ببساطة تأمين: تغيير متطلبات كلمة المرور أسهل على المستخدمين

مؤلف: Roger Morrison
تاريخ الخلق: 24 شهر تسعة 2021
تاريخ التحديث: 1 تموز 2024
Anonim
حل مشكلة تغيير اسم المستخدم في الانستقرام
فيديو: حل مشكلة تغيير اسم المستخدم في الانستقرام

المحتوى



المصدر: مصمم 491 / iStockphoto

يبعد:

قواعد NIST الجديدة تجعل المستخدمين يتنفسون الصعداء بشأن سياسات كلمة المرور

هناك تغييرات كبيرة تظهر في الأسفل قد يحبها كل من مسؤولي الأنظمة والمستخدمين العاديين - فهي تتعلق ببروتوكولات كلمة المرور.

كلمات المرور هي حقيقة من حقائق الحياة - معظمنا لديه الكثير منهم. لا يمكننا تذكرها جميعًا ، ولا توجد أي طريقة لتتبعها ما لم نبدأ في كتابتها. بديل آخر هو مجرد تذكر كلمات المرور التي تستخدمها بانتظام ، وطلب إعادة تعيين كلمة المرور عندما تحتاج إلى الوصول إلى المواقع الأخرى - ولكن هذا كثير من إعادة تعيين كلمة المرور! لقد سجل خبراء مثل Cormac Herley ، باحث في Microsoft ، الحديث عن تكاليف الوقت الهائلة لإعادة تعيين كلمة المرور ، وكيف يمكن أن يكلف الشركات الكبرى ملايين الدولارات كل عام. كما أنه يكلف المستخدمين ملايين الدقائق ، أو النقر على لوحة المفاتيح ، سواء كانوا يحاولون عرض البيانات الشخصية ، أو الاشتراك في خدمة أو شراء شيء ما من متجر للتجارة الإلكترونية.

فماذا يمكننا أن نفعل؟ وما هي أكثر جوانب إعاقة استخدام كلمات المرور الخاصة بنا والتي تجعلنا نريد إلقاء أجهزة الكمبيوتر والأجهزة الخاصة بنا خارج النافذة؟


تُظهر التقارير الجديدة أنه كمجتمع ، قد نكون على وشك التخلص من بعض مشكلات كلمة المرور المزعجة هذه. بالانتقال إلى بحث جديد حول الأمن السيبراني ، من المحتمل أن نتجاوز بعض معايير الأمان الحالية التي تسببت في الكثير من التوتر خلال السنوات القليلة الماضية.

يذهب مقال في صحيفة وول ستريت جورنال إلى حد بعيد لإبراز زميله وراء بعض هذه القواعد ، والحصول على معلومات حول سبب عدم الحاجة إليها بعد الآن.

في 7 أغسطس 2017 ، قام كاتب WSJ ، روبرت ماكميلان ، بتسليم قنبلة على شكل مقالة تحقيقية على Bill Burr ، مؤلف ورقة 2003 والتي انتهى بها الأمر إلى تأثيرات كبيرة على معايير كلمة مرور الشركة. عمل بور في المعهد الوطني للمعايير والتكنولوجيا ، وهي الوكالة الفيدرالية المكلفة بتقييم الابتكار التكنولوجي في الولايات المتحدة.

"الرجل الذي قام بكتابة كتاب عن إدارة كلمة المرور لديه اعتراف" ، يبدأ في كتابة كتاب ماكميلان. "لقد فجر".

من هناك ، يمضي المقال لوصف اثنين من bugbears من العصر الرقمي الذي أدى إلى تعقيد حياتنا. الأول هو تلك المتطلبات المشددة لتضمين أحرف خاصة في كلمة مرور. والآخر هو تغييرات كلمة المرور المتكررة.


No Bugs، No Stress - دليلك خطوة بخطوة لإنشاء برامج لتغيير الحياة دون تدمير حياتك

لا يمكنك تحسين مهارات البرمجة لديك عندما لا يهتم أحد بجودة البرنامج.

تستغرق كلتا العمليتين الكثير من الوقت عندما تتحدث عن عشرات كلمات المرور الفردية. الأول ، رغم ذلك ، هو أيضًا حالة كلاسيكية من "واجهة سيئة" - إنها ليست فقط بديهية ، وهي تجبر الناس على إيجاد حلول بديلة.

