خوش آمدید

تغییرات بزرگی وجود دارد که دامنه آن را می گیرد که هر دو مدیر سیستم و کاربران معمولی ممکن است دوست داشته باشند - آنها باید با پروتکل های رمز عبور کار کنند.

گذرواژهها واقعیت زندگی هستند - اکثر ما از بسیاری از آنها دور هستند. ما نمی توانیم همه آنها را به یاد داشته باشیم، و به هیچ وجه راهی برای ردیابی آنها نیست، مگر اینکه ما شروع به نوشتن آنها کنیم. جایگزین دیگری این است که فقط کلمه عبور را که شما به طور منظم استفاده می کنید به یاد آورید و از آن برای بازنشانی رمز عبور درخواست می کنید، وقتی که شما نیاز به دسترسی به سایت های دیگر دارید، اما بازنشانی های رمز عبور زیادی وجود دارد! کارشناسان مانند Cormac Herley، محقق مایکروسافت، در حال صحبت کردن در مورد هزینه های بسیار هنگفت بازنشانی رمز عبور صحبت می کنند و چگونه می توانند میلیون ها دلار در سال به شرکت های بزرگ پرداخت کنند. همچنین هزینه های کاربران میلیون ها دقیقه طول می کشد، از روی صفحه کلید دور می شود، آیا آنها در حال تلاش برای مشاهده اطلاعات شخصی، ثبت نام برای یک سرویس یا خرید از فروشگاه فروشگاه الکترونیک هستند.

پس چه می توانیم بکنیم؟ و جنبه های مبهم و مزاحم استفاده از رمز عبور ما باعث می شود که ما از رایانه و دستگاه های ما از پنجره خارج شویم؟

گزارش های جدید نشان می دهد که به عنوان یک جامعه، ما ممکن است در مورد برخی از این مشکلات رمز عبور آزار دهنده خلاص شوید. با تحقیق جدید در مورد امنیت سایبری، احتمالا فراتر از بعضی از استانداردهای امنیتی فعلی است که طی چند سال گذشته باعث ایجاد فشار بر ما شده است.

مقاله ای در وال استریت ژورنال می نویسد که تا آنجا که طرفین در پشت برخی از این قوانین قرار می گیرند و در مورد اینکه چرا ممکن است دیگر نیازی به آنها نداشته باشد، درج می شود.

در روز 7 اوت 2017، رابرت مک میلان، نویسنده WSJ، یک بمب را به صورت یک بخش تحقیقاتی در بیل بورد، نویسنده مقاله 2003 که تأثیرات بزرگی بر استانداردهای رمز عبور شرکت گذاشت، تحویل داد. بورد در موسسه ملی استاندارد و فناوری، آژانس فدرال که با ارزیابی نوآوری های تکنولوژیکی در ایالات متحده کار می کرد، کار می کرد.

"مردی که این کتاب را در زمینه مدیریت رمز عبور نوشته است اعتراف به ایجاد"، آغاز می شود قطعه McMillan. "او آن را منفجر کرد."

از آنجا، مقاله در ادامه به توصیف دو بغداد دوران دیجیتال که زندگی ما را پیچیده کرده است. اول آن الزامات تشدید شده برای وارد کردن کاراکترهای خاص در یک رمز عبور است. دیگر تغییرات رمز عبور مکرر است.

هر دو از این شیوه ها زمان زیادی را صرف می کنند که در مورد ده ها کلمه عبور شخصی صحبت می کنید. اولین مورد، یک مورد کلاسیک از "رابط بد" است - این فقط شهودی نیست، و مردم را مجبور می کند راه حلی پیدا کند.

اختلافات شناختی و ذهنیت گله
اکثر ما می توانیم "احساس" کنیم که چگونه این استانداردهای رمز عبور سبب سردرگمی در مغز ما می شوند. با انتخاب بسیار انتزاعی نحوه اضافه کردن یک عدد و یک کاراکتر خاص به یک رمز عبور، که در غیر این صورت یک رشته الفبایی است، بسیاری از ما به سادگی یک "1!" را خالی می کنیم، که واقعا تمایل به فریب دادن هکرها ندارد. در حقیقت، هرچه بیشتر انتخابهای عمومی ما را انتخاب کنیم، ساده تر آن است که رمزهای عبور ما را ترک کنیم. (درباره هکرها بیشتر بدانید که آیا تحقیقات امنیتی در حقیقت کمک به هکرها است؟)

اضافه کردن، در بالای آن، الزام است که کاربران هر یک ماه یا هر سه ماه یکبار رمزهای عبور خود را به روز رسانی کنند.

