/ / Die Normungsagentur empfiehlt Richtlinien f√ľr intelligente Kennw√∂rter, um die Sicherheit und Ihre eigene Gesundheit zu gew√§hrleisten

Die Normungsagentur empfiehlt Richtlinien f√ľr intelligente Kennw√∂rter, um die Sicherheit und Ihre eigene Sicherheit zu gew√§hrleisten

Ich hatte einen Streit mit einem sehr klugen, sehr fähigenServer-seitiger Programmierer vor einigen Jahren, als ich ein eigenes Projekt in die von ihm und seiner Gruppe erstellte Web-Services-API (Application Programming Interface) integrierte. Ich habe mich darauf verlassen, dass seine Firma die Benutzersitzung verwaltet, einschließlich Kontoinformationen und Passwort, aber ohne finanzielle Details, und ich dachte, dass die Passwortrichtlinie dies war lieber aufwendig, dabei auch nicht gute Passwörter ermutigend.

Ich kann mich nicht an die genauen Details erinnern, aber ich glaube, dass es die √ľblichen Anforderungen an Gro√ü- und Kleinbuchstaben, sowohl eine minimale als auch eine maximale L√§nge sowie an Ziffern und Satzzeichen beinhaltete.

Mein Schreiben an ihn lautete: ‚ÄěEntropie ist besserEs wird ein l√§ngeres, einpr√§gsames Passwort als ein komplexes verwendet. ‚ÄúSein Argument war, dass die Leute bereits schreckliche Passw√∂rter gew√§hlt hatten, sodass es besser war, eine minimale Komplexit√§t durchzusetzen, als alles zuzulassen. Wir haben es dabei belassen.

Jetzt hat die Regierung meinen R√ľcken und ich hoffe esDie Kennwortrichtlinien werden in einer Weise ge√§ndert, die den Benutzern zugute kommt und das Knacken von Kennw√∂rtern erschwert, selbst wenn verschl√ľsselte Kennwortdateien verloren gehen.

Neue Best Practices in Entwurfsform vom National Institute of Standards undDie Technologie (NIST) beschreibt, was Sicherheitsforscher seit Jahren sagen: Es ist weitaus sicherer und sinnvoller, Menschen ein langes Passwort w√§hlen zu lassen, das sie sich merken k√∂nnen und das sie nicht √ľber einen l√§ngeren Zeitraum √§ndern m√ľssen, als die aktuellen Richtlinien auf den meisten Websites.

Was macht ein Passwort sicher?

Passwortsicherheit ergibt sich aus zwei verwandtenEigenschaften: Sie sollten nicht leicht zu erraten sein und sie sollten nicht leicht durch rohe Gewalt gebrochen werden. Je komplexer ein Passwort ist, desto eher kann es Social Engineering widerstehen, bei dem jemand den Namen Ihres ersten Hundes und Ihr Geburtsjahr herausfindet und rechenintensiv durch alle möglichen Kombinationen tippt.

Aufgrund von Leckagen von Hunderten Millionen Passw√∂rternIn den letzten Jahren haben die Entwickler von Software zum Knacken von Passw√∂rtern einen hervorragenden Einblick in die typischen Arten von Passw√∂rtern, die von Menschen verfasst werden. Dies bedeutet, dass Brute-Force-Angriffe nicht mehr nach jeder m√∂glichen Kombination zul√§ssiger Zeichen suchen m√ľssen, sondern allgemeine W√∂rter aus dem W√∂rterbuch mit diesen kombinieren k√∂nnen bekannte Muster.

Bei einer Passwortanforderung wie derBei dem obigen Beispiel gehen die meisten Benutzer den einfachen Weg. Auf einigen Websites werden die Anforderungen aufgef√ľhrt, auf anderen wird der Benutzer nur darauf hingewiesen, was nicht richtig ist. Und der Durchschnittsb√ľrger liest auf keinen Fall das Kleingedruckte.

Eine Person tippt beispielsweise ‚ÄěRutabaga‚Äú (acht Buchstaben). Es schl√§gt fehl. Sie versuchen, "Rutabaga" (eine Hauptstadt). Nee. "Rutabaga1" - erfordert Interpunktion! "Rutabaga1!" (Das Ausrufezeichen ist das verschobene Zeichen auf der 1-Taste der Standardtastatur von Englisch und vielen anderen Sprachen). Getan.