التنافر المعرفي وعقلية القطيع

معظمنا يمكن أن يشعر "كيف" كيف أن معايير كلمة المرور هذه تسبب ارتباكًا في أدمغتنا. في مواجهة الاختيار المجرد للغاية لكيفية تضمين رقم وشخصية خاصة في كلمة مرور ، والتي تعد سلسلة حروف أبجدية ، فإن الكثير منا ببساطة سيتخلص من "1!" وهذا لا يميل إلى إحباط المتسللين. في الواقع ، كلما اخترنا نفس الخيارات العامة ، أصبح من الأسهل كسر كلمات المرور الخاصة بنا. (تعرف على المزيد حول المتسللين في هل يساعد البحث الأمني ​​المتسللين فعليًا؟)

إضافة ، علاوة على ذلك ، شرط أن يقوم المستخدمون بتحديث كلمات المرور الخاصة بهم كل شهر ، أو كل ثلاثة أشهر أو نحو ذلك.

السبب وراء هذا الشرط هو أنه يجب تغيير كلمة المرور القديمة إلى شيء مختلف تمامًا - ولكن في كثير من الأحيان ، لا يتم ذلك بطريقة عملها. عند محاولة التعامل مع الضرب الإضافي لتذكر كلمة مرور جديدة ، سيأخذ المستخدم كلمة المرور القديمة ويغير حرفًا أو رقمًا واحدًا. الآن ، كلمة المرور القديمة هي "إخبار" رئيسية عن كلمة المرور الجديدة - تصبح مسؤولية.

معايير نيست الجديدة: ما هو في الداخل؟

القواعد الجديدة التي طورتها NIST ستغير كل ذلك.

المنشور الخاص 800-63-3 هو تحديث للنسخة الأصلية يحقق الكثير مما يقول بعض الخبراء إنه كان يجب تنفيذه طوال الوقت.

أولاً ، يستبعد كلاً من قواعد التكوين ، مثل الاضطرار إلى وضع علامة تعجب في كلمة مرورك ، ومتطلبات انتهاء الصلاحية الروتينية.

ما يضيفه NIST 800-63-3 هو التركيز على الممارسات الأمنية "الواقعية".

تشدد القواعد الجديدة على المصادقة متعددة العوامل ، والتي يصفها المؤلفون على أنها خلط كلمة مرور (شيء تتذكره) مع مفتاح مادي أو لوحة مفاتيح (شيء لديك) أو جزء من البيانات البيومترية (شيء يمثل جزءًا منك). تتضمن الاقتراحات الأخرى استخدام مفاتيح التشفير ، والحاجة إلى قبول جميع أحرف ASCII القادرة ، بالإضافة إلى طول علوي يبلغ 64 حرفًا ، وطول ثمانية أحرف على الأقل. (تعرف على المزيد حول القياسات الحيوية في كيفية مساعدة القياسات الحيوية السلبية في أمان بيانات تكنولوجيا المعلومات.)

في عرض شرائح عام بعنوان "نحو متطلبات أفضل لكلمة المرور" ، يعرض خبير أبحاث الأمن جيم فينتون بالتفصيل العديد من هذه الإصلاحات على أنها "ستحارب" و "أنت لن" ، موضحًا أيضًا كيف يوصي NIST بإنشاء قاموس لكلمات المرور التي يسهل اختراقها يجب أن يحظر تلقائيا.

"إذا لم يكن الأمر سهلاً ، فإن المستخدمين يغشون" ، يكتب فنتون ، ويفحص بعض قواعد المنطقية التي ستجعل من الصعب على كلمات المرور الضعيفة اختراق شبكة.

يقترح الخبراء أيضًا أن يفكر المستخدمون في "عبارة مرور" أو مجموعة من الكلمات بكلمة مرور ، بدلاً من خلط حساء هجائي رقمي تم تدريبنا على توفيره.

لماذا عبارة المرور أفضل؟

هناك العديد من الطرق لشرح السبب في أن عبارة المرور الطويلة مثل "حمار البيض الكامل للدراجات" ستكون اختيار كلمة مرور أقوى من شيء مثل "MisterA1!" - ولكن أبسط ما له علاقة بمقياس مفهومة جدًا: الطول.

إحدى الأفكار التي تكمن في جوهر لوائح NIST الجديدة هي ، في بعض النواحي ، أننا نؤسس إستراتيجية كلمة المرور الخاصة بنا على ما هو منطقي بالنسبة للبشر ، مع تجاهل ما هو منطقي للآلات.

