายงานใหม่แสดงให้เห็นว่าในฐานะสังคมเราอาจกำลังจะกำจัดปัญหารหัสผ่านที่น่ารำคาญเหล่านี้ ด้วยการวิจัยใหม่เกี่ยวกับความปลอดภัยทางไซเบอร์เราจะก้าวหน้ากว่ามาตรฐานความปลอดภัยในปัจจุบันซึ่งทำให้เราเครียดมากในช่วงไม่กี่ปีที่ผ่านมา

บทความในวารสารวอลล์สตรีทไปจนถึงการนำเสนอเพื่อนเบื้องหลังกฎเหล่านี้และรับข้อมูลของเขาว่าทำไมพวกเขาอาจไม่ต้องการอีกต่อไป

เมื่อวันที่ 7 สิงหาคม 2017 นักเขียน WSJ Robert McMillan ส่งกระสุนในรูปแบบของการสืบสวนใน Bill Burr ผู้เขียนบทความปี 2003 ซึ่งจบลงด้วยผลกระทบใหญ่ต่อมาตรฐานรหัสผ่านขององค์กร Burr ทำงานที่สถาบันมาตรฐานและเทคโนโลยีแห่งชาติหน่วยงานรัฐบาลกลางมอบหมายให้ประเมินนวัตกรรมทางเทคโนโลยีในสหรัฐอเมริกา

“ ชายผู้เขียนหนังสือเกี่ยวกับการจัดการรหัสผ่านมีคำสารภาพที่จะต้องทำ” เริ่มต้นนำบทประพันธ์ของ McMillan “ เขาเป่ามัน”

จากนั้นบทความจะอธิบายถึงข้อผิดพลาดสองประการของยุคดิจิตอลที่ทำให้ชีวิตของเราซับซ้อนขึ้น สิ่งแรกคือข้อกำหนดที่ทำให้รุนแรงขึ้นเพื่อรวมอักขระพิเศษในรหัสผ่าน อื่น ๆ คือการเปลี่ยนแปลงรหัสผ่านบ่อยๆ

ไม่มีข้อบกพร่องไม่มีความเครียด - คู่มือแบบเป็นขั้นตอนเพื่อสร้างซอฟต์แวร์ที่เปลี่ยนแปลงชีวิตโดยไม่ทำลายชีวิตของคุณ

คุณไม่สามารถพัฒนาทักษะการเขียนโปรแกรมของคุณเมื่อไม่มีใครใส่ใจคุณภาพของซอฟต์แวร์


แนวทางปฏิบัติทั้งสองนี้ใช้เวลานานมากเมื่อคุณพูดถึงรหัสผ่านหลายสิบรายการ อย่างไรก็ตามสิ่งแรกคือกรณีคลาสสิกของ "อินเทอร์เฟซที่ไม่ดี" - มันใช้งานง่ายไม่ได้

ความรู้ความเข้าใจความรู้ความเข้าใจและฝูงจิต

พวกเราส่วนใหญ่สามารถ“ รู้สึก” ว่ามาตรฐานรหัสผ่านเหล่านี้ก่อให้เกิดความสับสนในสมองของเราได้อย่างไร ต้องเผชิญกับทางเลือกที่เป็นนามธรรมของการรวมตัวเลขและอักขระพิเศษในรหัสผ่านซึ่งมิฉะนั้นเป็นสตริงตัวอักษรเราหลายคนก็จะรีบ "1!" ที่ไม่มีแนวโน้มที่จะทำลายแฮ็กเกอร์ ในความเป็นจริงยิ่งเราเลือกตัวเลือกทั่วไปเหมือนกันมากเท่าไรก็จะยิ่งถอดรหัสรหัสผ่านของเราได้ง่ายขึ้นเท่านั้น (เรียนรู้เพิ่มเติมเกี่ยวกับแฮกเกอร์ในการวิจัยด้านความปลอดภัยจริงช่วยแฮ็กเกอร์หรือไม่)

นอกจากนั้นข้อกำหนดที่ผู้ใช้อัพเดทรหัสผ่านทุกเดือนหรือทุก ๆ สามเดือนหรือมากกว่านั้น

