Isi
- Tanpa Bug, Tanpa Stres - Panduan Langkah Demi Langkah Anda untuk Membuat Perangkat Lunak yang Mengubah Hidup Tanpa Menghancurkan Kehidupan Anda
- Disonansi Kognitif dan Mentalitas Kawanan
- Standar NIST Baru: Apa Yang Ada Di Dalam?
- Mengapa Passphrase Lebih Baik?
- Tidak ada petunjuk!
- Tidak, Ini Bukan Rumah Wafel! Penggaraman, Hashing, dan Peregangan
- Implementasi Praktis: Beberapa Tantangan Tetap Ada
- Takeaways
Sumber: designer491 / iStockphoto
Bawa pulang:
Aturan NIST baru membuat pengguna menarik napas lega tentang kebijakan kata sandi
Ada perubahan besar yang mungkin disukai oleh administrator sistem dan pengguna biasa - hal ini berkaitan dengan protokol kata sandi.
Kata sandi adalah fakta kehidupan - kebanyakan dari kita memiliki terlalu banyak kata sandi. Kita tidak dapat mengingat semuanya, dan hampir tidak ada cara untuk melacaknya kecuali kita mulai menuliskannya. Alternatif lain adalah dengan hanya mengingat kata sandi yang Anda gunakan secara teratur, dan meminta pengaturan ulang kata sandi saat Anda perlu mengakses situs lain - tetapi itu adalah banyak kata sandi yang diatur ulang! Para ahli seperti Cormac Herley, seorang peneliti Microsoft, telah berbicara tentang biaya waktu yang sangat besar untuk pengaturan ulang kata sandi, dan bagaimana hal itu dapat merugikan perusahaan besar jutaan dolar setiap tahun. Penggunanya juga membutuhkan jutaan menit, mengingat keyboard, apakah mereka mencoba melihat data pribadi, mendaftar untuk suatu layanan atau membeli sesuatu dari toko e-commerce.
Jadi apa yang bisa kita lakukan? Dan aspek apa yang paling mengganggu dan mengganggu dari penggunaan kata sandi kita yang membuat kita ingin melemparkan komputer dan perangkat kita keluar jendela?
Laporan baru menunjukkan bahwa sebagai masyarakat, kita mungkin akan menyingkirkan beberapa masalah kata sandi yang menjengkelkan ini. Pergi dengan penelitian baru tentang keamanan dunia maya, kita mungkin akan mengalami kemajuan melampaui beberapa standar keamanan saat ini yang telah menyebabkan kita sangat tertekan selama beberapa tahun terakhir.
Sebuah artikel di Wall Street Journal melangkah lebih jauh dengan mengeluarkan orang di balik beberapa aturan ini, dan mendapatkan masukannya mengapa hal itu mungkin tidak diperlukan lagi.
Pada tanggal 7 Agustus 2017, penulis WSJ Robert McMillan menyampaikan sebuah bom dalam bentuk investigasi pada Bill Burr, penulis makalah tahun 2003 yang akhirnya memiliki pengaruh besar pada standar kata sandi perusahaan. Burr bekerja di Institut Nasional Standar dan Teknologi, agen federal yang bertugas mengevaluasi inovasi teknologi di AS.
"Orang yang menulis buku tentang manajemen kata sandi memiliki sebuah pengakuan," dimulai dengan tulisan McMillan. "Dia gagal."
Dari sana, artikel ini menggambarkan dua bugbears dari era digital yang telah memperumit kehidupan kita. Yang pertama adalah persyaratan yang memberatkan untuk memasukkan karakter khusus dalam kata sandi. Yang lainnya adalah perubahan kata sandi yang sering.
Tanpa Bug, Tanpa Stres - Panduan Langkah Demi Langkah Anda untuk Membuat Perangkat Lunak yang Mengubah Hidup Tanpa Menghancurkan Kehidupan Anda
Anda tidak dapat meningkatkan keterampilan pemrograman Anda ketika tidak ada yang peduli dengan kualitas perangkat lunak.