قد تحير بعض الأحرف العشوائية المتسللين البشريين ، ولكن من غير المرجح أن يتأثر أجهزة الكمبيوتر بسهولة بعدد إضافي أو حرف إضافي في نهاية كلمة المرور. هذا لأنه ، على عكس البشر ، لا تقرأ أجهزة الكمبيوتر كلمات المرور للمعنى. لقد قرأوها ببساطة عن طريق الأوتار.

يتم الهجوم بالقوة الغاشمة عندما يمر جهاز كمبيوتر بجميع التباديل الممكنة من الشخصيات في محاولة "لاقتحام" من خلال إيجاد التركيبة الصحيحة ، المجموعة المختارة أصلاً من قبل المستخدم. عندما تحدث هذه الهجمات ، ما يهم هو مدى تعقيد كلمة مرورك - وكل شخصية إضافية تضيف درجة هائلة من التعقيد.

مع وضع ذلك في الاعتبار ، ستكون عبارة المرور أقوى بشكل كبير - على الرغم من أنها "تبدو" أسهل للعين البشرية.

من خلال توسيع الحد الأقصى لطول كلمة المرور إلى 64 حرفًا ، توفر إرشادات NIST الجديدة للمستخدمين قوة كلمة المرور التي يحتاجون إليها ، دون فرض الكثير من القواعد المضادة للحدس.

لا تلميحات!

سيحب الكثير من المشرفين التخلص من متطلبات الأحرف الخاصة وجميع تحديثات كلمات المرور الكثيفة العمالة ، ولكن هناك ميزة أخرى تحصل أيضًا على الفأس بينما يقرأ المحترفون إرشادات NIST الجديدة.

تطلب العديد من الأنظمة من المستخدمين الجدد إضافة حقائق عن أنفسهم إلى قاعدة بيانات أثناء التنقل: الفكرة هي أنه في وقت لاحق ، إذا نسوا كلمة المرور الخاصة بهم ، يمكن للنظام المصادقة عليها استنادًا إلى بعض التفكير في ماضيهم الذي لا يعرفه أي شخص آخر. على سبيل المثال: ما هي سيارتك الأولى؟ ماذا كان اسم أول حيوان أليف لديك؟ ما هو اسم والدتك الاوسط؟

هذا هو آخر واحد من تلك الاتجاهات التي شعرت بعدم الارتياح بالنسبة للكثيرين منا. في بعض الأحيان ، تبدو الأسئلة تدخلية. أيضًا ، سيشير المتشككون ذوي العقلية الأمنية إلى أن هناك الكثير منا الذين قادوا سيارة شيفروليه لأول مرة ، أو أطلقوا على كلبنا "سبوت" في بداية شبابية.

ثم هناك عبء العمل في الحفاظ على قاعدة البيانات ومطابقة الإجابات عند الحاجة إليها.

من الآمن القول أن عددًا كبيرًا جدًا من الناس سوف يذرفون الدموع على اختفاء وظائف "تلميح كلمة المرور" عندما تكون هناك خيارات أفضل لجعل نشاط المستخدم آمنًا حقًا.

لا ، إنه ليس وافل هاوس! تمليح ، تجزئة وتمتد

في ابتكارات أخرى ، يوصي الخبراء الآن أيضًا "تمليح" كلمات المرور ، والتي تتضمن إنشاء سلسلة عشوائية من الأحرف قبل عملية "التجزئة" التي تقوم بتعيين مجموعة بيانات إلى أخرى ، وبالتالي تغيير تركيبة كلمة المرور وتجعل من الصعب كسرها. هناك أيضًا عملية تسمى "الامتداد" تم تصميمها خصيصًا لإحباط هجمات القوة الغاشمة ، جزئيًا عن طريق جعل عملية التقييم أبطأ.

تشترك جميع هذه الوظائف في أنها تحدث في المجال الإداري ، وليس في متناول يد المستخدم. لا يريد المستخدم العادي أن يفعل أي شيء بهذه الأنواع من الأشياء الإجرائية - هو أو هي فقط ترغب في الوصول إلى أي شيء موجود في نظام الشبكة ، سواء أكملت مهام العمل أو التواصل مع الأصدقاء أو شراء أو بيع شيء ما عبر الانترنت. لذلك من خلال التخلص من قواعد كلمة المرور "من جانب العميل" وجعل الكثير من الأمن الإداري ، يمكن للشركات وأصحاب المصلحة الآخرين تحسين تجربة المستخدم حقًا.

