Περιεχόμενα Άρθρου
Η ασφάλεια του κωδικού πρόσβασης αλλάζει — και ενημερωμένες οδηγίες από το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (NIST) απορρίπτουν παρωχημένες πρακτικές υπέρ της αποτελεσματικότερης προστασίας.
Δεν έχετε χρόνο να διαβάσετε τις οδηγίες των 35.000 λέξεων; Κανένα πρόβλημα. Εδώ είναι τα έξι takeaways από Η νέα καθοδήγηση του NIST που πρέπει να γνωρίζει ο οργανισμός σας για να δημιουργήσει πολιτικές κωδικών πρόσβασης που λειτουργούν.
1. Μήκος κωδικού πρόσβασης > πολυπλοκότητα κωδικού πρόσβασης
Για χρόνια, οι οργανισμοί έχουν δημιουργήσει πολιτικές κωδικών πρόσβασης που ακολουθούν έναν άκαμπτο τύπο – απαιτώντας από τους χρήστες να περιλαμβάνουν κεφαλαία και πεζά γράμματα, αριθμούς και σύμβολα – για να δημιουργήσουν κωδικούς πρόσβασης που είναι δύσκολο να σπάσουν.
Όμως, η έρευνα του NIST υπογραμμίζει ένα ελάττωμα σε αυτή την προσέγγιση: οι άνθρωποι είναι προβλέψιμοι και συχνά ακολουθούν προβλέψιμα (και εύκολα μαντέψιμα) πρότυπα όταν αναπτύσσουν «σύνθετους» κωδικούς πρόσβασης.
Για παράδειγμα, οι χρήστες συχνά:
- Ξεκινήστε τους κωδικούς πρόσβασής τους με κεφαλαίο γράμμα (π.χ., το welcome456 γίνεται Welcome456)
- Τερματίστε τους κωδικούς πρόσβασής τους με έναν αριθμό ή σύμβολο (π.χ. Welcome456, Welcome2024!!)
- Εναλλάξτε κοινούς χαρακτήρες (π.χ., το WelcomeToXYZCorp γίνεται W3lcomeToXYZCorp)
Τι σημαίνει αυτό; Οι κωδικοί πρόσβασης που μπορεί να φαίνονται περίπλοκοι (και συμμορφώνονται με τις απαιτήσεις πολιτικής κωδικών πρόσβασης) είναι σχετικά εύκολο να σπάσουν οι χάκερ επειδή ακολουθούν ένα προβλέψιμο μοτίβο.
Για να βοηθήσει τους χρήστες να δημιουργήσουν ισχυρότερους κωδικούς πρόσβασης, το NIST συνιστά την επιβολή μήκους κωδικού πρόσβασης αντί της πολυπλοκότητας του κωδικού πρόσβασης. Αντί να ζητάτε από τους χρήστες να βρουν έναν τυχαίο, δύσκολο στην απομνημόνευση συνδυασμό γραμμάτων, αριθμών και συμβόλων, προτρέψτε τους να δημιουργήσουν μεγαλύτερους κωδικούς πρόσβασης ή φράσεις πρόσβασης που θα είναι εύκολο να ανακαλέσουν αλλά πιο δύσκολο για τους χάκερ να μαντέψουν.
Οι καλύτερες φράσεις πρόσβασης συνδυάζουν άσχετες λέξεις σε μια ενιαία, μεγαλύτερη φράση πρόσβασης. Για παράδειγμα, μια φράση πρόσβασης όπως “llama-shoehorn-trumpet7” θα είναι πολύ πιο εύκολο για έναν χρήστη να θυμάται από έναν τυχαίο κωδικό πρόσβασης όπως “HPn&897*k” — και θα είναι πιο δύσκολο να χακάρει από τους κωδικούς πρόσβασης που ακολουθούν προβλέψιμα μοτίβα.
2. Διευκολύνετε τους μεγαλύτερους κωδικούς πρόσβασης
Με βάση τις παραπάνω οδηγίες, η τελευταία αναθεώρηση του NIST επιβεβαιώνει αυτό που υποψιάζονταν εδώ και καιρό οι ερευνητές ασφάλειας: το μήκος του κωδικού πρόσβασης είναι το πιο σημαντικό μέτρο ασφαλείας κωδικού πρόσβασης. Specops’ τα ευρήματα ενισχύουν αυτό το συμπέρασμααλλά πολλές εταιρείες υπονομεύουν την ασφάλειά τους επιβάλλοντας όρια χαρακτήρων κωδικού πρόσβασης.