Sites, die einen Balken f√ľr das Rot-Gr√ľn-Spektrum anzeigenWenn Sie angeben, wie gut Ihr Passwort den Komplexit√§tstest erf√ľllt, wird Rot f√ľr ‚ÄěRutabaga‚Äú und h√§ufig ein helles Gr√ľn f√ľr ‚ÄěRutabaga1‚Äú angezeigt. Auch der Passwort-Assistent von Apple stimmt zu. Aufgrund des Wissens dar√ľber, wie Benutzer Passw√∂rter erstellen, ist es f√ľr die Cracker-Software jedoch einfach, die 500.000 am h√§ufigsten verwendeten W√∂rter auf Englisch zu testen und "1!" Und "4 $" und dergleichen hinzuzuf√ľgen - trivial, schnell und vorhersehbar.

Wenn dieser theoretische Benutzer ‚ÄěRutabagapizza pickle factory ‚Äúspringt die Passwortschwierigkeit um viele, viele Gr√∂√üenordnungen. Sie k√∂nnten denken, dass das Kombinieren mehrerer W√∂rter, die alle im W√∂rterbuch enthalten sind, das L√∂sen erleichtert. Dies gilt jedoch nur f√ľr gebr√§uchliche Ausdr√ľcke. Ich w√ľrde nicht f√ľnf W√∂rter hintereinander aus "Moby-Dick" verwenden, aber ein zuf√§lliger Satz, an den ich mich mit einem Bild in meinem Kopf erinnern kann, k√∂nnte das √Ąquivalent von Millionen von Jahren eines High-End-Computers mit GPU √ľberleben, der weg tuckert. Wenn ich w√§hle "Dieses Mal bin ich mit einem Frosch in der Hand die Stra√üe entlang gelaufen", hat das Universum wahrscheinlich seinen Hitzetod beendet, bevor mein E-Mail-Passwort nach der aktuellen Computertheorie kaputt geht.

Dies ist gut verstanden, aber die Trägheit ist in diesem Fall stärker als die Entropie. Die Leute wollen sich nicht ändern. Der NIST-Bericht könnte helfen, auch wenn es sich um eine Reihe von Empfehlungen handelt, nicht um Regeln.

Was NIST sagt, ist der richtige Weg nach vorne

Wie ich schon oft geschrieben habe,Die g√§ngige Meinung, wonach ein sicheres Kennwort erstellt wird, das auf Websites oder in Software, die Sie zur Erstellung eines Kennworts auffordert, h√§ufig in verschiedenen Formen angezeigt wird, ist falsch und falsch. Der NIST-Entwurf zerstreut viele davon. (Als Entwurf k√∂nnten sich noch Elemente √§ndern, aber die Richtlinien der Gruppe stimmen absolut mit den Aussagen von Sicherheitsforschern und Usability-Experten √ľberein.)

Es gibt viele, viele scheinbar kontraintuitive Elemente f√ľr das, was Ihnen routinem√§√üig bei der Erstellung eines Passworts auferlegt wird. Diese Ratschl√§ge f√ľr Benutzer, die gebeten werden, sich ein Geheimnis auszudenken, lauten jedoch:

  • Machen Sie es jemandem leicht, sich etwas auszudenkenetwas, das sie sich merken k√∂nnen. Das bedeutet immer noch mindestens 8 Zeichen, aber der Entwurf schl√§gt vor, mindestens 64 Zeichen zu unterst√ľtzen, einschlie√ülich aller Unicode-Symbole und Leerzeichen. Dies erm√∂glicht eine einpr√§gsame, lange Passphrase, die auch einfach einzugeben ist.

  • Bek√§mpfe Feuer mit Feuer und √ľberpr√ľfe den potentiellen BenutzerPassw√∂rter gegen eine Untergruppe der bekannten Sammlung, die auch Cracker verwenden, und das Nichtzulassen von gemeinsamen Passw√∂rtern. (Herauszufinden, was ‚Äěh√§ufig‚Äú bedeutet und die Benutzer nicht zu frustrieren, kann eine Herausforderung sein.) Dies ist unabh√§ngig davon, dass die Verwendung von W√∂rtern in W√∂rterb√ľchern untersagt wurde, was die Benutzer in der Vergangenheit daran gehindert hat, einpr√§gsame Passphrasen zu verwenden.

