Jelentős változások várhatók a jelszavak területén

A nemsokára életbelépő szabályozás felhasználóbarát és biztonságos megközelítést ígér a jelszavak használatának területén.

Május elsején lezárult az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézete (NIST) által megfogalmazott új digitális személyazonossági irányelvek nyilvános vitája, és az anyag készen áll a véglegesítésre. A tervezet új, továbbfejlesztett jelszókövetelményeket tartalmaz, megváltoztatva az eddigi szokásokat és a hozzájuk kapcsolódó kellemetlenségeket. Bár az iránymutatások csak a szövetségi ügynökségekre nézve kötelezőek, azonban nagy befolyást gyakorolnak majd a szervezetekre általában, és ez világszerte érinteni fogja az internethasználókat.

Visszavonják a jelszavak összetételéről szóló szabályokat, mint például a kis és nagybetűk, számok és speciális karakterek kötelező szerepeltetése a belépőkódokban. Ennek oka, hogy ezek a szabályok elvétve eredményeznek erősebb jelszavakat, sokkal inkább gyenge, és/vagy nehezen megjegyezhető kódok generálására veszik rá a felhasználókat. Az új szabályozás azt tanácsolja, hogy ne kérjenek rendszeres jelszóváltoztatást a felhasználóktól, hacsak ők maguk nem kezdeményezik, vagy ha valamilyen adatvesztés történt a szervezetnél. Ennek oka, hogy a felhasználóknak nincs türelmük állandóan új, erősebb jelszavakat kitalálni, így ez a megoldás több kárt okoz, mint hasznot.

A jelszóemlékeztetők és a tudás alapú azonosítás segíthet az elfelejtett jelszavak megtalálásában, azonban ezek az adatok nagy értéket jelentenek a kiberbűnözők számára is, így egyre több oldalon szűnik meg ezek használata. A jelszavak összetételének szabályozása helyett a NIST egy feketelista használatát javasolja, amely tartalmazza a leggyakrabban használt és/vagy korábban kiszivárgott jelszavakat, így ezek megadására már nem lesz lehetőség. Jelszó beállításakor a felhasználók szabadon választhatnak majd minden nyomtatható ASCII és UNICODE karakterből, beleértve a hangulatjeleket (emoji) is. A felhasználók számára lehetővé kell tenni a szóközök használatát is, amelyek a jelmondatok természetes részét alkotják, és gyakran a hagyományos jelszavak ajánlott alternatívái

Az új irányelvek szerint a jelszavak hossza kulcsfontosságú tényező a kódok erősségében. A megfelelő jelszónak minimum 8 karakternek, maximum 64 karakter hosszúságúnak kell lennie. Szakértők arra figyelmeztetnek, hogy a jelszavak feltörésének idejében 11 karaktertől történik hatalmas ugrás, és a kódok megfejtése ekkor már szuperszámítógéppel is évekbe telne, így érdemes legalább ilyen hosszú jelszavakat használni. Nem számít, hogy milyen jó jelszavakat adunk, mert a kódunk továbbra is csak egyetlen áthatolandó akadályt jelent az adataink és a kiberbűnözők között. A biztonságos fiókok esetében még egy rétegre szükség van a hatékony védelemhez, ezért a NIST a kétfaktoros azonosítást javasolja minden helyen, ahol elérhető a megoldás. Az új ajánlások között szerepel az is, hogy az sms üzeneteket ne használják többet a kétfaktoros azonosításra, a szakemberek inkább a szoftver által generált, egyszer használatos jelszavakat javasolják.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.