Για να μεγιστοποιήσετε την ασφάλεια που παρέχουν οι κωδικοί πρόσβασης, οι πολιτικές κωδικών πρόσβασης πρέπει να μπορούν να φιλοξενούν μεγάλες φράσεις πρόσβασης.
Το NIST συνιστά την υποστήριξη έως και 64 χαρακτήρων — πολύ πέρα από αυτό που χρειάζονται οι περισσότεροι χρήστες, αλλά πολύ σημαντικό για όσους δίνουν προτεραιότητα στη μέγιστη ασφάλεια.
Ενώ οι μεγαλύτεροι κωδικοί πρόσβασης αυξάνουν τη δυσκολία διάρρηξης, δεν είναι ανίκητοι — ακόμη και μια φράση πρόσβασης 64 χαρακτήρων μπορεί να παραβιαστεί μέσω επαναχρησιμοποίησης κωδικού πρόσβασης ή κλοπής από κακόβουλο λογισμικό.
Τούτου λεχθέντος, οι μακροσκελές κωδικοί πρόσβασης προσφέρουν περισσότερη προστασία από τους μικρότερους αντίστοιχους. Δώστε στους χρήστες σας την ευελιξία να χρησιμοποιούν μια φράση πρόσβασης που ανταποκρίνεται στις ανάγκες ασφαλείας τους, ανεξάρτητα από το αν είναι 15 ή 50 χαρακτήρες.
3. Εφαρμογή ΜΧΣ
Η έρευνα της Microsoft το δείχνει Το 99% των παραβιασμένων λογαριασμών στερούνταν ΜΧΣ. Ωστόσο, πολλοί οργανισμοί εξακολουθούν να αντιμετωπίζουν τη ΜΧΣ ως πολυτέλεια παρά ως ανάγκη.
Το NIST δεν μασάει λόγια με την καθοδήγησή του σε αυτό το θέμα: Το MFA δεν είναι πλέον προαιρετικόείναι μια απαραίτητη γραμμή άμυνας όταν οι κωδικοί πρόσβασης αποτυγχάνουν αναπόφευκτα.
Για να ευθυγραμμιστείτε με τις οδηγίες του NIST, μην κολλάτε στον έλεγχο ταυτότητας ενός παράγοντα. Εφαρμόζοντας το MFA, θα καλύψετε ένα κενό ασφαλείας που χρησιμοποιείται τακτικά.
4. Αποφύγετε συχνές αλλαγές κωδικού πρόσβασης
Οι τελικοί χρήστες δεν απολαμβάνουν να αναγκάζονται να αλλάξουν τους κωδικούς πρόσβασής τους, επομένως θα χαρούν να ακούσουν ότι το NIST παροτρύνει τους οργανισμούς να παραιτηθούν από την υποχρεωτική λήξη του κωδικού πρόσβασης, εκτός εάν υπάρχουν στοιχεία συμβιβασμού.
Το NIST ισχυρίζεται ότι οι συχνές αλλαγές κωδικού πρόσβασης συχνά οδηγούν σε ασθενέστερη, όχι ισχυρότερη ασφάλεια, καθώς οι χρήστες καταφεύγουν σε ελάχιστες τροποποιήσεις κωδικών πρόσβασης για να ικανοποιήσουν την απαίτηση “νέου” κωδικού πρόσβασης.
Αλλά η πλήρης εγκατάλειψη των πολιτικών λήξης του κωδικού πρόσβασης μπορεί να κινηθεί πολύ προς την αντίθετη κατεύθυνση.
Στο Specops, σας προτείνουμε μια διαφοροποιημένη προσέγγιση: επιμήκυνση του χρόνου μεταξύ των απαιτούμενων αλλαγών, διατηρώντας παράλληλα βασικές διασφαλίσεις. Όταν οι χρήστες δημιουργούν ισχυρούς κωδικούς πρόσβασης και οι οργανισμοί αναπτύσσουν εργαλεία ανίχνευσης συμβιβασμού, τα μεγαλύτερα παράθυρα λήξης γίνονται όχι απλώς αποδεκτά, αλλά προτιμότερα.
