Категории
Категории
  • 7 мин
  • 563

Правила и стандарты технологий по паролям

Автор оригинальной статьи Честер Вишневски с опытом более 25 лет в сфере безопасности.
Источник статьи

Что вам нужно знать из новых правил Национального института стандартов и технологий США по паролям

Не секрет, что мы не дружим с паролями. Однако в ближайшее время они не исчезнут. 

С таким количеством веб-сайтов и онлайн-приложений, требующих от нас создавать учетные записи и придумывать пароли в спешке, неудивительно, что многим из нас трудно следовать советам так называемых экспертов по безопасности паролей.

В то же время вычислительная мощность для взлома паролей становится все сильнее.

Я начал с плохих новостей, но у этой медали есть и обратная сторона. 

Это не должно быть так сложно, насколько мы это представляем, и государство готово нам в этом помочь.

Да, именно так. Национальный институт стандартов и технологий США (NIST) формулирует новую политику паролей, используемых правительством США во всем публичном секторе.

Почему это важно? Потому что эти рекомендации практичны и являются отличным примером для всех нас, который мы можем использовать в наших собственных организациях и при разработке приложений.

Каждый, кто интересуется проектом спецификации Специальной публикации 800-63-3 — «Руководство по цифровой аутентификации», может просматривать его по мере его развития на Github или ознакомиться с более доступной формой на веб-сайте NIST.

Для более понятного подхода исследователь безопасности Джим Фентон провел презентацию на мероприятии PasswordsCon в Лас-Вегасе, в которой хорошо подытожил изменения.

Что нового?

Каковы основные различия между мудростью о «безопасных паролях» и тем, что сейчас рекомендует NIST?

Некоторые рекомендации можете понять и вы сами, а вот другие способны вас удивить.

Начнем с того, что вам нужно сделать.

Выгода для пользователей 

Для начала сделайте свою политику паролей удобной для пользователя и по возможности переложите всю нагрузку на проверяющего. 

Другими словами, нам нужно перестать просить пользователей делать то, что на самом деле не повышает безопасность.

Много исследований прошли проверку относительно эффективно лучших практик.

Размер имеет значение 

По крайней мере, когда дело доходит до паролей. Новые рекомендации NIST говорят, что вам нужно иметь в пароле как минимум 8 символов. (Это не максимальная возможная длина — вы можете увеличить минимальную длину пароля для более конфиденциальных учетных записей).

Более того, NIST заявляет, что вы должны разрешать максимальную длину как минимум 64 символа, больше никаких надписей: «Извините, ваш пароль не может быть длиннее 16 символов». 

Приложения должны разрешать все печатные символы ASCII (Американского стандартного кода для обмена информацией), включая пробелы, а также должны принимать все символы UNICODE, включая эмодзи!

Это отличный совет, и учитывая, что пароли должны быть усиленно захешированы («с солью» — to be hashed and salted) при хранении (что преобразует их в представление фиксированной длины); не должно быть ненужных ограничений по длине.

Мы часто советуем людям использовать парольные фразы, поэтому им должно быть разрешено использовать все основные знаки препинания и любой язык для повышения удобства использования и увеличения разнообразия.

Проверяйте новые пароли по словарю заведомо слабых вариантов. Не нужно, чтобы люди использовали «parol», «123456», «qwerty», «dima93».

Необходимо провести дополнительные исследования того, как выбрать и использовать свой «черный список», но Джим Фентон считает, что 100 000 записей — это хорошее начало.

Чего не нужно делать

«Нет» требованиям к содержанию 

Это означает, что больше нет правил, заставляющих вас использовать определенные символы или комбинации символов, таких как пугающие условия на некоторых страницах создания пароля, которые гласят: «Ваш пароль должен содержать одну маленькую букву, одну большую букву, одну цифру, четыре символа, но не &%#@_и фамилию хотя бы одного космонавта».

Дайте людям свободу выбора

Поощряйте использование более длинных фраз вместо сложных для запоминания паролей или мнимой сложности, такой как pA55w+rd.

Никаких подсказок по паролю

Никаких вообще. Если бы я хотел, чтобы у людей было больше шансов угадать мой пароль, я бы написал его на стикере, прикрепленном к экрану рабочего компьютера.

Люди устанавливают подсказки для пароля, например «рифмы к слову пароль», когда вы разрешаете подсказки. Для этого у нас есть несколько поразительных примеров взломов паролей Adobe в 2013 году.

Отключить аутентификацию на основе знаний 

KBA — Knowledge-based authentication  — аутентификацию на основе знаний. «Выберите из списка вопросов — Где вы учились в средней школе? Какая ваша любимая футбольная команда? — и скажите нам ответ на случай, если нам когда-нибудь понадобится проверить, что это вы».

Нет больше беспричинному истечению срока действия. Это мой любимый совет: если мы хотим, чтобы пользователи подчинялись правилам и выбирали длинные, трудно угадываемые пароли, мы не  должны заставлять их менять эти пароли без необходимости.

Единственный случай, когда пароли следует сбрасывать, — это если вы их забыли, если они были подвергнуты фишингу, или если вы думаете (или знаете), что ваша база паролей была украдена и, следовательно, может быть подвергнута атаке.

Это еще не все

NIST также дает несколько других очень полезных советов.

Все пароли должны быть усиленно захешированы и быть растянутыми, что объясняется в статье «Как безопасно хранить пароли ваших пользователей».

Вам потребуется 32 (или более)-битная защита, хэш HMAC с ключом, использующий SHA-1, SHA-2 или SHA-3, и алгоритм «растягивания» PBKDF2 с не менее чем 10 000 итераций.

Энтузиасты хеширования паролей, вероятно, задаются вопросом: «А как насчет bcrypt и scrypt?» В статье «How to» мы перечислили оба варианта как возможные, но написали: «Здесь мы рекомендуем PBKDF2, потому что он основан на примитивах хеширования, которые удовлетворяют многим национальным и международным стандартам». NIST следовал тем же рассуждениям. 

Кроме того, следующий факт также является большим изменением: SMS больше не должны использоваться в двухфакторной аутентификации.

Есть много проблем по безопасности доставки по SMS, в том числе вредоносные программы, которые могут перенаправлять текстовые сообщения; атаки на сеть мобильной связи (например, так называемый взлом SS7); и возможность передачи вашего номера телефона другому человеку.

При замене SIM-карты ваш оператор мобильной связи выдает вам новую взамен утерянной, поврежденной, украденной или неподходящей по размеру для нового телефона.

К сожалению, во многих странах преступникам слишком легко убедить магазин мобильных телефонов перенести чей-то номер телефона на новую SIM-карту, и таким образом, похитить все их текстовые сообщения.

Что нас ждет дальше?

Это только верхушка айсберга, но, безусловно, одна из самых важных частей.

Руководства по использованию паролей должны развиваться по мере того, как мы узнаем больше о том, как люди их используют и злоупотребляют ими.

К сожалению, у нас было более чем достаточно взломов, чтобы увидеть влияние определенных типов политик, таких как показаны выше, например, как случай взломов в Adobe в 2013 году, связанный с опасностью использования подсказок к паролю.

Цель NIST — заставить нас надежно защищать себя без ненужной сложности, потому что сложность работает против безопасности.

Что вы думаете об этих изменениях? Будете ли вы внедрять их в своей организации?

Узнать больше