Antivírus blog

vírusok, férgek, botnetek, kártevők

Változások jelszó fronton

2017. május 05. 12:14 - Csizmazia Darab István [Rambo]

Változás jöhet a jelszavak területén, ugyanis elkészült a NIST (az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézete) által megfogalmazott "Új digitális személyazonossági irányelvek" (Digital Identity Guidelines) című anyag. A tervezet új, továbbfejlesztett jelszókövetelményeket tartalmaz, segítve illetve megváltoztatva az eddigi szokásokat és a hozzájuk kapcsolódó kellemetlenségeket.

Többször is terítéken volt már a jelszavak kérdése, így például az is hogyan bánunk velük: 16 százaléka a felhasználóknak sosem változtatja meg a jelszavát, és 18%-uk figyelmen kívül hagyja a jelzést, ha az általa leggyakrabban használt online vagy közösségi oldal jelszócserére figyelmeztető üzenetet küld neki.

A családtag, háziállat neve sajnos még mindig sokszor szerepel a jelszavakban. Sajnos sokan valóban nem végzik el ezt a "munkát", nem gondolkodnak egyedi, szofisztikált jelszavak használatán, így lehetett 2016-ban megint az "123456" a Worst Password lista első helyezettje.

A nemsokára életbelépő NIST szabályozás felhasználóbarát és biztonságos megközelítést ígér a jelszavak használatának területén. Bár az iránymutatások csak a szövetségi ügynökségekre nézve kötelezőek, azonban nagy befolyást gyakorolnak majd a szervezetekre általában, és ez világszerte érinteni fogja az internethasználókat.

Például megszűnik a rendszeres kötelező jelszóváltoztatás, és a jelszó-emlékeztető valamint a tudás alapú azonosítás. Ezen a területen azért is fontos munkálkodni, mert az incidensek jelentős részében gyenge pontnak bizonyul.

Mindannyian ismerjük az új internetes fiók létrehozásakor tapasztalt kellemetlenségeket. Miután megpróbáljuk megadni a számunkra legmegfelelőbb jelszót, gyakran ütközünk a következő hibaüzenetekbe: "A jelszónak tartalmaznia kell legalább egy nagybetűt/speciális karaktert/számot". Majd miután beleírunk mindent, megjelennek a nem várt üzenetek: "A jelszó nem tartalmazhatja az ön által megadott karaktert", vagy "A választott jelszó túl hosszú".

A jelszavak világnapja (a World Password Day minden év május első szerdája) alkalmából az ESET szakemberei összeszedték a legfontosabb tudnivalókat a belépőkódokat érintő, a közeljövőben várható szabályozásról.

Nincs többé kötelező szabály a jelszavak összetételéről, vagyis visszavonásra kerülnének a jelszavak összetételéről szóló szabályok, mint például a kis és nagybetűk, számok és speciális karakterek kötelező szerepeltetése a belépőkódokban. Ennek oka, hogy ezek a szabályok elvétve eredményeznek erősebb jelszavakat, sokkal inkább gyenge, és/vagy nehezen megjegyezhető kódok generálására veszik rá a felhasználókat.

Az új szabályozás azt is tanácsolja, hogy ne kérjenek rendszeres jelszóváltoztatást a felhasználóktól, hacsak ők maguk nem kezdeményezik, vagy ha valamilyen adatvesztés történt a szervezetnél. Ennek oka, hogy a felhasználóknak nincs türelmük állandóan új, erősebb jelszavakat kitalálni, így ez a megoldás több kárt okoz, mint hasznot.

A jelszó-emlékeztetők és a tudás alapú azonosítás segíthet az elfelejtett jelszavak megtalálásában, azonban ezek az adatok nagy értéket jelentenek a kiberbűnözők számára is, így egyre több oldalon szűnik meg ezek használata. Emlékezetes, hogy egy korábbi "Secrets, Lies, and Account Recovery" nevű hamis biztonságérzetet ad az, ha például a születési helyünk a válasz, hiszen ha belegondolunk, rengetegen születtek például Budapesten, de gond emellett az is, hogy az ilyen adat könnyen kitalálható. Például a koreai anyanyelvűek között 10 találgatásos próbálkozásból 39%-ban sikerült megfejteni a helyes választ, persze amiatt is, hogy nem túl sok nagyváros neve merülhet fel ilyenkor.

Nyilván az is árnyalja a jelszó-emlékeztető használatát, hogy sokan ahogy a jelszavukra sem emlékeznek egy idő után, úgy a jelszó-emlékeztető kérdés-választ is totálisan elfelejtik. Egy tesztmérés szerint egy hónappal később még 74% emlékszik, de három hónap után ez az arány már csak 50% volt.

