コンテンツ
- バグやストレスなし-あなたの人生を破壊することなく人生を変えるソフトウェアを作成するためのステップバイステップガイド
- 認知的不協和と群れの精神性
- 新しいNIST規格:内部の内容
- パスフレーズが優れているのはなぜですか?
- ヒントはありません!
- いいえ、ワッフルハウスではありません!塩漬け、ハッシュ、ストレッチ
- 実用的な実装:いくつかの課題が残っています
- お持ち帰り
ソース:designer491 / iStockphoto
取り除く:
新しいNISTルールにより、ユーザーはパスワードポリシーに安reliefのため息をついた
システム管理者と一般ユーザーの両方が好むかもしれない大きな変化があります-彼らはパスワードプロトコルに関係しています。
パスワードは現実です。私たちのほとんどは、パスワードが多すぎます。それらすべてを思い出すことはできません。書き留めない限り、追跡する方法はほとんどありません。もう1つの方法は、定期的に使用するパスワードを思い出し、他のサイトにアクセスする必要があるときにパスワードのリセットを要求することです。しかし、それは多くのパスワードリセットです。 Microsoftの研究者であるCormac Herleyのような専門家は、パスワードリセットの莫大な時間コストと、大企業が毎年数百万ドルの費用を負担する方法について話しています。また、ユーザーが個人データを表示したり、サービスにサインアップしたり、eコマースストアで何かを購入しようとしているかどうかに関係なく、キーボードを使い始めて数百分もかかります。
それで、私たちは何ができますか?そして、私たちのコンピューターとデバイスを窓の外に投げ出したいと思うパスワードの使用の最も邪魔で面倒な側面は何ですか?
新しいレポートは、社会として、これらの厄介なパスワードの問題のいくつかを取り除こうとしていることを示しています。サイバーセキュリティに関する新たな研究を進めていくと、ここ数年で私たちに大きなストレスを与えてきた現在のセキュリティ基準のいくつかを超えて進歩する可能性があります。
Wall Street Journalの記事は、これらのルールのいくつかの背後にある仲間を引き出し、それらがもはや必要ないかもしれない理由について彼の意見を得るところまで行きました。
2017年8月7日、WSJのライターであるロバートマクミランは、2003年に企業のパスワード標準に大きな影響を与えた論文の著者であるビルバーに関する調査資料の形で爆弾を届けました。 Burrは、米国の技術革新の評価を担当する連邦機関である米国国立標準技術研究所で働いていました。
「パスワード管理に関する本を書いた人は、告白する必要があります」と、マクミランの作品のリードを開始します。 「彼はそれを吹いた。」
そこから、記事は私たちの生活を複雑にしたデジタル時代の2つのバグベアについて説明します。 1つ目は、パスワードに特殊文字を含めるという厳しい要件です。もう1つは、頻繁にパスワードを変更することです。
バグやストレスなし-あなたの人生を破壊することなく人生を変えるソフトウェアを作成するためのステップバイステップガイド
誰もソフトウェアの品質に関心がない場合、プログラミングスキルを向上させることはできません。
数十の個別のパスワードについて話している場合、これらのプラクティスは両方とも時間がかかります。ただし、1つ目は「悪いインターフェイス」の典型的なケースでもあります。直観的ではないため、回避策が必要になります。
認知的不協和と群れの精神性
私たちのほとんどは、これらのパスワード標準が脳内で混乱を引き起こしていることを「感じる」ことができます。アルファベット文字列であるパスワードに数字と特殊文字を含める方法の非常に抽象的な選択に直面して、私たちの多くは単に「1!」から飛び出します。これは実際にはハッカーを妨害する傾向はありません。実際、同じ一般的な選択肢を選択すればするほど、パスワードを解読しやすくなります。 (セキュリティ研究は実際にハッカーを支援していますか?
