Inhalt
- Keine Bugs, kein Stress - Ihre schrittweise Anleitung zur Erstellung lebensverändernder Software, ohne Ihr Leben zu zerstören
- Kognitive Dissonanz und Herdenmentalität
- Neue NIST-Standards: Was steckt dahinter?
- Warum ist eine Passphrase besser?
- Keine Hinweise!
- Nein, es ist kein Waffelhaus! Salting, Hashing und Stretching
- Praktische Umsetzung: Einige Herausforderungen bleiben bestehen
- Imbissbuden
Quelle: designer491 / iStockphoto
Wegbringen:
Neue NIST-Regeln lassen Benutzer die Kennwortrichtlinien aufatmen
Es gibt große Veränderungen, die sowohl Systemadministratoren als auch normale Benutzer lieben werden - sie haben mit Kennwortprotokollen zu tun.
Passwörter sind eine Tatsache des Lebens - die meisten von uns haben viel zu viele davon. Wir können uns nicht an alle erinnern, und es gibt kaum eine Möglichkeit, sie im Auge zu behalten, wenn wir nicht anfangen, sie aufzuschreiben. Eine andere Alternative besteht darin, sich nur die Passwörter zu merken, die Sie regelmäßig verwenden, und nach einem Zurücksetzen der Passwörter zu fragen, wenn Sie auf die anderen Websites zugreifen müssen - aber das sind viele Zurücksetzungen der Passwörter! Experten wie Cormac Herley, ein Microsoft-Forscher, haben über die enormen Zeitkosten für das Zurücksetzen von Passwörtern gesprochen und darüber, wie es große Unternehmen jedes Jahr Millionen von Dollar kosten kann. Außerdem kostet es die Benutzer Millionen von Minuten, auf der Tastatur herumzusuchen, ob sie versuchen, persönliche Daten anzuzeigen, sich für einen Dienst anzumelden oder etwas in einem E-Commerce-Geschäft zu kaufen.
Also was können wir tun? Und was sind die störendsten und nervigsten Aspekte unserer Passwortverwendung, die uns dazu bringen, unsere Computer und Geräte aus dem Fenster zu werfen?
Neue Berichte zeigen, dass wir als Gesellschaft einige dieser lästigen Probleme mit Passwörtern beseitigen werden. Mit neuen Untersuchungen zur Cybersicherheit werden wir wahrscheinlich einige der derzeitigen Sicherheitsstandards übertreffen, die uns in den letzten Jahren so viel Stress bereitet haben.
Ein Artikel im Wall Street Journal geht so weit, einige dieser Regeln herauszustellen und seine Meinung dazu zu äußern, warum sie möglicherweise nicht mehr benötigt werden.
Am 7. August 2017 lieferte der WSJ-Autor Robert McMillan eine Bombe in Form eines Ermittlungsbeitrags über Bill Burr, den Autor einer Arbeit aus dem Jahr 2003, die große Auswirkungen auf die Passwortstandards von Unternehmen hatte. Burr arbeitete am National Institute of Standards and Technology, der Bundesbehörde, die mit der Bewertung der technologischen Innovation in den USA beauftragt war.
"Der Mann, der das Buch über Passwortverwaltung geschrieben hat, muss ein Geständnis ablegen", beginnt die Einleitung von McMillans Artikel. "Er hat es vermasselt."
Von da an beschreibt der Artikel zwei Bugs des digitalen Zeitalters, die unser Leben komplexer gemacht haben. Die erste ist die erschwerende Anforderung, Sonderzeichen in ein Passwort aufzunehmen. Das andere sind häufige Passwortänderungen.
Keine Bugs, kein Stress - Ihre schrittweise Anleitung zur Erstellung lebensverändernder Software, ohne Ihr Leben zu zerstören
Sie können Ihre Programmierkenntnisse nicht verbessern, wenn sich niemand um die Softwarequalität kümmert.
Beide Vorgehensweisen nehmen viel Zeit in Anspruch, wenn Sie über Dutzende einzelner Kennwörter sprechen. Das erste ist jedoch auch ein klassischer Fall von "schlechter Benutzeroberfläche" - es ist einfach nicht intuitiv und zwingt die Leute zu Problemumgehungen.