استدلال پشت این الزام این است که گذرواژه قدیمی باید به چیزی کاملا متفاوت تبدیل شود - اما اغلب اوقات این کار آن نیست. تلاش برای اداره کردن مغز ضرب و شتم اضافی برای به یاد آوردن یک کلمه جدید با نام تجاری جدید، کاربر گذرواژه قدیمی را می گیرد و یک حرف یا شماره را تغییر می دهد. در حال حاضر، رمز عبور قدیمی یک "tell" بزرگ برای جدید است - این مسئولیت است.

استانداردهای جدید NIST: در داخل چیست؟
قوانین جدیدی که توسط NIST توسعه می یابند همه آن را تغییر می دهند.

انتشار ویژه 800-63-3 به روز رسانی نسخه اصلی است که انجام بسیاری از آنچه که برخی از کارشناسان می گویند باید به طور کامل اجرا شده است.

اول، هر دو قوانین ترکیب، از جمله نیاز به قرار دادن نقطه علامت تعجب در رمز عبور خود و نیاز به زمان انقضا معمول است.

چه NIST 800-63-3 می افزاید تمرکز بر شیوه های امنیتی واقع بینانه است.

قوانین جدید مستلزم احراز هویت چند عامل است که نویسندگان آن را مخلوط کردن رمز عبور (چیزی که شما به یاد می آورید) با یک کلید فیزیکی یا keycard (چیزی که شما دارید) یا یک قطعه داده بیومتریک (چیزی که بخشی از شماست) توصیف می کند. پیشنهادات دیگر عبارتند از استفاده از کلید رمزنگاری و نیاز به پذیرش تمام کاراکترهای ASCII قابل چاپ، و همچنین طول بلند 64 کاراکتر و حداقل طول 8. (بیشتر در مورد بیومتریک در How Biometrics Passive می تواند در IT Data Security کمک کند.)

در یک عمومی

جیم فنتون، متخصص تحقیقات امنیتی، به طور جدی جزئیات با عنوان "به سمت بهتر از نیازهای رمز عبور" را به خوبی توضیح می دهد، همچنین توضیح می دهد که چگونه NIST توصیه می کند که یک فرهنگ لغت رمز عبور به راحتی هکاپی ایجاد کند که باید آن را اصلاح کند. به طور خودکار ممنوع است

"اگر آسان نیست، کاربران تقلب کنند،" فنتون می نویسد، بررسی برخی از قوانین commonsense که برای رمزهای عبور ضعیف برای به خطر انداختن یک شبکه سخت تر است.

کارشناسان نیز به این نتیجه می رسند که کاربران از کلمه عبور یا مجموعه کلمات برای یک کلمه عبور استفاده می کنند، نه از سوپ سوپ الفبایی که ما آموزش داده ایم.

چرا پاراگراف بهتر است؟
راه های بسیاری برای توضیح دادن این است که چرا گذرواژه طولانی مانند "کل تخم دوچرخه تخم مرغ" به عنوان یک انتخاب رمز عبور قوی تر از چیزی مانند "MisterA1!" وجود دارد - اما ساده ترین کار با یک متریک بسیار قابل درک: طول است.

یک ایده در قبال مقررات جدید NIST این است که به نوعی استراتژی رمز عبور ما را بر اساس آنچه که برای انسان ها معقول است، در حالی که صرف نظر از اینکه چه چیزی برای دستگاه ها منطقی است، قرار داده است.

چند کاراکتر تصادفی ممکن است هکرهای انسانی را از بین ببرند، اما به نظر می رسد که کامپیوترها به راحتی توسط یک شماره اضافی یا شخصیت در انتهای یک رمز عبور به راحتی شتاب می گیرند. به همین دلیل است که بر خلاف انسان، رایانه ها کلمه عبور را به معنای کلمه نمی خوانند. آنها به سادگی آنها را با رشته بخوانند.