5. Αποτρέψτε τη χρήση κωδικών πρόσβασης που έχουν ήδη παραβιαστεί
Η πιο πρόσφατη καθοδήγηση του NIST είναι απλή — οι οργανισμοί θα πρέπει να ελέγχουν τους νέους κωδικούς πρόσβασης σε βάσεις δεδομένων με γνωστά παραβιασμένα διαπιστευτήρια.
Γιατί; Επειδή αυτοί οι εκτεθειμένοι κωδικοί πρόσβασης γίνονται σκελετικά κλειδιά για τους εισβολείς, οι οποίοι αξιοποιούν τεράστιες λίστες παραβιασμένων διαπιστευτηρίων για να επιταχύνουν τις επιθέσεις τους.
Οι χρήστες σπάνια γνωρίζουν πότε οι προτιμώμενοι κωδικοί πρόσβασης έχουν εκτεθεί σε προηγούμενες παραβιάσεις. Μπορεί να επαναχρησιμοποιήσουν με εμπιστοσύνη αυτό που φαίνεται σαν ισχυρός κωδικός πρόσβασης, χωρίς να γνωρίζουν ότι κυκλοφορεί ήδη σε βάσεις δεδομένων εγκληματικών πράξεων.
Μπλοκάροντας προληπτικά αυτούς τους παραβιασμένους κωδικούς πρόσβασης, ο οργανισμός σας μπορεί να κλείσει έναν αγαπημένο φορέα επίθεσης προτού μπορέσουν οι χάκερ να το εκμεταλλευτούν.
Θέλετε να αξιολογήσετε την έκθεση του οργανισμού σας; Το δωρεάν μας Specops Password Auditor παρέχει άμεση ορατότητα στις ευπάθειες του κωδικού πρόσβασης Active Directory.
6. Διακόψτε τις υποδείξεις κωδικού πρόσβασης και άλλη ανάκτηση που βασίζεται στη γνώση
Πώς λέγεται το πρώτο σας κατοικίδιο; Ποια ήταν η μασκότ σου στο γυμνάσιο; Ποιο είναι το πατρικό όνομα της μητέρας σου;
Υποδείξεις κωδικών πρόσβασης και ερωτήσεις ασφαλείας όπως αυτές δείχνουν την ηλικία τους. Και η τελευταία καθοδήγηση του NIST παροτρύνει τους οργανισμούς να παραιτηθούν από αυτές τις παραδοσιακές μεθόδους αποκατάστασης, επειδή η διαδικτυακή μας ζωή τις έχει καταστήσει ξεπερασμένες.
Σκεφτείτε πόσα από τα προσωπικά σας στοιχεία ρέουν ελεύθερα στα μέσα κοινωνικής δικτύωσης. Αυτό που κάποτε φαινόταν σαν ιδιωτική γνώση βρίσκεται τώρα σε κοινή θέα, περιμένοντας να συλλεχθεί και να αξιοποιηθεί.
Αντί για υποδείξεις, το NIST προτείνει εναλλακτικές λύσεις, όπως η συμπερίληψη ασφαλών συνδέσμων ανάκτησης email και επαλήθευσης MFA κατά την επαναφορά του κωδικού πρόσβασης.
Αυτές οι προσεγγίσεις επιτρέπουν στους χρήστες να επικυρώνουν την ταυτότητά τους μέσω φυσικής πρόσβασης σε συσκευές ή λογαριασμούς αντί για προσωπικά ασήμαντα στοιχεία που ανακαλύπτονται εύκολα.
Σκοπεύετε να ευθυγραμμίσετε τον οργανισμό σας με τις οδηγίες του NIST;
Δοκιμή Πολιτική κωδικού πρόσβασης Specops δωρεάν και συμμορφωθείτε και με τα έξι αυτά απλά βήματα για την ομάδα πληροφορικής σας.
Χορηγός και συγγραφή από Λογισμικό Specops.
VIA: Πηγή Άρθρου
Greek Live Channels Όλα τα Ελληνικά κανάλια:
Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση;
Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο.
Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια
Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
