„Újragondolta a NIST a személyazonosságra vonatkozó irányelveit. A nyilvános vita lezárult. A jelszavakban komoly változás jöhet.
Néhány éve Lorrie Cranor, az FTC (Federal Trade Commission) technológusa beszélt először arról, hogy a jelszókezelési szabályok – például a rövid időközönként kikényszerített jelszóváltoztatás – nem hogy növelné, hanem kifejezetten csökkenti a biztonságot. Cranor okfejtését a neves biztonsági kutató és megmondó ember, Bruce Schneier is igencsak megfontolandónak találta, többször is írt róla blogjában (Cranor elméletével itt foglalkoztunk részletesen).
Mivel a jelszó mind a mai napig az egyik legfontosabb biztonsági elem, a NIST (National Institute of Standards and Technology) is újragondolásra érdemesnek tartotta a vele kapcsolatos ajánlásait. Az USA kereskedelmi minisztériumának szervezete május elején zárta le az általa kidolgozott új digitális azonosságkezelési irányelvek (Digital Identity Guidelines) nyilvános vitáját, amely új elveket fogalmaz meg a jelszóhasználattal szemben.
A Digital Identity Guidelines előírásainak alkalmazása ugyan csak az amerikai szövetségi szervezeteknél és intézményekben kötelező, de jelentős a hatása globálisan is. A NIST szabályozására ugyanis minden olyan szervezet, vállalat figyel, amely igyekszik követni a legjobb biztonsági gyakorlatokat.
Mit kell máshogy csinálni?
Az ESET szakértői kimazsolázták azokat a módosításokat, melyek a leginkább érintik a jelszókezelést. Van köztük néhány igencsak figyelemre méltó.
1. Megszűnik a kötelező szabály a jelszavak összetételéről. Jelenleg az az elv, hogy egy erős jelszónak kell tartalmaznia kis- és nagybetűket, számokat és speciális karaktereket is. (Egyes weboldalakon ki is kényszerítik ennek betartását, és mi is többször foglalkoztunk azzal, hogy mitől lesz erős a jelszó, például itt.)
A legújabb kutatások fényében azonban a NIST szerint ez az elv nem eredményez erősebb jelszavakat, sőt sokszor éppen ez az elv az, ami miatt a felhasználók gyenge jelszavakat választanak. Például a választott jelszó formailag megfelel ugyan az előírásnak, de hogy a felhasználó könnyen meg tudja jegyezni (és így valószínűleg más is könnyen ki tudja találni), mégis könnyen visszafejthető. De az sem ad jobb eredményt, ha nehezen megjegyezhető jelszót választ valaki, mert akkor általában ő is nehezen jegyzi meg, ezért valahol tárolja jellemzően nem biztonságos módon.
Ettől természetesen még igaz, hogy minél bonyolultabb és véletlenszerűbb egy jelszó karakterlánca, annál erősebb.
2. Jönnek a feketelisták. A formai szabályozás helyett a NIST bevezetné a feketelistát a leggyakrabban használt és a kompromittálódott jelszavakra.
3. Nem lesz a rendszeres és kötelező jelszóváltoztatás. Az új irányelv konkrétan a Lorrie Cranor felvetette problémára is reagál. A javaslat szerint az alkalmazások, szolgáltatások ne kérjenek rendszeres jelszóváltoztatást a felhasználóktól, csak akkor, ha egy szervezetet támadás vagy adatvesztés ért. Az NIST magyarázata is egybeesik Cranoréval: a rendszeres jelszóváltoztatás kikényszerítése a felhasználókat arra sarkalja, hogy gyenge jelszavakat használjanak. Cranor és Schneier szerint is elkezdenek jól követhető mintázatok szerint módosítani a jelszavakon, amivel újabb eszközt adnak a jelszó-visszafejtők kezébe.