เหตุผลที่อยู่เบื้องหลังข้อกำหนดนี้คือรหัสผ่านเก่าควรเปลี่ยนเป็นสิ่งที่แตกต่างอย่างสิ้นเชิง แต่บ่อยครั้งที่มันไม่ทำงาน พยายามที่จะจัดการกับสมองที่เพิ่มขึ้นของการจดจำรหัสผ่านใหม่ผู้ใช้จะใช้รหัสผ่านเก่าและเปลี่ยนหนึ่งตัวอักษรหรือตัวเลข ตอนนี้รหัสผ่านเก่าเป็น "บอก" ที่สำคัญสำหรับรหัสใหม่ - มันจะกลายเป็นความรับผิดชอบ

มาตรฐาน NIST ใหม่: อะไรอยู่ข้างใน

กฎใหม่ที่ได้รับการพัฒนาโดย NIST จะเปลี่ยนสิ่งเหล่านี้ทั้งหมด

สิ่งพิมพ์พิเศษ 800-63-3 เป็นการอัปเดตเป็นเวอร์ชันดั้งเดิมที่บรรลุสิ่งที่ผู้เชี่ยวชาญหลายคนกล่าวว่าควรนำไปปฏิบัติจริงมาตลอด

ขั้นแรกจะนำกฎการแต่งเพลงทั้งสองไปใช้เช่นต้องใส่เครื่องหมายอัศเจรีย์ในรหัสผ่านของคุณและข้อกำหนดสำหรับการหมดอายุตามปกติ

สิ่งที่ NIST 800-63-3 เพิ่มคือการมุ่งเน้นไปที่แนวทางปฏิบัติด้านความปลอดภัยที่“ สมจริง”

กฎใหม่เน้นการพิสูจน์ตัวตนแบบหลายปัจจัยซึ่งผู้เขียนอธิบายว่าการผสมรหัสผ่าน (สิ่งที่คุณจำได้) กับฟิสิคัลคีย์หรือคีย์การ์ด (สิ่งที่คุณมี) หรือชิ้นส่วนของข้อมูลไบโอเมตริกซ์ (สิ่งที่เป็นส่วนหนึ่งของคุณ) คำแนะนำอื่น ๆ ได้แก่ การใช้คีย์การเข้ารหัสลับและความต้องการที่จะยอมรับอักขระ ASCII ที่มีความสามารถทั้งหมดรวมถึงความยาวสูงสุด 64 ตัวอักษรและความยาวต่ำสุดแปดตัว (เรียนรู้เพิ่มเติมเกี่ยวกับชีวภาพในวิธีการแฝง Biometrics สามารถช่วยในการรักษาความปลอดภัยข้อมูลไอที)

ในงานนำเสนอสไลด์โชว์สาธารณะเรื่อง "สู่ความต้องการรหัสผ่านที่ดีกว่า" ผู้เชี่ยวชาญด้านการวิจัยความปลอดภัย Jim Fenton ได้อธิบายรายละเอียดของการแก้ไขเหล่านี้อย่างมากมายว่า "เจ้า shalts" และ "เจ้าจะไม่" อีกทั้งยังอธิบายว่า NIST ที่ควรถูกห้ามโดยอัตโนมัติ

“ หากไม่ใช่เรื่องง่ายผู้ใช้จะโกง” เฟนตั้นเขียนตรวจสอบกฎทั่วไปที่จะทำให้รหัสผ่านที่อ่อนแอนั้นยากต่อการบุกรุกเครือข่าย

ผู้เชี่ยวชาญยังแนะนำให้ผู้ใช้นึกถึง "ข้อความรหัสผ่าน" หรือชุดคำสำหรับรหัสผ่านแทนที่จะเป็นสิ่งที่สับสนระหว่างตัวอักษรและตัวเลขที่เราได้รับการฝึกอบรมมาแล้ว