Kognitive Dissonanz und Herdenmentalität
Die meisten von uns können sozusagen „fühlen“, wie diese Passwortstandards in unserem Gehirn Verwirrung stiften. Angesichts der sehr abstrakten Wahl, wie eine Zahl und ein Sonderzeichen in ein Passwort, das sonst eine alphabetische Zeichenfolge ist, eingefügt werden soll, werden viele von uns einfach eine "1" abbrechen. In der Tat wird es umso einfacher, unsere Passwörter zu knacken, je mehr wir dieselben allgemeinen Entscheidungen treffen. (Weitere Informationen zu Hackern finden Sie unter Hilft Sicherheitsforschung tatsächlich Hackern?)
Fügen Sie zusätzlich die Anforderung hinzu, dass Benutzer ihre Kennwörter monatlich oder etwa alle drei Monate aktualisieren müssen.
Die Begründung für diese Anforderung lautet, dass das alte Passwort in etwas völlig anderes geändert werden sollte - aber zu oft funktioniert es nicht so. Der Benutzer versucht, das zusätzliche Problem des Erinnerns an ein brandneues Passwort zu bewältigen. Dabei übernimmt er das alte Passwort und ändert einen Buchstaben oder eine Ziffer. Jetzt ist das alte Passwort ein wichtiges "Tell" für das neue - es wird zur Haftung.
Neue NIST-Standards: Was steckt dahinter?
Die neuen Regeln, die von NIST entwickelt werden, werden all dies ändern.
Die Sonderpublikation 800-63-3 ist ein Update der Originalversion, das vieles erreicht, was nach Meinung einiger Experten die ganze Zeit über hätte implementiert werden müssen.
Erstens werden sowohl die Kompositionsregeln, wie z. B. das Einfügen eines Ausrufezeichens in Ihr Kennwort, als auch das Erfordernis routinemäßiger Ablaufzeiten aufgehoben.
Was NIST 800-63-3 hinzufügt, ist ein Fokus auf "realistische" Sicherheitspraktiken.
Die neuen Regeln legen Wert auf die Multi-Faktor-Authentifizierung, die Autoren als das Mischen eines Passworts (etwas, an das Sie sich erinnern) mit einem physischen Schlüssel oder einer Schlüsselkarte (etwas, das Sie haben) oder biometrischen Daten (etwas, das Teil von Ihnen ist) beschreiben. Andere Vorschläge beinhalten die Verwendung von kryptografischen Schlüsseln und die Notwendigkeit, alle möglichen ASCII-Zeichen zu akzeptieren, sowie eine maximale Länge von 64 Zeichen und eine minimale Länge von acht Zeichen. (Weitere Informationen zur Biometrie finden Sie unter Wie passive Biometrie zur IT-Datensicherheit beitragen kann.)
In einer öffentlichen Präsentation mit dem Titel „Toward Better Password Requirements“ (Auf dem Weg zu besseren Kennwortanforderungen) erläutert der Sicherheitsforschungsexperte Jim Fenton viele dieser Fehlerbehebungen ausführlich als „du sollst“ und „du sollst nicht“. Außerdem wird erläutert, wie NIST die Erstellung eines Wörterbuchs mit leicht zu hackenden Kennwörtern empfiehlt das sollte automatisch verboten werden.
"Wenn es nicht einfach ist, betrügen Benutzer", schreibt Fenton und untersucht einige der Regeln, die es schwachen Passwörtern erschweren, in ein Netzwerk einzudringen.
Experten empfehlen Benutzern auch, sich eine Passphrase oder eine Wortgruppe für ein Passwort auszudenken, anstatt die alphanumerischen Suppenmischungen, für die wir geschult wurden.
Warum ist eine Passphrase besser?
Es gibt viele Möglichkeiten zu erklären, warum eine lange Passphrase wie „Total Egg Bicycle Donkey“ eine stärkere Passwortauswahl darstellt als „MisterA1!“ - aber die einfachste hat mit einer sehr verständlichen Metrik zu tun: Länge.
Eine Idee, die den Kern der neuen NIST-Vorschriften bildet, ist, dass wir unsere Passwortstrategie in gewisser Weise auf das gestützt haben, was für den Menschen Sinn macht, während wir das, was für Maschinen Sinn macht, außer Acht lassen.