حمله ی خشونت آمیز زمانی اتفاق می افتد که یک رایانه از طریق همه ی تغییرات ممکن از شخصیت ها، با پیدا کردن یک ترکیب مناسب، که در ابتدا توسط کاربر انتخاب شده است، تلاش کند. هنگامی که این حملات اتفاق می افتد، اهمیت موضوع این است که چگونه رمز عبور شما پیچیده است - و هر یک از کاراکتر های دیگر، مقدار زیادی و تقریبا پیچیدگی پیچیده را اضافه می کند.

با در نظر داشتن این موضوع، یک عبارت عبور به طور قاطع قوی تر خواهد شد - حتی اگر "به نظر می رسد" ساده تر به چشم انسان است.

با گسترش حداکثر طول رمز عبور به 64 کاراکتر، دستورالعمل های NIST جدید به کاربران قدرت رمز عبور آنها نیاز دارند، بدون اعمال بسیاری از قوانین مخالف.

بدون نکات!
بسیاری از مدیران دوست دارند خلاص شدن از خواسته های شخصیت های خاص و همه این به روز رسانی های رمز عبور کارآمد، اما یکی دیگر از ویژگی های است که نیز دریافت تبر به عنوان حرفه ای خواندن دستورالعمل جدید NIST.

بسیاری از سیستم ها از کاربران جدید درخواست می کنند تا در هنگام ورود به حقایق مربوط به خودشان به یک پایگاه داده اضافه کنند: ایده این است که اگر بعدا گذرواژه خود را فراموش کنند، سیستم می تواند بر اساس برخی فکر های گذشته خود، که هیچ کس دیگر نمی داند، آنها را تأیید کند. به عنوان مثال: ماشین اول شما چیست؟ نام اولین حیوان خانگی شما چه بود؟ نام فرزند شما مادر چیست؟

این یکی دیگر از آن روند است که برای بسیاری از ما ناراحت کننده است. گاهی اوقات، سوالات به نظر می رسد مضر است. همچنین، متصدیان امنیتی معتقدند که بسیاری از ما که اولین شورولت را می راندند، خوب است، یا در یک جادوگر جوانه زدن، اولین سگ "نقطه" را نام بردیم.

سپس حجم کار حفظ پایگاه داده و مطابقت دادن پاسخ ها زمانی که لازم است وجود دارد.

در صورت وجود گزینه های بهتر برای فعال سازی فعالیت های کاربر، ایمن می توان گفت بیش از حد بسیاری از مردم نابود نمی شوند.

نه، این خانه وفل نیست! سالت، هش ت و کشش
در نوآوری های دیگر، کارشناسان هم اکنون توصیه می کنند کلمه عبور "salting" را که شامل ایجاد یک رشته تصادفی از شخصیت ها قبل از فرایند "هش کردن" است که یک داده را به یک دیگر منتقل می کند، تغییر می دهد و بنابراین ساختار رمز عبور را تغییر می دهد و باعث می شود که پیچیده تر شود. همچنین یک فرآیند نامیده می شود "کشش" است که به طور خاص طراحی شده است برای جلوگیری از حملات خشونت آمیز، به نحوی که بخشی از روند روند ارزیابی کندتر است.

آنچه که همه این توابع مشترک دارند، این است که آنها در قلمرو اداری، نه در نوک انگشتان کاربر انجام می شود. کاربر متوسط ​​نیازی به این نوع کارهای رویه ای ندارد - او فقط می خواهد دسترسی و در مورد آنچه که در سیستم شبکه ای انجام می دهد، چه کارهایی انجام می دهد، در شبکه با دوستان، یا در خرید یا فروش چیزی آنلاین. بنابراین با تصویب قوانین رمز عبور "مشتری" و ایجاد بسیاری از اداری امنیتی، شرکت ها و سایر سهامداران واقعا می تواند تجربه کاربر را بهبود بخشد.