ทำไมข้อความรหัสผ่านจึงดีกว่า

มีหลายวิธีที่จะอธิบายว่าทำไมวลีรหัสผ่านแบบยาวเช่น“ จำนวนไข่จักรยานทั้งหมด” จะเป็นตัวเลือกรหัสผ่านที่ดีกว่าสิ่งที่เหมือน“ MisterA1!” - แต่วิธีที่ง่ายที่สุดคือความยาวที่เข้าใจได้

แนวคิดหนึ่งที่เป็นหัวใจสำคัญของกฎเกณฑ์ NIST ใหม่ก็คือในบางแง่มุมเราได้ใช้กลยุทธ์รหัสผ่านของเราในสิ่งที่สมเหตุสมผลสำหรับมนุษย์ในขณะที่ไม่สนใจสิ่งที่เหมาะสมสำหรับเครื่องจักร

อักขระสุ่มสองสามตัวอาจทำให้แฮ็กเกอร์ของมนุษย์ยุ่งเหยิง แต่คอมพิวเตอร์ไม่น่าจะโดนอิทธิพลจากตัวเลขหรือตัวละครในตอนท้ายของรหัสผ่านได้อย่างง่ายดาย นั่นเป็นเพราะคอมพิวเตอร์ไม่ได้อ่านรหัสผ่านเพื่อความหมาย พวกเขาอ่านข้อความโดยใช้สตริง

การโจมตีแบบ brute-force คือเมื่อคอมพิวเตอร์ต้องผ่านการเรียงสับเปลี่ยนตัวละครที่เป็นไปได้ทั้งหมดเพื่อพยายาม "บุก" โดยการค้นหาชุดค่าผสมที่ถูกต้องชุดแรกที่ผู้ใช้เลือก เมื่อการโจมตีเหล่านี้เกิดขึ้นสิ่งที่สำคัญคือความซับซ้อนของรหัสผ่านของคุณ - และอักขระเพิ่มเติมแต่ละตัวจะเพิ่มความซับซ้อนที่ซับซ้อนมหาศาลมหาศาล

เมื่อคำนึงถึงข้อความรหัสผ่านจะแข็งแกร่งขึ้นอย่างมากถึงแม้ว่ามันจะ "ดู" ง่ายต่อสายตามนุษย์

ด้วยการขยายความยาวสูงสุดของรหัสผ่านเป็น 64 ตัวอักษรแนวทาง NIST ใหม่ทำให้ผู้ใช้ต้องการความแข็งแกร่งของรหัสผ่านโดยไม่ต้องมีกฎที่ใช้งานง่ายจำนวนมาก

ไม่มีคำใบ้!

ผู้ดูแลระบบจำนวนมากชอบที่จะกำจัดความต้องการพิเศษของตัวละครและการอัปเดตรหัสผ่านที่ใช้แรงงานจำนวนมาก แต่ก็มีฟีเจอร์อีกอย่างที่ทำให้ขวานเป็นมืออาชีพในการอ่านหลักเกณฑ์ NIST ใหม่

ระบบจำนวนมากขอให้ผู้ใช้ใหม่เพิ่มข้อเท็จจริงเกี่ยวกับตัวเองไปยังฐานข้อมูลในระหว่างการ onboarding: ความคิดคือในภายหลังถ้าพวกเขาลืมรหัสผ่านระบบสามารถตรวจสอบพวกเขาตามความคิดบางอย่างเกี่ยวกับอดีตของพวกเขาที่ไม่มีใครรู้ ตัวอย่างเช่นรถคันแรกของคุณคืออะไร? สัตว์เลี้ยงตัวแรกของคุณชื่ออะไร แม่ของคุณชื่ออะไร

นี่เป็นอีกหนึ่งแนวโน้มที่ทำให้เราไม่สบายใจ บางครั้งคำถามดูเหมือนจะล่วงล้ำ นอกจากนี้ผู้คลางแคลงที่ใส่ใจเรื่องความปลอดภัยจะชี้ให้เห็นว่ามีพวกเราหลายคนที่ขับเชฟโรเลตเป็นครั้งแรกหรือในช่วงวัยเยาว์ที่มีความร่าเริงชื่อ "สปอต" สุนัขตัวแรกของเรา

