Gyökeres változás közeleg a jelszavaknál - ez Önt is érinteni fogja

Jelentős változás jöhet a jelszavak területén. Az ESET vírusirtó szoftvermegoldásairól ismert vállalat szakemberei összeszedték a legfontosabb tudnivalókat a belépőkódokat érintő, a közeljövőben várható szabályozásról.
Szabó Zsuzsanna, 2017. május 4. csütörtök, 13:41

Május elsején lezárult a NIST (az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézete) által megfogalmazott új digitális személyazonossági irányelvek (Digital Identity Guidelines) nyilvános vitája, és az anyag készen áll a véglegesítésre. A tervezet új, továbbfejlesztett jelszókövetelményeket tartalmaz, megváltoztatva az eddigi szokásokat és a hozzájuk kapcsolódó kellemetlenségeket.

Bár az iránymutatások csak a szövetségi ügynökségekre nézve kötelezőek, az ESET szerint mégis nagy befolyást gyakorolnak majd a szervezetekre általában, és ez világszerte érinteni fogja az internethasználókat.

Melyek a fő változások?

  • Nincs többé kötelező szabály a jelszavak összetételéről. Visszavonnák az olyan szabályokat, mint például a kis és nagybetűk, számok és speciális karakterek kötelező szerepeltetése a belépőkódokban. Ennek oka, hogy ezek a szabályok elvétve eredményeznek erősebb jelszavakat, sokkal inkább gyenge, és/vagy nehezen megjegyezhető kódok generálására veszik rá a felhasználókat.
  • Megszűnik a rendszeres kötelező jelszóváltoztatás. Az új szabályozás azt tanácsolja, hogy ne kérjenek rendszeres jelszóváltoztatást a felhasználóktól, hacsak ők maguk nem kezdeményezik, vagy ha valamilyen adatvesztés történt a szervezetnél. Ennek oka, hogy a felhasználóknak nincs türelmük állandóan új, erősebb jelszavakat kitalálni, így ez a megoldás több kárt okoz, mint hasznot.
  • Megszűnik a jelszóemlékeztető és a tudás alapú azonosítás. A jelszóemlékeztetők és a tudás alapú azonosítás segíthet az elfelejtett jelszavak megtalálásában, azonban ezek az adatok nagy értéket jelentenek a kiberbűnözők számára is, így egyre több oldalon szűnik meg ezek használata.
  • Feketelista. A jelszavak összetételének szabályozása helyett a NIST egy feketelista használatát javasolja, amely tartalmazza a leggyakrabban használt és/vagy korábban kiszivárgott jelszavakat, így ezek megadására már nem lesz lehetőség.
  • Több karakterből lehet majd választani. Jelszó beállításakor a felhasználók szabadon választhatnak majd minden nyomtatható ASCII és UNICODE karakterből, beleértve a hangulatjeleket (emoji) is. A felhasználók számára lehetővé kell tenni a szóközök használatát is, amelyek a jelmondatok természetes részét alkotják, és gyakran a hagyományos jelszavak ajánlott alternatívái.
  • A minimális hosszúság 8 karakter lesz. Az új irányelvek szerint a jelszavak hossza kulcsfontosságú tényező a kódok erősségében. A megfelelő jelszónak minimum 8 karakternek, maximum 64 karakter hosszúságúnak kell lennie. Az ESET szakemberei azonban felhívják a figyelmet arra, hogy a jelszavak feltörésének idejében 11 karaktertől történik hatalmas ugrás, és a kódok megfejtése ekkor már szuperszámítógéppel is évekbe telne, így érdemes legalább ilyen hosszú jelszavakat használni.
  • Az egyfaktoros azonosítás nem elég, az sms-eket viszont nem kellene használni. Nem számít, hogy milyen jó jelszavakat adunk, mert a kódunk továbbra is csak egyetlen áthatolandó akadályt jelent az adataink és a kiberbűnözők között. A biztonságos fiókok esetében még egy rétegre szükség van a hatékony védelemhez, ezért a NIST a kétfaktoros azonosítást javasolja minden helyen, ahol elérhető a megoldás. Az új ajánlások között szerepel az is, hogy az sms üzeneteket ne használják többet a kétfaktoros azonosításra, a szakemberek inkább a szoftver által generált, egyszer használatos jelszavakat javasolják.

HOZZÁSZÓLÁSOK
 

ablakzsiraf, 2017.05.05 09:55

@atombandi:
Tudom hogy nem csak brute forcal lehet jelszót törni, de ez a leggyakoribb, mivel a legtöbb támadás nem célzott. Láttam eleget sajnos.
Ha valakit direktben akarnak szopatni és nem egy általános pl emailfiókot kell felnyitni, akkor nyilván más módszerhez fordulnak.
A hozzászólások csak a Felhasználó véleményét tükrözik. Fórum moderációs elveinket itt olvashatja: https://www.napi.hu/info/adatvedelem.html

zsoci, 2017.05.05 07:10

Már nagyon régen ideje volt, hogy végre valaki kimondja, hogy a folymatos változtatgatás és a kötelező karakterek hülyeségek!
Vissza kéne venni a paranoia szintből, és a használhatóságra koncentrálni. Végre. Ugyanekkora baromság a kicsillagozás a legtöbb helyen, csak az elütés valószínüségét növeli.
A hozzászólások csak a Felhasználó véleményét tükrözik. Fórum moderációs elveinket itt olvashatja: https://www.napi.hu/info/adatvedelem.html

atombandi, 2017.05.04 23:25

@ablakzsiraf:
ez igazabol a ceges jelszavakra vonatkozik. a problema az, hogy a jelszavakat nem feltetlenul brute force-al torik fel, hanem egy takaritono gyujti be oket a monitoron logo post-itekrol es a naptarak hatuljarol. a valtoztatas is pont ezekre a modszerekre sarkallja a felhasznalokat. ha a jelszavadat megszereztek, azt nem 72 napon belul fogjak felhasznalni, hanem 5 perc mulva. nincs ertelme az eros jelszavaknak, egy kezlogger barmit le tud szedni. arra jo, hogy megakadalyozza az azonnali adatlopast, de ha valamit el akarnak lopni, azt el fogjak, akarmilyen jelszavad van...
A hozzászólások csak a Felhasználó véleményét tükrözik. Fórum moderációs elveinket itt olvashatja: https://www.napi.hu/info/adatvedelem.html

ablakzsiraf, 2017.05.04 14:13

Az első kivételével egyetértek az összes ponttal. Azonban, ha nincs követelmény a jelszóval szemben, akkor az egységsugarú userek hajlamosak könnyen kitalálható jelszavakat választani mint pl usernév + 1 jegyű szám, majd jönnek sírni, hogy valami furcsa történik...

A legkreténebb dolog az összes közül pedig a jelszó kötelező, rendszeres megváltoztatása.
A hozzászólások csak a Felhasználó véleményét tükrözik. Fórum moderációs elveinket itt olvashatja: https://www.napi.hu/info/adatvedelem.html