Kedua praktik ini membutuhkan banyak waktu ketika Anda berbicara tentang lusinan kata sandi individu. Namun, yang pertama juga merupakan kasus klasik dari "antarmuka buruk" - itu tidak intuitif, dan memaksa orang ke dalam penyelesaian masalah.
Disonansi Kognitif dan Mentalitas Kawanan
Sebagian besar dari kita dapat mengurutkan "merasakan" bagaimana standar kata sandi ini menyebabkan kebingungan dalam otak kita. Dihadapkan dengan pilihan yang sangat abstrak tentang cara memasukkan angka dan karakter khusus dalam kata sandi, yang merupakan string alfabet, banyak dari kita hanya akan membuang "1!" Itu tidak benar-benar cenderung menggagalkan peretas. Faktanya, semakin kita memilih pilihan generik yang sama, semakin mudah untuk memecahkan kata sandi kita. (Pelajari lebih lanjut tentang peretas di Apakah Riset Keamanan Sebenarnya Membantu Peretas?)
Tambahkan, di atas itu, persyaratan bahwa pengguna memperbarui kata sandi mereka setiap bulan, atau setiap tiga bulan atau lebih.
Alasan di balik persyaratan ini adalah bahwa kata sandi lama harus diubah menjadi sesuatu yang sama sekali berbeda - tetapi terlalu sering, itu bukan cara kerjanya. Mencoba menangani pemukulan otak tambahan karena mengingat kata sandi baru, pengguna akan mengambil kata sandi lama dan mengubah satu huruf atau angka. Sekarang, kata sandi lama adalah “kirim” utama untuk kata sandi baru - itu menjadi kewajiban.
Standar NIST Baru: Apa Yang Ada Di Dalam?
Aturan baru yang dikembangkan oleh NIST akan mengubah semua itu.
Publikasi Khusus 800-63-3 adalah pembaruan ke versi asli yang menyelesaikan banyak hal yang menurut beberapa ahli seharusnya dilaksanakan selama ini.
Pertama, menghapus kedua aturan komposisi, seperti harus memasukkan tanda seru ke dalam kata sandi Anda, dan persyaratan untuk kedaluwarsa rutin.
Apa yang ditambahkan NIST 800-63-3 adalah fokus pada praktik keamanan "realistis".
Aturan baru menekankan otentikasi multi-faktor, yang penulis deskripsikan sebagai mencampur kata sandi (sesuatu yang Anda ingat) dengan kunci fisik atau kartu kunci (sesuatu yang Anda miliki) atau sepotong data biometrik (sesuatu yang merupakan bagian dari Anda). Saran lain termasuk penggunaan kunci kriptografi, dan kebutuhan untuk menerima semua karakter ASCII yang bisa, serta panjang teratas dari 64 karakter, dan panjang minimum delapan. (Pelajari lebih lanjut tentang biometrik dalam Bagaimana Biometrik Pasif Dapat Membantu dalam Keamanan Data TI.)
Dalam presentasi tayangan slide publik berjudul "Menuju Persyaratan Kata Sandi yang Lebih Baik," pakar penelitian keamanan Jim Fenton menjabarkan secara rinci banyak dari perbaikan ini sebagai "engkau harus" dan "engkau tidak boleh," juga menjelaskan bagaimana NIST merekomendasikan membuat kamus kata sandi yang mudah diretas. yang seharusnya secara otomatis dilarang.
"Jika itu tidak mudah, pengguna curang," tulis Fenton, memeriksa beberapa aturan masuk akal yang akan membuat sulit bagi kata sandi yang lemah untuk berkompromi dengan jaringan.
Para ahli juga menyarankan agar pengguna memikirkan “frasa sandi” atau kumpulan kata untuk kata sandi, alih-alih adonan sup alfanumerik yang telah kami latih untuk menyediakannya.
Mengapa Passphrase Lebih Baik?
Ada banyak cara untuk menjelaskan mengapa frasa sandi yang panjang seperti "keledai sepeda total telur" akan menjadi pilihan kata sandi yang lebih kuat daripada sesuatu seperti "MisterA1!" - tetapi yang paling sederhana ada hubungannya dengan metrik yang sangat dimengerti: panjang.