هذه نقطة أساسية ، لأن تحسين تجربة المستخدم هو ما يدور حوله الكثير من الابتكار التكنولوجي الجديد. لقد وصلنا إلى النقطة التي استبعدنا فيها الكثير من الوظائف من أجهزة الكمبيوتر والهواتف الذكية والأجهزة الأخرى لدينا - الكثير من التقدم الذي سنحققه في السنوات القادمة ينطوي على جعل المهام الافتراضية أسهل في القيام بها ، والتخلص من clunky للتجربة: مثل موقع ويب غير متنقل أولاً ، أو واجهة خلابة ، أو عمر بطارية رديء ... أو تسجيل دخول شاق! هذا هو المكان الذي يأتي فيه ابتكار كلمة المرور. وبالرجوع إلى فكرة المصادقة متعددة العوامل ، من المحتمل أن تطلق القياسات الحيوية المزيد من سهولة الاستخدام للأجهزة - لماذا اضغط على كلمات المرور الطويلة واكتبها عندما يمكنك فقط عرض جهازك على من أنت مع إصبع؟

التنفيذ العملي: لا تزال هناك بعض التحديات

كما قلنا ، على الرغم من ذلك ، تعثرنا مع كلمات المرور وأرقام التعريف الشخصية في الوقت الحالي. على سبيل المثال ، تحولت بعض أنظمة التشغيل الأحدث من رقم PIN المكون من أربعة أرقام إلى رقم PIN المكون من ستة أرقام ، مما يجعل الكثير منا أبطأ بكثير من السحب على أجهزتنا.

مشكلة واحدة مع نهج "عبارة المرور" الموصى بها من قبل NIST هي أنه لا يزال هناك إعادة تعيين كلمة المرور (كما تمت مناقشته في هذا الموضوع على Naked Security). لا يزال الناس ينسون كلمات المرور الخاصة بهم. يقترح البعض أنه قد يكون من الصعب على موظفي تكنولوجيا المعلومات إصدار كلمات مرور جديدة عندما تكون الكلمات الأصلية أطول بكثير.

ومع ذلك ، قد يكون هناك بعض الإمكانيات هنا عندما يتعلق الأمر بالمصادقة متعددة العوامل. لم يتم التعرف على المقاييس الحيوية فعليًا ، ولكن كل شخص لديه هاتف محمول تقريبًا. تستخدم الكثير من الأنظمة المصرفية عبر الإنترنت والأنظمة الأخرى الرسائل القصيرة لمصادقة المستخدمين. قد تكون هذه طريقة سهلة للتحقق من الحسابات التي فقدت أو نسيت كلمة المرور. إنها أيضًا طريقة أساسية لتقوية كلمة المرور بشكل عام ، كما ذكر أعلاه.

الوجبات السريعة

إذا كنت مسؤول شبكة ، فما هي قواعد NIST الجديدة التي تخبرك؟

في الأساس ، يبدو أن الوكالة الفيدرالية تخبر المديرين: الاسترخاء. دع المستخدمين يقومون بما يقومون به بشكل حدسي ، مع تشفير أفضل ، وقاموس من السلاسل المحظورة ، وحقل إدخال أطول مع مزيد من التنوع. لا تعلمهم أن يخمدوا كلمات المرور الخاصة بهم بعلامات نجمية وشخصيات خاصة لطيفة. ولا تجعلهم يعيدون العملية بأكملها كل بضعة أسابيع.

كل هذا سيجعل منصة أصغر حجما وأكثر بخلا. مجرد إزالة تلميحات كلمة المرور يسلب قاعدة بيانات كبيرة مع جميع متطلبات الموارد. تضع قواعد NIST الجديدة أمانًا لكلمة المرور من حيث كونها: خارج أيدي المستخدم المثير للخصوصية وإلى مكان غامض حيث تجعل الوظائف الفنية من السهل سجل هجمات القوة الغاشمة بالأمس. لقد سمحوا لنا جميعًا باتباع نهج جديد مبرد تجاه ما كان يمثل عملية صعبة: صياغة كلمات وعبارات صغيرة فريدة لكل ركن من أركان حياتنا الرقمية. إنها خطوة أخرى نحو عالم من واجهات المستخدم الأكثر سهولة - عالم رقمي جديد ومحسّن ، حيث ما نشعر به أكثر طبيعية وأقل تشويشًا.