این نکته کلیدی است، زیرا بهبود تجربه کاربر چیزی است که بسیاری از نوآوری های فناوری جدید در مورد آن هستند. ما به نقطه ای رسیده ایم که بسیاری از قابلیت ها را از رایانه ها، گوشی های هوشمند و دستگاه های دیگر بریده ایم - بسیاری از پیشرفت هایی که ما در سال های آینده انجام می دهیم، باعث می شود تا وظایف مجازی آسان تر انجام شود، و خلاص شدن از خستگی از تجربه: مانند یک وب سایت غیر موبایل، رابط کاربری glitchy، عمر باتری ضعیف ... و یا ورود به سیستم خسته کننده! این به این معنی است که نوآوری رمز عبور وارد می شود. به عقب برمی گردیم به ایده احراز هویت چند عامل، احتمال دارد که بیومتریک بتواند سهولت استفاده بیشتر برای دستگاه ها را باز کند - به همین دلیل وقتی که می توانید دستگاه خود را نشان دهید

ou با یک اثر انگشت هستند؟

پیاده سازی عملی: برخی از چالش ها باقی مانده است
همانطور که گفتیم، با گذرواژه ها و پین ها در حال حاضر بسته شده ایم. به عنوان مثال، برخی از سیستم عامل های جدیدتر از یک پین چهار رقمی به یک پین 6 رقمی تغییر داده شده است، و بسیاری از ما این کار را بسیار سخت تر از قرعه کشی در دستگاه های ما انجام می دهیم.

یک مسئله با رویکرد رمز عبور توصیه شده توسط NIST این است که هنوز هم باید تنظیم مجدد رمز عبور (همانطور که در این موضوع در امنیت برهنه بحث شده است) وجود دارد. مردم هنوز رمز عبور خود را فراموش کرده اند. برخی معتقدند ممکن است برای افرادی که IT را برای رمز عبور جدید می گذارند، سخت تر شوند، زمانی که آنهایی که اصلی هستند بسیار طولانی تر هستند.

با این وجود، ممکن است بعضی از پتانسیل در اینجا وجود داشته باشد که در مورد احراز هویت چند عامل است. بیومتریک هنوز در دست نیست، اما تقریبا هر کس یک تلفن همراه دارد. بسیاری از سیستم های بانکی آنلاین و دیگر سیستم ها از طریق SMS برای تأیید اعتبار از کاربران استفاده می کنند. این می تواند یک راه آسان برای بررسی در حساب های که رمز عبور از دست داده و یا فراموش شده است. این نیز یک راه اصلی برای تقویت رمز عبور به طور کلی است، همانطور که در بالا ذکر شد.

غذاهای آماده
اگر شما مدیر شبکه هستید، قوانین NIST جدید به شما چه می گویند؟

به نظر می رسد آژانس فدرال به مدیران گفته است: آرام باشید. کاربران اجازه می دهند آنچه را که به طور مستقیم انجام می دهند، با رمزگذاری بهتر، یک فرهنگ لغت رشته های ممنوع، و یک فیلد ورودی طولانی با قابلیت انعطاف پذیری بیشتر. آنها را یاد نگیرید که کلمات عبور خود را با ستاره ها و کاراکتر های ویژه پرطرفدار تلقی کنند. و آنها را هر چند هفته یکبار تمام روند را دوباره انجام دهید.

همه اینها باعث می شود یک پلت فرم معروفی با اهمیت تر باشد. فقط از بین بردن نکات رمز عبور، یک پایگاه کد قابل توجهی را با تمام نیازهای منابع آن برداشته است. قوانین جدید NIST امنیت رمز عبور را به جایی که در آن تعلق دارد قرار داده است: خارج از دست کاربر فردی و به یک مکان مبهم که در آن ویژگی های فنی حملات آسان روز به روز حملات شدید. آنها به ما اجازه دادند که یک رویکرد جدید و آرام به روشی برای فرآیند تلاش داشته باشیم: ساختن کلمات و عبارات منحصر به فرد برای هر گوشه ای از زندگی دیجیتال ما. این یک گام به سوی یک رابط کاربری بصری بیشتر است - یک دنیای دیجیتال جدید و پیشرفته که در آن چیزی که ما انجام می دهیم بیشتر طبیعی و کمتر گیج کننده است.