4. Nem javasolt a jelszó-emlékeztető és a tudásalapú azonosítás. Mindkét eszköz akkor segíti a felhasználót, ha elfelejtette a jelszavát. Azokon az oldalakon, szolgáltatásokban, melyek ilyen elemet is tartalmaznak, valamilyen, a felhasználóra jellemző infót kérnek, hiszen azt senki sem felejti el. Csakhogy ezek az adatok a kiberbűnözők számára is értéket jelentenek, akár további támadásokban is segíthetnek. Sok oldal éppen ezért már most sem alkalmazza ezt a módszert.
5. Több karakterből lehet választani. Bár a jelszóval szembeni kötelező formai követelményeket megszüntetné a NIST, attól még az erős jelszó korábbi jellemzői (pl. véletlenszerű karakterlánc, kisbetű-nagybetű kombináció stb.) igazak maradnak. Éppen ezért fontos, hogy a tervek szerint a felhasználók a jövőben minden nyomtatható ASCII és UNICODE karaktert felhasználhatnak a jelszavaikban, hangulatjeleket vagy szóközt is.
6. Egy jelszónak legalább 8 karakterből kell állnia. A NIST új irányelve kulcsszerepet tulajdonít a jelszavak hosszának: a minimum 8, a maximum pedig 64 karakter. Ugyanakkor a szakértők szerint – mint arra az ESET összefoglalója is felhívja a figyelmet – 10 karakterig nincs különösebben nagy különbség egy jelszó feltörésének időigényében, de az 11 karakternál már jelentősen megnő, így érdemes legalább ilyen hosszú jelszavakat használni.
A jelszó önmagában kevés
Bár a NIST az ajánlások betartásától azt várja, hogy javul a jelszavakkal garantálható biztonság szintje, továbbra is igaz, hogy az egyfaktoros azonosítás már közel sem elég, hangsúlyozza a szervezet által közzétett dokumentum. Ha valaki a felhasználói fiókját és a védett erőforrásait valóban biztonságban akarja tudni, továbbra is többfaktoros azonosításban kell gondolkodnia.Ebben azonban szintén vannak új elemek. Mindenekelőtt az, hogy a NIST a mobilbiztonsági kockázatok miatt nem javasolja, hogy SMS-ben küldött egyszeri belépési kódot alkalmazzunk második azonosítási faktornak. Sokkal megbízhatóbb a szoftveres token vagy az erre a célra kifejlesztett alkalmazások által generált, egyszer használatos jelszavak használata.
A NIST célja az új ajánlásokkal kettős: úgy tenni biztonságosabbá a jelszavak kezelését, hogy közben az azonosítási folyamat felhasználóbarátabbá váljon. A két igény között nehéz megtalálni az egyensúlyt, de hogy érdemes rá törekedni, jól mutatják Lorrie Cranor megállapításai is: a kényelmetlenség – például a rendszeres jelszóváltoztatás kényszere – inkább gyengíti a biztonságot. Jól érzékelhető, hogy a NIST is igyekezett reagálni a jelszókezelési módszerek utóbbi években feltárt kockázataira.
Az új ajánlások átültetése a gyakorlatba időt vesz igénybe. Nem feltétlenül a technológiai megvalósítás kell sok idő, hanem inkább ahhoz, hogy elvégezzék az ajánlások kockázatainak elemzését, valamint implementálásuk közvetett, más rendszerekre gyakorolt hatásainak feltérképezését.”
Forrás:
Felejtsünk el mindent, amit eddig az erős jelszavakról tudtunk?; Bitport.hu; 2017. május 6.
Lásd még: NIST to security admins: You’ve made passwords too hard; Fahmida Y. Rashid; InfoWorld; 2017. május 5.
New password guidelines say everything we thought about passwords is wrong; Slava Gomzin; VentureBeat; 2017. április 18.
Digital Identity Guidelines; DRAFT NIST Special Publication 800-63-3
Digital Identity Guidelines. Enrollment and Identity Proofing Requirements; DRAFT NIST Special Publication 800-63A
Digital Identity Guidelines. Authentication and Lifecycle Management DRAFT NIST Special Publication 800-63B
Digital Identity Guidelines. Federation and Assertions; DRAFT NIST Special Publication 800-63C
