Новые правила стандартов и технологий по паролям

Новые правила стандартов и технологий по паролям

Категории
Категории
Раиса Гибнер, Екатерина Мартиросян
  • 6 мин
  • 294

Перевод текста: Екатерина Мартиросян, специалист Online-Media.

Редактура текста: Гибнер Раиса, специалист Online-Media.

Прочитать оригинальную статью можно здесь.

Не секрет, что мы не дружим с паролями. Однако в ближайшее время их использование не прекратится.

С таким количеством веб-сайтов и онлайн-приложений, требующих создавать учетные записи и придумывать пароли в спешке, неудивительно, что многим из нас трудно следовать советам так называемых экспертов по безопасности паролей. В то же время вычислительная мощность взломщиков становится все сильнее.

Но у этой медали есть и обратная сторона.

Это не должно быть так сложно, насколько это представляется, и государство готово помочь. Национальный институт стандартов и технологий США (NIST) формулирует новую политику паролей, используемых правительством США во всем публичном секторе.

Почему это важно? Потому что такие рекомендации практичны и являются отличным примером для всех нас, который мы можем использовать в наших собственных организациях и при разработке приложений.

Каждый, кто интересуется проектом спецификации Специальной публикации 800-63-3 — «Руководство по цифровой аутентификации», может просматривать его по мере его развития на Github или ознакомиться с более доступной формой на веб-сайте NIST.

Для более понятного подхода исследователь безопасности Джим Фентон провел презентацию на мероприятии PasswordsCon в Лас-Вегасе, в которой хорошо подытожил изменения.

Что нового?

Каковы основные различия между мудростью о «безопасных паролях» и тем, что сейчас рекомендует NIST?

Некоторые рекомендации можете понять и вы сами, а вот другие могут вас удивить.

Начнем с того, что вам нужно сделать.

Выгода для пользователей

Для начала сделайте свою политику паролей удобной для пользователя и по возможности переложите всю нагрузку на проверяющего.

Другими словами, нам нужно перестать просить пользователей делать то, что на самом деле не повышает безопасность.

Много исследований прошли проверку относительно эффективно лучших практик.

Размер имеет значение

По крайней мере, когда дело доходит до паролей.

  • Новые рекомендации NIST говорят, что вам нужно иметь в пароле как минимум 8 символов. (Это не максимальная возможная длина — вы можете увеличить минимальную длину пароля для более конфиденциальных учетных записей).
  • Более того, NIST заявляет, что вы должны разрешать максимальную длину как минимум в 64 символа. Больше никаких надписей: «Извините, ваш пароль не может быть длиннее 16 символов».
  • Приложения должны разрешать все печатные символы ASCII (Американского стандартного кода для обмена информацией), включая пробелы, а также должны принимать все символы UNICODE, включая эмодзи! Это отличный совет, и учитывая, что пароли должны быть усиленно захешированы ( «с солью» — to be hashed and salted) при хранении (что преобразует их в представление фиксированной длины); не должно быть ненужных ограничений по длине.
  • Мы часто советуем людям использовать парольные фразы, поэтому им должно быть разрешено использовать все основные знаки препинания и любой язык для повышения удобства использования и увеличения разнообразия. Проверяйте новые пароли по словарю заведомо слабых вариантов. Не нужно, чтобы люди использовали «parol», «123456», «qwerty», «dima93».
  • Необходимо провести дополнительные исследования, как выбрать и использовать свой «черный список», но Джим Фентон считает, что 100 000 записей — хорошее начало.

Чего не нужно делать

«Нет» требованиям к содержанию

Это означает, что больше нет правил, заставляющих вас использовать определенные символы или комбинации символов, таких как пугающие условия на некоторых страницах создания пароля, которые гласят: «Ваш пароль должен содержать одну маленькую букву, одну большую букву, одну цифру, четыре символа, но не &%#@_и фамилию хотя бы одного космонавта».

Дайте людям свободу выбора

Поощряйте использование более длинных фраз вместо сложных для запоминания паролей (то же касается «мнимой сложности», например, pA55w+rd).

Никаких подсказок по паролю

Никаких вообще. Самый простой способ сделать так, чтобы люди быстро угадали пароль — написать его на стикере, прикрепленном к экрану рабочего компьютера.

Люди устанавливают подсказки для пароля, например «рифмы к слову пароль», когда вы разрешаете подсказки. Для этого у нас есть несколько поразительных примеров взломов паролей Adobe в 2013 году.

Отключить аутентификацию на основе знаний

KBA — Knowledge-based authentication — аутентификацию на основе знаний.

«Выберите из списка вопросов — Где вы учились в средней школе? Какая ваша любимая футбольная команда? — и скажите нам ответ на случай, если нам когда-нибудь понадобится проверить, что это вы».

Нужно сказать нет беспричинному истечению сроку действия. Если мы хотим, чтобы пользователи подчинялись правилам и выбирали длинные, трудно угадываемые пароли, мы не должны заставлять их менять эти пароли без необходимости.

Единственный случай, когда пароли следует сбрасывать, — если вы их забыли, если они были подвергнуты фишингу (сетевое мошенничество), или если вы думаете (или знаете), что ваша база паролей была украдена и, следовательно, может быть подвергнута атаке.

Это еще не все

NIST также дает несколько других очень полезных советов.

  • Все пароли должны быть усиленно захешированы и растянуты. Вам потребуется 32 (или более)-битная защита, хэш HMAC с ключом, использующий SHA-1, SHA-2 или SHA-3, и алгоритм «растягивания» PBKDF2 с не менее чем 10 000 итераций.

Энтузиасты хеширования паролей, вероятно, задаются вопросом: «А как насчет bcrypt и scrypt?»

В статье «How to» мы перечислили оба варианта как возможные, но написали: «Здесь мы рекомендуем PBKDF2, потому что он основан на примитивах хеширования, которые удовлетворяют многим национальным и международным стандартам».

NIST следовал тем же рассуждениям.

  • Следующий факт также является большим изменением: SMS больше не должны использоваться в двухфакторной аутентификации.

Есть много проблем по безопасности доставки по SMS, в том числе вредоносные программы, которые могут перенаправлять текстовые сообщения; атаки на сеть мобильной связи (например, так называемый взлом SS7); и возможность передачи вашего номера телефона другому человеку.

При замене SIM-карты ваш оператор мобильной связи выдает вам новую взамен утерянной, поврежденной, украденной или неподходящей по размеру для нового телефона.

К сожалению, во многих странах преступникам слишком легко убедить магазин мобильных телефонов перенести чей-то номер телефона на новую SIM-карту, и таким образом, похитить все их текстовые сообщения.

Что нас ждет дальше?

Это только верхушка айсберга, но, безусловно, одна из самых важных частей.

Руководства по использованию паролей должны развиваться по мере того, как мы узнаем больше о том, как люди их используют и злоупотребляют ими.

К сожалению, у нас было более чем достаточно взломов, чтобы увидеть влияние определенных типов политик, например, как случай взломов в Adobe в 2013 году, связанный с опасностью использования подсказок к паролю.

Цель NIST — заставить нас надежно защищать себя без ненужной сложности, потому что сложность работает против безопасности.

Что вы думаете об этих изменениях? Будете ли внедрять их в своей организации?