SECURINFO.hu | Új jelszókövetelmények az USA-ban - felhasználóbarát, biztonságos

Új jelszókövetelmények az USA-ban – felhasználóbarát, biztonságos

2017. 05. 22.
IT biztonság

Május elsején lezárult a NIST (az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézete) által megfogalmazott új digitális személyazonossági irányelvek (Digital Identity Guidelines) nyilvános vitája, és az anyag készen áll a véglegesítésre. A tervezet új, továbbfejlesztett jelszókövetelményeket tartalmaz, megváltoztatva az eddigi szokásokat és a hozzájuk kapcsolódó, fent említett kellemetlenségeket. Bár az iránymutatások csak a szövetségi ügynökségekre nézve kötelezőek, azonban nagy befolyást gyakorolnak majd a szervezetekre általában, és ez világszerte érinteni fogja az internethasználókat.

A várható fő változások

Nincs többé kötelező szabály a jelszavak összetételéről

Visszavonásra kerülnének a jelszavak összetételéről szóló szabályok, mint például a kis és nagybetűk, számok és speciális karakterek kötelező szerepeltetése a belépőkódokban. Ennek oka, hogy ezek a szabályok elvétve eredményeznek erősebb jelszavakat, sokkal inkább gyenge, és/vagy nehezen megjegyezhető kódok generálására veszik rá a felhasználókat.

Megszűnik a rendszeres kötelező jelszóváltoztatás

Az új szabályozás azt tanácsolja, hogy ne kérjenek rendszeres jelszóváltoztatást a felhasználóktól, hacsak ők maguk nem kezdeményezik, vagy ha valamilyen adatvesztés történt a szervezetnél. Ennek oka, hogy a felhasználóknak nincs türelmük állandóan új, erősebb jelszavakat kitalálni, így ez a megoldás több kárt okoz, mint hasznot.

Megszűnik a jelszóemlékeztető és a tudás alapú azonosítás

A jelszóemlékeztetők és a tudás alapú azonosítás segíthet az elfelejtett jelszavak megtalálásában, azonban ezek az adatok nagy értéket jelentenek a kiberbűnözők számára is, így egyre több oldalon szűnik meg ezek használata.

Az elfogadhatatlan jelszavak feketelistája

A jelszavak összetételének szabályozása helyett a NIST egy feketelista használatát javasolja, amely tartalmazza a leggyakrabban használt és/vagy korábban kiszivárgott jelszavakat, így ezek megadására már nem lesz lehetőség.

Több választható karakter

Jelszó beállításakor a felhasználók szabadon választhatnak majd minden nyomtatható ASCII és UNICODE karakterből, beleértve a hangulatjeleket (emoji) is. A felhasználók számára lehetővé kell tenni a szóközök használatát is, amelyek a jelmondatok természetes részét alkotják, és gyakran a hagyományos jelszavak ajánlott alternatívái.

8 karakter minimális hosszúság

Az új irányelvek szerint a jelszavak hossza kulcsfontosságú tényező a kódok erősségében. A megfelelő jelszónak minimum 8 karakternek, maximum 64 karakter hosszúságúnak kell lennie. Az ESET szakemberei azonban felhívják a figyelmet arra, hogy a jelszavak feltörésének idejében 11 karaktertől történik hatalmas ugrás, és a kódok megfejtése ekkor már szuperszámítógéppel is évekbe telne, így érdemes legalább ilyen hosszú jelszavakat használni.

Az egyfaktoros azonosítás nem elég, azonban az SMS elhagyandó

Nem számít, hogy milyen jó jelszavakat adunk, mert a kódunk továbbra is csak egyetlen áthatolandó akadályt jelent az adataink és a kiberbűnözők között. A biztonságos fiókok esetében még egy rétegre szükség van a hatékony védelemhez, ezért a NIST a kétfaktoros azonosítást javasolja minden helyen, ahol elérhető a megoldás.Az új ajánlások között szerepel az is, hogy az SMS üzeneteket ne használják többet a kétfaktoros azonosításra, a szakemberek inkább a szoftver által generált, egyszer használatos jelszavakat javasolják.

