Szabályozni fogják a jelszavakat
Előfordult már, hogy megpróbált regisztrálni valahová, de megakadt a jelszónál? Jött a hibaüzenet: „A jelszónak tartalmaznia kell legalább egy nagybetűt/speciális karaktert/számot”. És még így sem sikerült. Összegyűjtöttük a legfontosabb tudnivalókat a belépőkódokat érintő új szabályozásról.
Május elsején lezárult a NIST (az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézete) által megfogalmazott új digitális személyazonossági irányelvek (Digital Identity Guidelines) nyilvános vitája, és az anyag készen áll a véglegesítésre. A tervezet új, továbbfejlesztett jelszókövetelményeket tartalmaz, megváltoztatva az eddigi szokásokat és a hozzájuk kapcsolódó kellemetlenségeket.
Mindannyian ismerjük az új internetes fiók létrehozásakor tapasztalt nehézségeket. Miután megpróbáljuk megadni a számunkra legmegfelelőbb jelszót, gyakran ütközünk a következő hibaüzenetekbe: „A jelszónak tartalmaznia kell legalább egy nagybetűt/speciális karaktert/számot”. Majd miután beleírunk mindent, megjelennek a nem várt üzenetek: „A jelszó nem tartalmazhatja az ön által megadott karaktert”, vagy „A választott jelszó túl hosszú”.
Az érem két oldala
A világhálónak nem csupán pozitív oldala van – ugyanúgy rejt veszélyeket, mint az élet nem-virtuális oldala. Iparági szakértőként Kocsis Olivérrel, az EPAM Lead Business Analyst munkatársával, valamint Major Zsófiával, a Skool egyik alapítójával beszélgettünk a biztonságos internetezésről.
Bár az iránymutatások csak a szövetségi ügynökségekre nézve kötelezőek, azonban nagy befolyást gyakorolnak majd a szervezetekre általában, és ez világszerte érinteni fogja az internethasználókat. Az ESET szakemberei összeszedték a legfontosabb tudnivalókat a belépőkódokat érintő, a közeljövőben várható szabályozásról.
Nincs többé kötelező szabály a jelszavak összetételéről
Visszavonásra kerülnének a jelszavak összetételéről szóló szabályok, mint például a kis és nagybetűk, számok és speciális karakterek kötelező szerepeltetése a belépőkódokban. Ennek oka, hogy ezek a szabályok elvétve eredményeznek erősebb jelszavakat, sokkal inkább gyenge, és/vagy nehezen megjegyezhető kódok generálására veszik rá a felhasználókat.
Megszűnik a rendszeres kötelező jelszóváltoztatás
Az új szabályozás azt tanácsolja, hogy ne kérjenek rendszeres jelszóváltoztatást a felhasználóktól, hacsak ők maguk nem kezdeményezik, vagy ha valamilyen adatvesztés történt a szervezetnél. Ennek oka, hogy a felhasználóknak nincs türelmük állandóan új, erősebb jelszavakat kitalálni, így ez a megoldás több kárt okoz, mint hasznot.
Megszűnik a jelszóemlékeztető és a tudás alapú azonosítás
A jelszóemlékeztetők és a tudás alapú azonosítás segíthet az elfelejtett jelszavak megtalálásában, azonban ezek az adatok nagy értéket jelentenek a kiberbűnözők számára is, így egyre több oldalon szűnik meg ezek használata.
Az elfogadhatatlan jelszavak feketelistája
A jelszavak összetételének szabályozása helyett a NIST egy feketelista használatát javasolja, amely tartalmazza a leggyakrabban használt és/vagy korábban kiszivárgott jelszavakat, így ezek megadására már nem lesz lehetőség.
Több választható karakter
Jelszó beállításakor a felhasználók szabadon választhatnak majd minden nyomtatható ASCII és UNICODE karakterből, beleértve a hangulatjeleket (emoji) is. A felhasználók számára lehetővé kell tenni a szóközök használatát is, amelyek a jelmondatok természetes részét alkotják, és gyakran a hagyományos jelszavak ajánlott alternatívái
8 karakter minimális hosszúság
Az új irányelvek szerint a jelszavak hossza kulcsfontosságú tényező a kódok erősségében. A megfelelő jelszónak minimum 8 karakternek, maximum 64 karakter hosszúságúnak kell lennie. Az ESET szakemberei azonban felhívják a figyelmet arra, hogy a jelszavak feltörésének idejében 11 karaktertől történik hatalmas ugrás, és a kódok megfejtése ekkor már szuperszámítógéppel is évekbe telne, így érdemes legalább ilyen hosszú jelszavakat használni.
Védd a céged!
A vállalati információk megszerzésének egyik módja az alkalmazottak nem megfelelő jelszó-választási szokásainak kihasználásából ered. Jellemzően mindössze a felhasználók negyede használ valamilyen, a legbiztonságosabbnak számító, különleges karaktereket is tartalmazó jelszavakat. Egy csak számokból álló jelszó feltöréséhez, egy gyakorlott hackernek alig öt percre van szüksége, a csak betűkből álló jelszavak 5-6 nap alatt megfejthetőek, a betűk és számok kombinációjából álló jelszó kitalálása viszont már hónapokba telhet. A legjobb megoldás, ha számokat, kis- és nagybetűket, valamint speciális karaktereket is tartalmaz a jelszó; ugyanis ezek feltörési ideje akár száz években is mérhető.
A lezáratlan számítógépek is kockázatot rejtenek: nagy szervezetek esetében meglepően sikeres módszer az úgynevezett „piggybacking” technika.
Az egyfaktoros azonosítás nem elég, azonban az SMS elhagyandó
Nem számít, hogy milyen jó jelszavakat adunk, mert a kódunk továbbra is csak egyetlen áthatolandó akadályt jelent az adataink és a kiberbűnözők között. A biztonságos fiókok esetében még egy rétegre szükség van a hatékony védelemhez, ezért a NIST a kétfaktoros azonosítást javasolja minden helyen, ahol elérhető a megoldás.
Az új ajánlások között szerepel az is, hogy az SMS üzeneteket ne használják többet a kétfaktoros azonosításra, a szakemberek inkább a szoftver által generált, egyszer használatos jelszavakat javasolják.
Az új irányelvek sokkal egyenesebb megközelítést alkalmaznak a digitális azonosításban, amely nem csak felhasználóbarátabb, de biztonságosabb is. Ebben a törekvésében a NIST nincs egyedül, az ESET szakemberei és a World Password Day kezdeményezés mögött álló személyek is elkötelezettek a jelszavak erősítése felé. Ennek jegyében a szakemberek azt szorgalmazzák, hogy minden fiókhoz egyedi jelszavakat használjunk, illetve állítsunk fel egy jelszó stratégiát, amelynek fontos része a kétfaktoros azonosítás is.