Satu ide di jantung peraturan NIST baru adalah bahwa, dalam beberapa hal, kami telah mendasarkan strategi kata sandi kami pada apa yang masuk akal bagi manusia, sementara mengabaikan apa yang masuk akal untuk mesin.
Beberapa karakter acak mungkin membingungkan peretas manusia, tetapi komputer tidak akan mudah terombang-ambing oleh angka atau karakter tambahan di akhir kata sandi. Itu karena, tidak seperti manusia, komputer tidak membaca kata sandi untuk maknanya. Mereka cukup membacanya dengan string.
Serangan brute-force adalah ketika komputer melewati semua permutasi karakter yang mungkin untuk mencoba "menerobos" dengan menemukan kombinasi yang tepat, yang awalnya dipilih oleh pengguna. Ketika serangan ini terjadi, yang penting adalah seberapa rumit kata sandi Anda - dan setiap karakter tambahan menambahkan kerumitan yang luar biasa besar dan hampir eksponensial.
Dengan mengingat hal itu, frasa sandi akan menjadi lebih kuat secara eksponensial - meskipun "terlihat" lebih mudah bagi mata manusia.
Dengan memperluas panjang maksimum kata sandi menjadi 64 karakter, pedoman NIST yang baru memberi pengguna kekuatan kata sandi yang mereka butuhkan, tanpa memaksakan banyak aturan yang berlawanan dengan intuisi.
Tidak ada petunjuk!
Banyak admin akan senang menyingkirkan persyaratan karakter khusus dan semua pembaruan kata sandi yang padat karya, tetapi ada fitur lain yang juga mendapatkan kapak ketika para profesional membaca pedoman NIST baru.
Banyak sistem meminta pengguna baru untuk menambahkan fakta tentang diri mereka sendiri ke dalam basis data selama penerbangan: idenya adalah nanti, jika mereka lupa kata sandi, sistem dapat mengautentikasi mereka berdasarkan pemikiran tentang masa lalu mereka yang tidak akan diketahui orang lain. Misalnya: Apa mobil pertama Anda? Apa nama hewan peliharaan pertama Anda? Siapa nama gadis ibumu?
Ini adalah salah satu tren yang terasa tidak nyaman bagi banyak dari kita. Terkadang, pertanyaannya tampak mengganggu. Juga, skeptis yang berpikiran keamanan akan menunjukkan bahwa ada banyak dari kita yang pertama kali mengendarai Chevrolet, atau, dalam keceriaan muda, bernama anjing pertama kami "Spot."
Lalu ada beban kerja untuk memelihara database dan mencocokkan jawaban ketika dibutuhkan.
Aman untuk mengatakan tidak terlalu banyak orang yang akan meneteskan air mata atas hilangnya fungsi "petunjuk kata sandi" ketika ada opsi yang lebih baik untuk membuat aktivitas pengguna benar-benar aman.
Tidak, Ini Bukan Rumah Wafel! Penggaraman, Hashing, dan Peregangan
Dalam inovasi lain, para ahli sekarang juga merekomendasikan kata sandi "salting", yang melibatkan pembuatan string acak karakter sebelum proses "hashing" yang memetakan satu set data ke yang lain, sehingga mengubah susunan kata sandi dan membuatnya lebih sulit untuk dipecah. Ada juga proses yang disebut "peregangan" yang dirancang khusus untuk menggagalkan serangan brute-force, sebagian dengan membuat proses evaluasi lebih lambat.
Kesamaan semua fungsi-fungsi ini adalah bahwa mereka terjadi di ranah administratif, bukan di ujung jari pengguna. Rata-rata pengguna tidak ingin ada hubungannya dengan hal-hal prosedural semacam ini - ia hanya ingin mendapatkan akses dan melakukan apa saja yang ada dalam sistem jaringan, apakah itu menyelesaikan tugas kerja, berjejaring dengan teman, atau membeli atau menjual sesuatu on line. Jadi dengan menghilangkan aturan kata sandi "sisi klien" dan membuat banyak keamanan administratif, perusahaan dan pemangku kepentingan lainnya dapat benar-benar meningkatkan pengalaman pengguna.