จากนั้นจะมีภาระงานในการรักษาฐานข้อมูลและจับคู่คำตอบเมื่อจำเป็น

มันปลอดภัยที่จะบอกว่ามีคนไม่มากที่จะหลั่งน้ำตาผ่านการหายตัวไปของฟังก์ชั่น "คำใบ้รหัสผ่าน" เมื่อมีตัวเลือกที่ดีกว่าสำหรับการทำให้กิจกรรมของผู้ใช้ปลอดภัยอย่างแท้จริง

ไม่มันไม่ใช่บ้านวาฟเฟิล! การเค็มการยืดและการยืด

ในนวัตกรรมอื่น ๆ ตอนนี้ผู้เชี่ยวชาญแนะนำให้ใช้รหัสผ่าน "เกลือ" ซึ่งเกี่ยวข้องกับการสร้างสตริงของตัวละครแบบสุ่มก่อนกระบวนการ "hashing" ซึ่งแมปข้อมูลชุดหนึ่งไปยังอีกชุดหนึ่งซึ่งเป็นการเปลี่ยนการแต่งหน้าของรหัสผ่านและทำให้ยากขึ้น นอกจากนี้ยังมีกระบวนการที่เรียกว่า "การยืดกล้ามเนื้อ" ที่ออกแบบมาเป็นพิเศษเพื่อสกัดกั้นการโจมตีแบบเดรัจฉานโดยส่วนหนึ่งจะทำให้กระบวนการประเมินช้าลง

สิ่งที่ฟังก์ชั่นเหล่านี้มีเหมือนกันคือมันเกิดขึ้นในขอบเขตการจัดการไม่ใช่แค่เพียงปลายนิ้วของผู้ใช้ ผู้ใช้โดยเฉลี่ยไม่ต้องการทำอะไรเกี่ยวกับขั้นตอนเหล่านี้ - เขาหรือเธอแค่ต้องการเข้าถึงและทำทุกสิ่งที่มีให้ทำในระบบเครือข่ายไม่ว่าจะเป็นการทำงานที่เสร็จสมบูรณ์การสร้างเครือข่ายกับเพื่อนหรือซื้อหรือขายบางอย่าง ออนไลน์ ดังนั้นโดยการทิ้งกฎรหัสผ่าน "ฝั่งไคลเอ็นต์" และทำให้การดูแลความปลอดภัยเป็นจำนวนมาก บริษัท และผู้มีส่วนได้เสียอื่น ๆ สามารถปรับปรุงประสบการณ์การใช้งานของผู้ใช้ได้อย่างแท้จริง

นี่เป็นประเด็นสำคัญเนื่องจากการปรับปรุงประสบการณ์การใช้งานของผู้ใช้เป็นเรื่องเกี่ยวกับนวัตกรรมเทคโนโลยีใหม่ ๆ มากมาย เราได้มาถึงจุดที่เราได้ใช้ฟังก์ชั่นมากมายจากคอมพิวเตอร์สมาร์ทโฟนและอุปกรณ์อื่น ๆ - ความคืบหน้ามากมายที่เราจะทำในไม่กี่ปีข้างหน้านั้นเกี่ยวข้องกับการทำให้งานเสมือนง่ายขึ้นและกำจัด clunkiness ของประสบการณ์: เช่นเว็บไซต์ที่ไม่ใช่มือถือเป็นครั้งแรก, อินเตอร์เฟซที่ผิดพลาด, แบตเตอรี่ที่ไม่ดี ... หรือการเข้าสู่ระบบที่น่าเบื่อ! นั่นคือสิ่งที่นวัตกรรมรหัสผ่านเข้ามาเมื่อย้อนกลับไปยังแนวคิดของการรับรองความถูกต้องแบบหลายปัจจัยมีความเป็นไปได้ที่ไบโอเมตริกส์จะปลดล็อคการใช้งานที่ง่ายขึ้นสำหรับอุปกรณ์ - ทำไมแตะและพิมพ์รหัสผ่านยาว ๆ อยู่กับนิ้ว?

