To Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας των Ηνωμένων Πολιτειών (NIST) διαμορφώνει νέες κατευθυντήριες γραμμές για τις πολιτικές που θα πρέπει να ακολουθούν οι κωδικοί πρόσβασης που θα χρησιμοποιούνται από την κυβέρνηση των ΗΠΑ και γενικότερα από τον δημόσιο τομέα.
Όποιος ενδιαφέρεται οι νέες προδιαγραφές της Ειδικής Έκδοσης 800-63-3: Ψηφιακές κατευθυντήριες γραμμές ελέγχου ταυτότητας (Special Publication 800-63-3: Digital Authentication Guidelines) μπορεί να βρεθούν στην ιστοσελίδα του NIST.
Ας δούμε όμως ποιες είναι οι βασικές διαφορές μεταξύ της σημερινής πολικής με αυτής που συνιστά το NIST;
Ορισμένες από τις νέες συστάσεις του NIST μάλλον μπορείτε να τις μαντέψετε και άλλες μπορεί να σας εκπλήξουν.
Ας αρχίσουμε:
Οι νέες πολιτικές ευνοούν τον χρήστη. Με άλλα λόγια, οι διάφορες ιστοσελίδες θα πρέπει να σταματήσουν να ζητάνε από τους χρήστες να κάνουν πράγματα που στην πραγματικότητα δεν βελτιώνουν την ασφάλεια.
Πολλές από τις λεγόμενες «βέλτιστες πρακτικές» αποδεικνύεται ότι δεν βοηθούν αρκετά και δεν αξίζουν τον πονοκέφαλο που προκαλούν.
Το μέγεθος μετράει για τους κωδικούς πρόσβασης. Οι νέες κατευθυντήριες γραμμές NIST αναφέρουν ότι θα πρέπει να έχετε τουλάχιστον 8 χαρακτήρες. Αυτό δεν θα πρέπει να είναι το ανώτατο όριο, για να μπορείτε να αυξήσετε το μήκος του κωδικού πρόσβασης σε πιο ευαίσθητους λογαριασμούς.
Το NIST λέει ότι θα πρέπει να επιτρέπεται ένα μέγιστο μήκος τουλάχιστον 64 χαρακτήρων, οπότε δεν θα πρέπει να υπάρχει πια το “Συγγνώμη, ο κωδικός πρόσβασής σας δεν μπορεί να είναι μεγαλύτερος από 16 χαρακτήρες.”
Θα πρέπει να επιτρέπονται όλοι οι εκτυπώσιμοι χαρακτήρες ASCII, συμπεριλαμβανομένων των κενών (space), όλων των χαρακτήρων UNICODE, αλλά και τα Emoji!
Έλεγχος των νέων κωδικών για το αν περιέχονται σε γνωστά cracking λεξικά. Έτσι κανείς δεν θα είναι σε θέση να χρησιμοποιήσει κωδικούς όπως τους: ChangeMe, thisisapassword, 12345678, και ούτω καθεξής.
Πράγματα που δεν πρέπει να κάνετε.
Δεν υπάρχουν κανόνες σύνθεσης κωδικών. Αυτό σημαίνει ότι δεν θα πρέπει να θυμόσαστε περισσότερους κανόνες που αναγκάζουν την χρήση συγκεκριμένων χαρακτήρων ή συνδυασμών, όπως οι σπαστικοί όροι σε ορισμένες σελίδες επαναφοράς κωδικού πρόσβασης που απαιτούν:
“Ο κωδικός πρόσβασής σας πρέπει να περιέχει ένα πεζό γράμμα, ένα κεφαλαίο γράμμα, έναν αριθμό, τέσσερα σύμβολα αλλά όχι &% # @ _, και 5 κιλά σουβλάκια.”