Ini adalah poin kunci, karena meningkatkan pengalaman pengguna adalah apa yang dimaksud dengan banyak inovasi teknologi baru. Kami telah sampai pada titik di mana kami telah memeras banyak fungsionalitas dari komputer, telepon pintar, dan perangkat kami lainnya - banyak kemajuan yang akan kami buat di tahun-tahun mendatang melibatkan membuat tugas virtual lebih mudah dilakukan, dan menghilangkan kekonyolan. pengalaman: seperti situs web non-mobile-first, antarmuka yang glitchy, masa pakai baterai yang buruk ... atau log masuk yang membosankan! Di situlah inovasi kata sandi masuk. Kembali ke ide otentikasi multi-faktor, kemungkinan biometrik akan membuka lebih banyak kemudahan penggunaan untuk perangkat - mengapa mengetuk dan mengetik kata sandi panjang ketika Anda bisa menunjukkan perangkat Anda kepada siapa saja dengan jari?
Implementasi Praktis: Beberapa Tantangan Tetap Ada
Seperti yang kami katakan, kami terjebak dengan kata sandi dan PIN untuk saat ini. Sebagai contoh, beberapa sistem operasi yang lebih baru telah beralih dari PIN empat angka menjadi PIN enam angka, membuat banyak di antara kita yang lebih lambat dalam pengundian pada perangkat kita.
Salah satu masalah dengan pendekatan "frasa sandi" yang direkomendasikan oleh NIST adalah bahwa masih akan ada pengaturan ulang kata sandi (seperti yang dibahas dalam utas ini tentang Keamanan Telanjang). Orang-orang masih akan melupakan kata sandi mereka. Beberapa menyarankan mungkin akan lebih sulit bagi orang-orang IT untuk mengeluarkan kata sandi baru ketika yang asli lebih lama.
Namun, mungkin ada beberapa potensi di sini ketika datang ke otentikasi multi-faktor. Biometrics belum benar-benar tertangkap, tetapi hampir semua orang memiliki ponsel. Banyak sistem perbankan online dan sistem lainnya menggunakan SMS untuk mengotentikasi pengguna. Ini bisa menjadi cara mudah untuk memeriksa akun yang kata sandinya hilang atau terlupakan. Ini juga merupakan cara utama untuk memperkuat kata sandi secara umum, seperti yang disebutkan di atas.
Takeaways
Jika Anda seorang administrator jaringan, apa yang diberitahukan aturan NIST baru kepada Anda?
Pada dasarnya, agen federal tampaknya memberi tahu para manajer: santai. Biarkan pengguna melakukan apa yang mereka lakukan secara intuitif, dengan enkripsi yang lebih baik, kamus string terlarang, dan bidang input yang lebih panjang dengan lebih banyak fleksibilitas. Jangan mengajari mereka untuk membobol kata sandi mereka dengan tanda bintang dan karakter khusus imut. Dan jangan membuat mereka mengulangi seluruh proses setiap beberapa minggu.
Semua ini akan membuat platform yang diberikan lebih ramping dan jahat. Hanya menghilangkan petunjuk kata sandi menghilangkan basis kode yang signifikan dengan semua persyaratan sumber dayanya. Aturan NIST yang baru menempatkan keamanan kata sandi di tempatnya: keluar dari tangan pengguna istimewa dan masuk ke tempat yang tidak jelas tempat fungsi teknis membuat riwayat serangan brute-force mudah kemarin. Mereka membiarkan kita semua mengambil pendekatan baru yang dingin untuk apa yang telah menjadi proses percobaan: menyusun kata-kata dan frase kecil yang unik untuk setiap sudut kehidupan digital kita. Ini satu langkah lagi menuju dunia antarmuka pengguna yang lebih intuitif - dunia digital baru dan lebih baik di mana apa yang kami lakukan terasa lebih alami, dan kurang membingungkan.