さらに、ユーザーが毎月、または3か月ごとにパスワードを更新するという要件を追加します。
この要件の背後にある理由は、古いパスワードを完全に異なるものに変更する必要があるということです-しかし、あまりにも頻繁に、それがどのように機能するかではありません。新しいパスワードを覚えるという追加の脳波を処理しようとすると、ユーザーは古いパスワードを取得し、1つの文字または数字を変更します。現在、古いパスワードは新しいパスワードの重要な「告知」であり、責任を負います。
新しいNIST規格:内部の内容
NISTによって開発されている新しいルールは、そのすべてを変更します。
Special Publication 800-63-3は、元のバージョンのアップデートであり、一部の専門家がずっと実装すべきだったと言うものの多くを達成しています。
まず、感嘆符をパスワードに含める必要があるなどの構成ルールと、定期的な期限切れの要件の両方を取り除きます。
NIST 800-63-3が追加するのは、「現実的な」セキュリティプラクティスに焦点を合わせることです。
新しいルールは多要素認証に重点を置いており、ライターは、パスワード(覚えているもの)と物理キーまたはキーカード(持っているもの)、または生体認証データ(自分の一部であるもの)との混合として説明します。他の提案には、暗号化キーの使用、すべての有効なASCII文字、64文字の最大長、および8文字の最小長を受け入れる必要があります。 (バイオメトリックスの詳細については、パッシブバイオメトリックスがITデータセキュリティにどのように役立つかをご覧ください。)
「Toward Better Password Requirements」というタイトルの公開スライドショープレゼンテーションで、セキュリティ研究の専門家Jim Fentonは、これらの修正の多くを「thou shalts」および「thou shalt nots」として詳しく説明し、NISTが簡単にハッキング可能なパスワードの辞書を作成する方法を説明していますそれは自動的に禁止されるべきです。
「簡単でない場合、ユーザーはcheします」とFentonが書いて、脆弱なパスワードがネットワークを侵害するのを難しくする常識的なルールのいくつかを調べます。
専門家はまた、私たちが提供するために訓練されたごちゃごちゃした英数字のスープではなく、パスワードの「パスフレーズ」または単語のセットを考えることをユーザーに提案しています。
パスフレーズが優れているのはなぜですか?
「合計卵自転車ロバ」のような長いパスフレーズが「MisterA1!」のようなものよりも強力なパスワード選択になる理由を説明する方法はたくさんありますが、最も簡単なのは非常に理解しやすいメトリック:長さです。
新しいNIST規制の中心にある考えの1つは、何らかの方法で、マシンにとって意味のあるものを無視しながら、人間にとって意味のあるものにパスワード戦略を基づいているということです。
少数のランダムな文字が人間のハッカーを困惑させる可能性がありますが、パスワードの末尾にある余分な数字や文字によってコンピューターが簡単に揺れる可能性は低いです。それは、人間とは異なり、コンピューターが意味のあるパスワードを読み取らないためです。彼らは単に文字列でそれらを読みます。
ブルートフォース攻撃とは、コンピューターがすべての可能な文字の組み合わせを通過して、ユーザーが最初に選択した正しい組み合わせを見つけて「侵入」しようとすることです。これらの攻撃が発生したときに重要なのは、パスワードがどれだけ複雑かということです。また、文字を追加するごとに、非常に大きな指数関数的な複雑さが追加されます。
それを念頭に置いて、パスフレーズは、人間の目には「見えやすい」にもかかわらず、指数関数的に強くなります。
パスワードの最大長を64文字に拡張することにより、新しいNISTガイドラインは、多くの直感に反するルールを課すことなく、ユーザーに必要なパスワード強度を提供します。
ヒントはありません!
多くの管理者は、特殊文字の要件とそれらのすべての労力を要するパスワードの更新を取り除くのが大好きですが、専門家が新しいNISTガイドラインを読んでいるので、もう1つの機能もあります。
多くのシステムは、新規ユーザーにオンボーディング中に自分自身に関する事実をデータベースに追加するように要求します:後で、パスワードを忘れた場合、システムは他の誰も知らない過去についての考えに基づいてそれらを認証できるということです。例:最初の車は何ですか?あなたが最初に飼ったペットの名前は?あなたの母親の旧姓は何ですか?