Οι νέοι κανονισμοί θα επιτρέπουν στους χρήστες να επιλέγουν ελεύθερα, και τους ενθαρρύνουν να χρησιμοποιούν μεγάλες φράσεις που μπορούν να θυμούνται αντί για κωδικούς πρόσβασης απατηλής πολυπλοκότητας όπως το pA55w + rd.
Τέρμα στους υπαινιγμούς κωδικών. Καμία ερώτηση που θα σας κάνει να θυμηθείτε τον κωδικό σας αν τον ξεχάσετε. Το 2013 με την διαρροή κωδικών πρόσβασης από τους χρήστες της Adobe, είδαμε τρελά πράγματα. Κάποιος με κωδικό χρήστη password είχε σαν tip υπενθύμισης κωδικού πρόσβασης το assword!
Οι ερωτήσεις για το Knowledge-based authentication (KBA) σταματούν να υπάρχουν. Είναι όταν ένα site σας ζητάει να Διαλέξτε από μια λίστα ερωτήσεων όπως Πού τελειώσατε το γυμνάσιο; Ποια είναι η αγαπημένη σας ποδοσφαιρική ομάδα; και εσείς θα πρέπει να γράψετε την απάντηση. Θα την χρησιμοποιήσετε σε περίπτωση που χρειαστεί να βεβαιώσετε την ταυτότητά σας.
Τέλος στις λήξεις κωδικών πρόσβασης: Ο αγαπημένος μου νέος κανονισμός! Αν ο χρήστης χρησιμοποιεί έναν πολύ δύσκολο και μακρύ κωδικό πρόσβασης 50 χαρακτήρων γιατί να τον αλλάζει κάθε μήνα;
Οι κωδικοί πρόσβασης θα πρέπει να αλλάζουν μόνο όταν έχουν ξεχαστεί, αν έχουν γίνει phished, ή αν νομίζετε (ή γνωρίζετε) ότι η βάση δεδομένων με τον κωδικό σας έχει κλαπεί και ότι θα μπορούσε ενδεχομένως να υποβληθεί σε offline επίθεση brute-force.
Το NIST δίνει επίσης κάποιες πολύ αξιόλογες συμβουλές.
Όλοι οι κωδικοί πρόσβασης πρέπει να είναι hashed, salted και stretched με salt των 32 bits ή περισσότερο, HMAC hash που χρησιμοποιεί SHA-1, SHA-2 ή SHA-3, και ένα “stretching” αλγόρθμο PBKDF2 με τουλάχιστον 10,000 επαναλήψεις.
Επιπλέον, άλλη μια μεγάλη αλλαγή είναι ότι τα SMS δεν θα πρέπει να χρησιμοποιούνται πλέον για ελέγχους ταυτότητας δύο παραγόντων, καθώς υπάρχουν πολλά προβλήματα με την ασφάλεια παράδοσης των SMS, malware που μπορούν να ανακατευθύνουν τα μηνύματα κειμένου και επιθέσεις εναντίον του δικτύου κινητής τηλεφωνίας (όπως το λεγόμενο SS7 hack), αλλά και μια απλή φορητότητα αριθμού.
Να αναφέρουμε και τα swaps των SIM; Είναι πολύ εύκολο να βγάλετε νέα SIM από τον πάροχο κινητής τηλεφωνίας και να ακυρώσετε αυτή που χρησιμοποιείτε γιατί υποτίθεται ότι χάθηκε, καταστράφηκε ή κλάπηκε.
Σε πολλές χώρες, δυστυχώς, είναι πολύ εύκολο για τους εγκληματίες να πείσουν ένα κατάστημα κινητής τηλεφωνίας να μεταφέρει τον αριθμό τηλεφώνου κάποιου σε μια νέα κάρτα SIM.
Η κίνηση του NIST ήταν αναμενόμενη καθώς οι πολιτικές των κωδικών πρόσβασης θα πρέπει να εξελίσσονται συνεχώς όπως εξελίσσονται και οι τεχνικές των hacker.