Einige zufällige Zeichen können menschliche Hacker verblüffen, aber es ist nicht leicht, Computer durch eine zusätzliche Zahl oder ein zusätzliches Zeichen am Ende eines Kennworts zu beeinflussen. Dies liegt daran, dass Computer im Gegensatz zu Menschen keine Passwörter lesen, um einen Sinn zu erkennen. Sie lesen sie einfach an der Schnur.
Ein Brute-Force-Angriff besteht darin, dass ein Computer alle möglichen Permutationen von Zeichen durchläuft, um zu versuchen, „einzubrechen“, indem er die richtige Kombination findet, die ursprünglich vom Benutzer ausgewählt wurde. Wenn diese Angriffe stattfinden, spielt es eine Rolle, wie komplex Ihr Passwort ist - und jedes zusätzliche Zeichen fügt eine enorme, fast exponentielle Komplexität hinzu.
In diesem Sinne wird eine Passphrase exponentiell stärker sein - auch wenn sie für das menschliche Auge „leichter aussieht“.
Indem die maximale Länge eines Kennworts auf 64 Zeichen erweitert wird, geben die neuen NIST-Richtlinien den Benutzern die Kennwortstärke, die sie benötigen, ohne dass viele widersprüchliche Regeln auferlegt werden müssen.
Keine Hinweise!
Viele Administratoren werden es lieben, die speziellen Charakteranforderungen und all die arbeitsintensiven Passwortaktualisierungen loszuwerden, aber es gibt noch eine weitere Funktion, die auch für Profis interessant ist, wenn sie neue NIST-Richtlinien lesen.
Viele Systeme fordern neue Benutzer auf, während des Einbindens Fakten über sich selbst in eine Datenbank aufzunehmen. Die Idee ist, dass sie später, wenn sie ihr Kennwort vergessen, anhand von Überlegungen zu ihrer Vergangenheit authentifiziert werden können, die niemand sonst kennen würde. Zum Beispiel: Was war dein erstes Auto? Was war der Name deines ersten Haustieres? Wie lautet der Mädchenname Ihrer Mutter?
Dies ist ein weiterer Trend, der sich für viele von uns unangenehm angefühlt hat. Manchmal wirken die Fragen aufdringlich. Auch sicherheitsbewusste Skeptiker werden darauf hinweisen, dass es viele von uns gibt, die zuerst einen Chevrolet gefahren haben oder in einem jugendlichen Anfall von Überschwang unseren ersten Hund "Spot" genannt haben.
Dann müssen Sie die Datenbank warten und die Antworten abgleichen, wenn sie benötigt werden.
Man kann mit Sicherheit sagen, dass nicht zu viele Menschen Tränen in den Sinn kommen, wenn die Funktionen für "Kennworthinweise" verschwinden, wenn es bessere Möglichkeiten gibt, die Benutzeraktivität wirklich sicher zu machen.
Nein, es ist kein Waffelhaus! Salting, Hashing und Stretching
In anderen Neuerungen empfehlen Experten nun auch, Kennwörter zu "salzen", indem vor einem "Hash" -Prozess eine zufällige Zeichenfolge erstellt wird, die einen Datensatz einem anderen zuordnet. Dadurch wird die Zusammensetzung des Kennworts geändert und das Auflösen erschwert. Es gibt auch einen Prozess namens "Stretching", der speziell entwickelt wurde, um Brute-Force-Angriffe abzuwehren, unter anderem, indem der Evaluierungsprozess verlangsamt wird.
Allen diesen Funktionen ist gemeinsam, dass sie im administrativen Bereich und nicht direkt durch den Benutzer ausgeführt werden. Der Durchschnittsbenutzer möchte mit solchen Vorgängen nichts zu tun haben - er möchte lediglich Zugriff auf alle in einem Netzwerksystem zu erledigenden Aufgaben, die Vernetzung mit Freunden oder den Kauf oder Verkauf von Gegenständen erhalten und diese erledigen online. Indem Sie also die "clientseitigen" Kennwortregeln aufheben und einen Großteil der Sicherheit administrativ vornehmen, können Unternehmen und andere Beteiligte die Benutzererfahrung wirklich verbessern.