これは、私たちの多くにとって不快であると感じている傾向のもう1つです。時には、質問が邪魔に思えます。また、セキュリティ志向の懐疑論者は、シボレーを最初に運転したか、若々しい活気に満ちた最初の犬を「スポット」と名付けた多くの人がいることを指摘します。
次に、データベースを維持し、必要なときに回答を照合するという作業負荷があります。
ユーザーアクティビティを本当に安全にするためのより良いオプションがある場合、「パスワードヒント」機能の消失に涙を流す人はあまり多くないと言って差し支えありません。
いいえ、ワッフルハウスではありません!塩漬け、ハッシュ、ストレッチ
他の技術革新では、専門家は現在、パスワードを「塩漬け」することも推奨しています。これは、あるデータセットを別のデータセットにマッピングする「ハッシュ」プロセスの前にランダムな文字列を作成し、パスワードの構成を変更し、破ることをより困難にします。また、部分的に評価プロセスを遅くすることにより、ブルートフォース攻撃を阻止するために特別に設計された「ストレッチング」と呼ばれるプロセスもあります。
これらすべての機能に共通することは、ユーザーの指先ではなく、管理領域で実行されることです。平均的なユーザーは、これらの種類の手続き的なものとは何の関係もありません。仕事のタスクの完了、友人とのネットワーク、何かの売買など、ネットワークシステムで何をするにもアクセスしたいだけです。オンライン。そのため、「クライアント側」のパスワードルールを廃止し、多くのセキュリティを管理することにより、企業やその他の利害関係者はユーザーエクスペリエンスを本当に改善できます。
これは重要なポイントです。ユーザーエクスペリエンスを向上させることが、多くの新しい技術革新の目的であるためです。私たちはコンピューター、スマートフォン、その他のデバイスから多くの機能を絞り込んでいます。今後数年間で行う多くの進歩は、仮想タスクをより簡単にし、不器用さを取り除くことです。体験の例:非モバイルファーストWebサイト、グリッチなインターフェイス、バッテリ寿命の低下など...または退屈なログオン!多要素認証の考え方に戻ると、バイオメトリクスはデバイスの使いやすさをさらに向上させる可能性があります。デバイスを表示するだけでデバイスに長いパスワードを入力することができます。指で?
実用的な実装:いくつかの課題が残っています
ただし、先ほど述べたように、当面の間はパスワードとPINが必要です。たとえば、一部の新しいオペレーティングシステムでは、4桁のPINから6桁のPINに切り替えたため、デバイスの描画速度が大幅に低下しています。
NISTが推奨する「パスフレーズ」アプローチの問題の1つは、パスワードのリセットが引き続き発生することです(Naked Securityのこのスレッドで説明されています)。人々はまだパスワードを忘れようとしています。元のパスワードがはるかに長い場合、IT担当者が新しいパスワードを発行するのが難しくなる可能性があると示唆する人もいます。
ただし、多要素認証に関しては、いくつかの可能性があります。生体認証はまだ普及していませんが、ほぼ全員が携帯電話を持っています。多くのオンラインバンキングシステムおよびその他のシステムは、SMSを使用してユーザーを認証しています。これは、パスワードを紛失または忘れたアカウントを簡単に確認する方法です。上記のように、一般的にパスワードを強化するための重要な方法でもあります。
お持ち帰り
ネットワーク管理者の場合、新しいNISTルールは何を伝えていますか?
本質的に、連邦機関はマネージャーに次のように伝えているようです。リラックスしてください。より優れた暗号化、禁止された文字列の辞書、より汎用性の高い長い入力フィールドを使用して、ユーザーが直感的に操作できるようにします。パスワードにアスタリスクやかわいい特殊文字を使用するように教えないでください。また、数週間ごとにプロセス全体を更新しないでください。
これらすべてが、特定のプラットフォームをより無駄のないものにします。パスワードのヒントを削除するだけで、リソース要件のすべてを含む重要なコードベースがなくなります。新しいNISTルールは、パスワードセキュリティをそれが属する場所に置きます:特異なユーザーの手から外れ、技術的な機能が昨日の簡単なブルートフォース攻撃の歴史を作る不明瞭な場所に。彼らは私たち全員に、試行錯誤を繰り返してきたプロセスへの新しい冷静なアプローチをとらせます。デジタルライフの隅々までユニークな小さな単語やフレーズを作り上げます。これは、より直感的なユーザーインターフェースの世界に向けたもう1つのステップです。私たちの仕事がより自然で、混乱が少ないと感じられる、新しく改善されたデジタルの世界です。