  • Passw√∂rter laufen nicht routinem√§√üig ab. Passw√∂rter werden mit dem Alter nicht schlecht, nur wenn sie geknackt werden. Durch das Erzwingen einer Kennwort√§nderung wird die Wahrscheinlichkeit erh√∂ht, dass jemand ein kurzes und falsches Kennwort ausw√§hlt, es aufzeichnet und in einer Form speichert, die f√ľr andere leichter zug√§nglich ist.

  • Vermeiden Sie minimale Komplexit√§t und Regeln, wie das Erfordernis von Interpunktion oder einer bestimmten Anzahl von Ziffern. Das l√§sst die Leute nicht so paradoxerweise leichter geknackte Passw√∂rter w√§hlen.

  • Lassen Sie die Leute das Passwort sehen oder w√§hlen Sie es ausSie tippen ein, obwohl es nicht auf unbestimmte Zeit auf dem Bildschirm angezeigt werden sollte. Dar√ľber hinaus erhalten Sie Tipps zum besseren Entwerfen der Benutzeroberfl√§che f√ľr die Kennwortauswahl, damit die Benutzer unterscheiden k√∂nnen, was sie eingeben.

  • Keine Passworthinweise. Diese helfen bei der Wiederherstellung, aber das Zur√ľcksetzen eines Kennworts ist viel sinnvoller, da ein Hinweis die F√§higkeit des Kennworts, sich dem Erraten zu widersetzen, dramatisch schw√§cht.

Es gibt andere eher technische Anforderungen, wie die Verwendung von salzen, der einen zuf√§lligen Wert mit jedem Kennwort mischt, bevor es eine Verschl√ľsselung durchl√§uft hashkonvertiert den Starttext in einen Wert, derkann nicht abgerufen werden, nur verglichen mit. (Das hei√üt, wenn Sie Ihr Passwort eingeben, f√ľgt der Anmeldevorgang das Salt hinzu, f√ľhrt dann die Kombination mit denselben mathematischen Operationen aus und vergleicht die Ergebnisse, um festzustellen, ob sie identisch sind.)

Durch das Salting werden zwei oder mehr identische Passw√∂rter verhindertgleichzeitig geknackt werden, da jedes verschl√ľsselte Passwort anders aussieht: 20k32lj43lj4 + buffy verschl√ľsselt anders als 4kj32l41gjjj + buffy. Selbst wenn man wei√ü, dass einige Benutzer "Buffy" ausgew√§hlt haben, hilft es einem Cracker nicht, herauszufinden, welche.

Der letzte Riss von Dropbox, der 68 enth√ľllteMillionen von √§lteren Passw√∂rtern seiner Konten sind weniger streng, als es sein k√∂nnte, da das Unternehmen regelm√§√üig die Verschl√ľsselung seiner Passw√∂rter verbessert hat. Etwa die H√§lfte war gesalzen.

Der NIST-Entwurf empfiehlt auch die Verwendung derselben Sortevon Hashing, das von iOS, LastPass, 1Password und vielen anderen verwendet wird, wobei eine Operation viele Male wiederholt wird - NIST schl√§gt 10.000 Zyklen vor -, was die Rechenlast f√ľr das Knacken von Brute-Force-Code selbst beim einfachsten Kennwort dramatisch erh√∂ht. Die andere H√§lfte der alten Dropbox-Passw√∂rter wurde durch diesen Ansatz zus√§tzlich gesch√ľtzt.

Der Entwurf enth√§lt auch Empfehlungen f√ľr die Authentifizierung durch zus√§tzliche Faktoren wie Hardwareger√§te und Authentifizierungs-Apps, einschlie√ülich der Abkehr von SMS, die entf√ľhrt oder abgefangen werden k√∂nnen.

Das NIST setzt Standards und hat keineregulatorische Rolle, so dass es keine Richtlinien durchsetzen kann. Regierungsbeh√∂rden, private Unternehmen und akademische Einrichtungen verlassen sich jedoch h√§ufig auf die Richtlinien von NIST als sinnvolle Abk√ľrzung f√ľr die Schaffung ihrer eigenen, w√§hrend sie sich auf die Autorit√§t der Regierung st√ľtzen.

Nachdem der Entwurf endg√ľltig ist, wird es eine Freude seinSie k√∂nnen Links zu Websites, Diensten und Apps senden, die sich auf urbane Passwortmythen st√ľtzen, und ihnen vorschlagen, sich mit den neuesten Gold-Standard-√úberlegungen auf dem Laufenden zu halten.

0

√Ąhnliche Artikel


Kommentare (0)

Einen Kommentar hinzuf√ľgen