Dies ist ein wichtiger Punkt, da es bei vielen neuen technischen Innovationen darum geht, die Benutzerfreundlichkeit zu verbessern. Wir sind an dem Punkt angelangt, an dem wir viele Funktionen aus unseren Computern, Smartphones und anderen Geräten herausgeholt haben - ein Großteil der Fortschritte, die wir in den kommenden Jahren erzielen werden, besteht darin, die Ausführung virtueller Aufgaben zu vereinfachen und die Unübersichtlichkeit zu beseitigen eine Erfahrung: wie eine nicht-mobile First-Website, eine fehlerhafte Benutzeroberfläche, eine schlechte Akkulaufzeit ... oder eine mühsame Anmeldung! Hier kommt die Passwortinnovation ins Spiel. Wenn man auf die Idee der Multi-Faktor-Authentifizierung zurückgreift, wird die Biometrie wahrscheinlich eine noch einfachere Bedienung für Geräte ermöglichen. Warum lange Passwörter antippen und eingeben, wenn Sie Ihrem Gerät nur zeigen können, wer Sie sind? sind mit einem finger?
Praktische Umsetzung: Einige Herausforderungen bleiben bestehen
Wie wir bereits sagten, bleiben wir vorerst bei Passwörtern und PINs. Einige neuere Betriebssysteme haben beispielsweise von einer PIN mit vier zu einer PIN mit sechs Ziffern gewechselt, was die Nutzung unserer Geräte für viele von uns um ein Vielfaches verlangsamt.
Ein Problem mit dem von NIST empfohlenen "Passwort" -Ansatz ist, dass immer noch ein Zurücksetzen des Passworts erfolgt (wie in diesem Thread zu Naked Security erläutert). Die Leute werden immer noch ihre Passwörter vergessen. Einige schlagen vor, dass es für IT-Mitarbeiter schwieriger sein könnte, neue Kennwörter zu vergeben, wenn die ursprünglichen wesentlich länger sind.
In Bezug auf die Multifaktorauthentifizierung besteht hier jedoch möglicherweise ein gewisses Potenzial. Biometrie hat sich noch nicht wirklich durchgesetzt, aber fast jeder hat ein Mobiltelefon. Viele Online-Banking-Systeme und andere Systeme verwenden SMS, um Benutzer zu authentifizieren. Dies kann eine einfache Möglichkeit sein, um Konten zu überprüfen, bei denen das Kennwort verloren gegangen oder vergessen wurde. Wie oben erwähnt, ist dies auch eine wichtige Methode, um ein Kennwort im Allgemeinen zu stärken.
Imbissbuden
Was sagen Ihnen die neuen NIST-Regeln, wenn Sie ein Netzwerkadministrator sind?
Im Wesentlichen scheint die Bundesbehörde den Managern zu sagen: Entspannen Sie sich. Lassen Sie die Benutzer intuitiv das tun, was sie tun, mit einer besseren Verschlüsselung, einem Wörterbuch verbotener Zeichenfolgen und einem längeren Eingabefeld mit mehr Vielseitigkeit. Bringen Sie ihnen nicht bei, ihre Passwörter mit Sternchen und niedlichen Sonderzeichen zu versehen. Und lassen Sie sie nicht alle paar Wochen den gesamten Prozess wiederholen.
All dies wird eine bestimmte Plattform schlanker und gemeiner machen. Allein die Beseitigung von Kennworthinweisen nimmt eine signifikante Codebasis mit all ihren Ressourcenanforderungen in Anspruch. Mit den neuen NIST-Regeln wird die Kennwortsicherheit dahin gebracht, wo sie hingehört: aus den Händen des eigenwilligen Benutzers und an einen dunklen Ort, an dem technische Funktionen die Geschichte der einfachen Brute-Force-Angriffe von gestern bestimmen. Sie lassen uns alle einen neuen, entspannten Ansatz für einen schwierigen Prozess verfolgen: einzigartige kleine Wörter und Phrasen für jeden Winkel unseres digitalen Lebens erstellen. Dies ist ein weiterer Schritt in Richtung einer Welt intuitiverer Benutzeroberflächen - einer neuen und verbesserten digitalen Welt, in der sich das, was wir tun, natürlicher und weniger verwirrend anfühlt.