A jelszavak összetételének szabályozása helyett a NIST egy feketelista használatát javasolja, amely tartalmazza a leggyakrabban használt és/vagy korábban kiszivárgott jelszavakat, így ezek megadására már nem lesz lehetőség. Ezt részben már el is kezdték egyes fejlesztők, ugyanis 2016. májusában a Microsoft úgy döntött, nem engedélyezi tovább az évek óta a Worst Password által is kipellengérezett primitív, az olyan könnyen törhető, vagy egyszerűen kitalálható jelszavakat, mint a "password", "qwerty" vagy az "123456".

Ennek jegyében 2016. óta egyszerűen kitiltotta a rendszereiből az ilyen jelszavak használatát, így 2016. óta a Microsoft fiók, az Azure, az Xbox, a OneDrive, az Outlook és a Skype sem fogadja el már ezeket.

A tervezet szerint jelszó beállításakor a felhasználók szabadon választhatnak majd minden nyomtatható ASCII és UNICODE karakterből, beleértve a hangulatjeleket (emoji) is. A felhasználók számára lehetővé kell tenni a szóközök használatát is, amelyek a jelmondatok természetes részét alkotják, és gyakran a hagyományos jelszavak ajánlott alternatívái. Emellett a hosszról sem feledkezhetünk meg, hiszen a jelszavak hossza kulcsfontosságú tényező a kódok erősségében.

A megfelelő jelszónak a tervezet minimum 8 karaktert javasol, ám az ESET szakemberei felhívják a figyelmet arra, hogy a jelszavak feltörésének idejében csak 11 karakter felett történik hatalmas ugrás, és a kódok megfejtése ekkor mai tudásunk szerint már szuperszámítógéppel is percek-napok helyett már évekbe telne, így érdemes legalább ilyen hosszú jelszavakat használni.

Az egyfaktoros azonosítás a jövőben nem elég, és ilyenkor nem számít, hogy milyen jó jelszavakat adunk, hiszen a kódunk továbbra is csak egyetlen áthatolandó akadályt jelent az adataink és a kiberbűnözők között. A biztonságos fiókok esetében a hatékony védelemhez a NIST a kétfaktoros azonosítási réteget javasolja minden helyszínen, ahol elérhető ez a megoldás.

Az új ajánlások között szerepel az is, hogy az SMS üzeneteket ne használják többet a kétfaktoros azonosításra, a szakemberek inkább a szoftver által generált, egyszer használatos jelszavakat javasolják.

Összességében az új irányelvek sokkal haladóbb megközelítést alkalmaznak a digitális azonosításban, amely nem csak felhasználóbarátabb, de biztonságosabb is. Ebben a törekvésében a NIST nincs egyedül, az ESET szakemberei és a World Password Day kezdeményezés mögött álló személyek is elkötelezettek a jelszavak erősítése irányában.

Ennek jegyében a szakemberek azt szorgalmazzák, hogy minden fiókhoz egyedi és erős jelszavakat használjunk, éljünk a kétfaktoros azonosítási lehetőséggel, és alkossunk valamilyen egyedi saját stratégiát a jelszavaink készítéséhez, tárolásához, megjegyzéséhez és használatához. Így a kényelem VS. biztonság csörtében érdemes a felhasználóknak a jövőben a fókuszt egyre inkább az előbbiről az utóbbira helyezniük.

3 komment

A bejegyzés trackback címe:

http://antivirus.blog.hu/api/trackback/id/tr1612482835

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

hullajelölt88 2017.05.05. 16:41:20

"Túl hosszú jelszó"
De az milyen jó, amikor elfogadja a harminc karakterest, de csak az első tizenhatot tárolja, majd belépéskor már nem vágja le a végét, így belépni sem enged vele :D (már nem tudom, melyik hazai fórumon találkoztam ezzel)

Zardas 2017.05.06. 17:03:11

Nyertes nálam az OTP, ami 8 karakterben maximálja a jelszavakat. Igaz hogy tudni kell a számlaszámot, a szerződés azonosítószámát és kétlépcsős belépés is van, de azért mégis...

Ennél jobb csak a pár évvel ezelőtti Telenor volt, ahol kemény 6 db számjegy lehetett a jelszó. Szerencsére annyira nem számított, mert belépésnél közölte hogy nincs ilyen e-mail, regisztrációnál pedig hogy már van ilyen e-mail. :) Így kénytelen voltam sms belépéssel megoldani. Mára szerencsére gatyába rázták a rendszert.

bunny.hu · http://www.divecenter.hu 2017.05.07. 12:10:33

A vége úgyis az, hogy
1- mindenhova ugyanaz a jelszó
2- előbb-utóbb jelszókezelő alkalmazást telepít az ember