การปฏิบัติในทางปฏิบัติ: ความท้าทายบางอย่างยังคงอยู่

แต่อย่างที่เราได้พูดไปเราจะใช้รหัสผ่านและ PIN ในขณะนี้ ตัวอย่างเช่นระบบปฏิบัติการรุ่นใหม่บางรุ่นได้เปลี่ยนจาก PIN สี่หมายเลขเป็น PIN หกหมายเลขทำให้เราหลายคนช้ากว่ามากในการวาดบนอุปกรณ์ของเรา

ปัญหาหนึ่งของวิธีการ“ ข้อความรหัสผ่าน” ที่แนะนำโดย NIST คือยังคงมีการรีเซ็ตรหัสผ่าน (ตามที่กล่าวไว้ในหัวข้อนี้ในการรักษาความปลอดภัยแบบเปลือย) ผู้คนยังคงลืมรหัสผ่าน บางคนแนะนำว่าอาจเป็นเรื่องยากสำหรับคนไอทีในการออกรหัสผ่านใหม่เมื่อรหัสเดิมยาวขึ้นมาก

อย่างไรก็ตามอาจมีบางอย่างที่นี่เมื่อมันมาถึงการตรวจสอบหลายปัจจัย ยังไม่ได้ตรวจจับทางชีวภาพ แต่จริงๆแล้วเกือบทุกคนมีโทรศัพท์มือถือ ระบบธนาคารออนไลน์จำนวนมากและระบบอื่น ๆ กำลังใช้ SMS เพื่อตรวจสอบสิทธิ์ผู้ใช้ นี่อาจเป็นวิธีที่ง่ายในการตรวจสอบบัญชีที่รหัสผ่านสูญหายหรือถูกลืม นอกจากนี้ยังเป็นวิธีสำคัญในการเสริมความแข็งแกร่งของรหัสผ่านโดยทั่วไปตามที่ได้กล่าวไว้ข้างต้น

คบ

หากคุณเป็นผู้ดูแลระบบเครือข่ายกฎใหม่ของ NIST บอกคุณคืออะไร

โดยพื้นฐานแล้วหน่วยงานรัฐบาลกลางดูเหมือนจะบอกผู้จัดการว่า: ผ่อนคลาย ให้ผู้ใช้ทำสิ่งที่พวกเขาทำอย่างสังหรณ์ใจด้วยการเข้ารหัสที่ดีขึ้นพจนานุกรมของสายอักขระต้องห้ามและฟิลด์อินพุตที่ยาวขึ้นซึ่งมีความสามารถรอบด้านมากขึ้น อย่าสอนพวกเขาให้ใส่รหัสผ่านด้วยเครื่องหมายดอกจันและอักขระพิเศษที่น่ารัก และอย่าทำให้กระบวนการทั้งหมดกลับมาใหม่ทุกสองสามสัปดาห์

ทั้งหมดนี้กำลังจะทำให้แพลตฟอร์มมีรูปร่างที่เพรียวบางและมีความหมายต่ำลง การกำจัดคำแนะนำรหัสผ่านเพียงแค่กำจัดรหัสฐานที่สำคัญออกไปพร้อมกับความต้องการทรัพยากรทั้งหมด กฎ NIST ใหม่ให้ความปลอดภัยรหัสผ่านที่เป็นเจ้าของ: ไม่อยู่ในมือของผู้ใช้ที่มีนิสัยแปลกประหลาดและอยู่ในที่คลุมเครือซึ่งฟังก์ชั่นด้านเทคนิคทำให้ประวัติการโจมตีที่ดุร้ายกำลังง่ายเมื่อวานนี้ พวกเขาให้พวกเราทุกคนใช้วิธีการใหม่ ๆ ในการทำสิ่งที่เป็นกระบวนการทดลอง: การสร้างคำและวลีเล็ก ๆ น้อย ๆ ที่เป็นเอกลักษณ์สำหรับทุกมุมของชีวิตดิจิตอลของเรา เป็นอีกก้าวหนึ่งสู่โลกแห่งอินเทอร์เฟซผู้ใช้ที่ใช้งานง่ายขึ้น - โลกดิจิตอลที่ได้รับการปรับปรุงใหม่ซึ่งสิ่งที่เรารู้สึกเป็นธรรมชาติและสับสนน้อยลง