Az új irányelvek sokkal egyenesebb megközelítést alkalmaznak a digitális azonosításban, amely nem csak hogy felhasználóbarát, de biztonságosabb is. Ebben a törekvésében a NIST nincs egyedül, az ESET szakemberei és a World Password Day kezdeményezés mögött álló személyek is elkötelezettek a jelszavak erősítése felé. Ennek jegyében a szakemberek azt szorgalmazzák, hogy minden fiókhoz egyedi jelszavakat használjunk, illetve állítsunk fel egy jelszó stratégiát, amelynek fontos része a kétfaktoros azonosítás is.

Forrás. http://www.mediainfo.hu/hirek/article.php?id=46118&referer_id=rss

Kapcsolódó cikkek:
IT-rendszerek biztonsága, az „emberi tényező”
Password versus Biometria: 4:0, avagy ki nevet a végén?

Kapcsolódó cikkek

A következő szint betöltve! — Techson MS6-os kamerák

A Techson legkedveltebb kameraszériája még több tudással, funkcióval és ellenállhatatlan intelligenciával hódít. Amire egy kamera csak képes lehet, azt az MS6-os tudja! Ismerd meg a széria lehengerlő funkcióit cikkünkből! Bővebben »

Digitális alvázvizsgálat – kristálytiszta kép, akár radioaktív anyagdetektálással

Az alvázvizsgálat elvégzésében manapság már olyan technikai támogatásra támaszkodhatunk, amely nagyban megkönnyíti, felgyorsítja és kiszélesíti a vizsgálatot. A ZNZ Biztonságtechnika által kínált legújabb megoldás holland fejlesztés és Hollandiában is készül. Bővebben »

Ismerd meg a Ksenia lares 4.0 előnyeit és jellemzőit!

Cikkünben megvizsgáljuk a Ksenia Security IoT platformjának, a lares 4.0-nak előnyeit és néhány olyan funkciót, amelyek egyedülálló megoldássá teszik a piacon. Bővebben »

Az elektronikus aláírás jelentősége

A szerződések betartatásának egyik alappillére, hogy az azt kötő felek bármikor szembesíthetők legyenek vállalásaikkal, amihez pedig hitelesen igazolni kell őket. Az évszázados hagyományokra visszatekintő aláírás elektronikus formája sokkal megbízhatóbbá tette a folyamatot.

Az IT rendszerek biztonsága és a felhasználói hibák

Ma már szinte közismert, hogy napjainkban gyakorta a humán tényező, azaz a felhasználók számítanak a leggyengébb láncszemnek a vállalati informatikában. A vállalatok közel fele ugyanakkor nem rendelkezik stratégiával a belső fenyegetések elhárítására.

NIS2 szabályozás a beléptető-rendszereket is érinti – Egyszerű támadási módszerek a gyakorlatban

A NIS2 irányelv a fizikai védelemre is vonatkozik, viszont a jelenleg is használt beléptetők többsége már egyáltalán nem biztonságos.

IP hálózaton lévő biztonsági rendszerek kihívásai, az IT és a biztonságtechnika összefonódása

A biztonságtechnikai rendszerek telepítése és működtetése kihívásokkal teli folyamat, amelynek során számos együttműködési problémával is szembe kell nézni, különösen az IP1 eszközök alkalmazása kapcsán. Az IT és a biztonságtechnikai igények összeegyeztetése kihívást jelenthet, és gyakran előfordulhat, hogy az egyik rendszer igényei ellentétesek a másikkal.

Egyre többen pattintják le a zsarolókat az USA-ban

Minden korábbinál kevesebben hajlandóak teljesíteni a fájlokat titkosító és adatokat lopkodó zsarolók követeléseit. A Coveware amerikai kiberbiztonsági vállalat kiadta az első negyedévre vonatkozó, zsarolóvírusokkal kapcsolatos jelentését, amelyből számos érdekességre derült fény.

A home office munkavégzés komplex védelmet igényel

A home office egy olyan hibrid világot teremt, amelyben a biztonsági kockázatok kezelése egyre nagyobb kihívásokat tartogat. Hiszen igen gyakran nem jut kellő figyelem arra, hogy a céges és magánéleti adatkommunikáció és tárolás nem különül el tudatosan.

Az Európai Unió NIS2 kiberbiztonsági irányelve és lehetséges hatásai az Axis Communications piacára

Az Európai Unió keményen szigorítja a kiberbiztonsággal kapcsolatos megközelítését. Az Axis már jó ideje azon dolgozik, hogy megfeleljen az előírásoknak. A NIS2 irányelv pedig óriási lehetőség a cég számára, hogy tovább erősítse pozícióit, különösen a nagy végfelhasználóknál.