Jump to content

Политика паролей

О политике надежности паролей между Викимедиа см. m:Password policy .

Политика паролей — это набор правил, предназначенных для повышения компьютерной безопасности путем поощрения пользователей использовать надежные пароли и использовать их правильно. Политика паролей часто является частью официальных правил организации и может преподаваться в рамках обучения по вопросам безопасности . Либо политика паролей носит лишь рекомендательный характер, либо компьютерные системы заставляют пользователей соблюдать ее. Некоторые правительства имеют национальные системы аутентификации. [1] которые определяют требования к аутентификации пользователей в государственных службах, включая требования к паролям.

Рекомендации NIST [ править ]

(NIST) Министерства торговли США Национальный институт стандартов и технологий разработал два стандарта политики паролей, которые получили широкое распространение.

2004 [ править ]

С 2004 г. «Специальная публикация NIST 800-63. Приложение A». [2] посоветовал людям использовать неправильную заглавную букву, специальные символы и хотя бы одну цифру. Этому совету следовали большинство систем, и он был «встроен» в ряд стандартов, которым предприятия должны были следовать.

2017 [ править ]

Однако в 2017 году крупное обновление изменило этот совет, в частности, что форсирование сложности и регулярные изменения теперь считаются плохой практикой. [3] [4] : 5.1.1.2 

Ключевыми моментами из них являются:

  • Верификаторы не должны навязывать правила композиции, например, требовать сочетания символов разных типов или запрещать последовательно повторяющиеся символы.
  • Верификаторы не должны требовать произвольной или регулярной смены паролей, например, предыдущее правило 90 дней.
  • Пароли должны быть длиной не менее 8 символов
  • Системы паролей должны позволять использовать пароли, выбираемые абонентом, длиной не менее 64 символов.
  • быть допустимы все печатные символы ASCII , пробелы и Юникода . символы должны В паролях
  • При установке или изменении паролей верификатор должен сообщить абоненту, что ему необходимо выбрать другой пароль, если он выбрал слабый или скомпрометированный пароль.
  • Верификаторы должны предлагать рекомендации, такие как измеритель надежности пароля, чтобы помочь пользователю выбрать надежный пароль.
  • Верификаторы должны хранить пароли в форме, устойчивой к автономным атакам. Пароли должны быть объединены в соль и хешированы с использованием подходящей функции получения одностороннего ключа . Функции получения ключей принимают пароль, соль и коэффициент стоимости в качестве входных данных, а затем генерируют хэш пароля. Их цель состоит в том, чтобы сделать каждую попытку подбора пароля злоумышленником, получившим хэш-файл пароля, дорогостоящим и, следовательно, стоимость атаки по подбору пароля будет высокой или непомерно высокой.

NIST включил обоснование новых рекомендаций в Приложение А.

Аспекты [ править ]

Типичные компоненты политики паролей включают в себя:

Длина и формирование пароля [ править ]

См. также: Надежность пароля.

Многие политики требуют минимальной длины пароля. Восемь символов являются типичными, но могут быть неподходящими. [5] [6] [7] Более длинные пароли, как правило, более безопасны, но некоторые системы устанавливают максимальную длину для совместимости с устаревшими системами .

Некоторые политики предлагают или налагают требования к тому, какой тип пароля может выбрать пользователь, например:

  • использование как прописных, так и строчных букв ( чувствительность к регистру )
  • включение одной или нескольких числовых цифр
  • включение специальных символов , таких как @, #, $
  • запрет слов, найденных в черном списке паролей
  • запрет слов, встречающихся в личной информации пользователя
  • запрет на использование названия компании или аббревиатуры
  • запрет паролей, соответствующих формату календарных дат, номерных знаков , номеров телефонов или других распространенных номеров

Другие системы создают для пользователя первоначальный пароль; но затем потребуют в течение короткого промежутка времени изменить его на тот, который они выберут по своему выбору.

Список заблокированных паролей [ изменить ]

Списки заблокированных паролей — это списки паролей, использование которых всегда заблокировано. Списки блокировки содержат пароли, состоящие из комбинаций символов, которые в остальном соответствуют политике компании, но их больше не следует использовать, поскольку они считаются небезопасными по одной или нескольким причинам, например, из-за того, что их легко угадать, они соответствуют общему шаблону или публичное раскрытие информации в результате предыдущих утечек данных. . Типичными примерами являются Password1, Qwerty123 или Qaz123wsx.

Срок действия пароля [ изменить ]

Некоторые политики требуют, чтобы пользователи периодически меняли пароли, часто каждые 90 или 180 дней. Однако польза от истечения срока действия пароля является спорной. [8] [9] Системы, реализующие такую ​​политику, иногда не позволяют пользователям выбирать пароль, слишком близкий к предыдущему выбору. [10]

Эта политика часто может иметь неприятные последствия. Некоторым пользователям трудно придумать « хорошие » пароли, которые также легко запомнить, поэтому, если людям приходится выбирать много паролей, поскольку им приходится часто их менять, они в конечном итоге используют гораздо более слабые пароли; политика также призывает пользователей записывать пароли. Кроме того, если политика запрещает пользователю повторять недавний пароль, для этого необходимо, чтобы существовала база данных недавних паролей каждого пользователя (или их хешей ), а не стирали старые из памяти. Наконец, пользователи могут неоднократно менять свой пароль в течение нескольких минут, а затем снова менять его на тот, который они действительно хотят использовать, полностью обходя политику смены паролей.

Необходимо также учитывать человеческие аспекты паролей. В отличие от компьютеров, пользователи-люди не могут удалить одно воспоминание и заменить его другим. Следовательно, частая смена заученного пароля — это нагрузка на человеческую память, и большинство пользователей прибегают к выбору пароля, который относительно легко угадать (см. Утомляемость паролем ). Пользователям часто советуют использовать мнемонические приемы для запоминания сложных паролей. Однако, если пароль необходимо неоднократно менять, мнемоника бесполезна, поскольку пользователь не запомнит, какую мнемонику использовать. Кроме того, использование мнемоники (ведущей к таким паролям, как «2BOrNot2B») облегчает угадывание пароля.

Факторы администрирования также могут быть проблемой. Иногда у пользователей есть старые устройства, которым требуется пароль, который использовался до истечения срока действия пароля. [ нужны разъяснения ] Чтобы управлять этими старыми устройствами, пользователям, возможно, придется записать все старые пароли на случай, если им понадобится войти на старое устройство.

Часто лучше требовать очень надежный пароль и не требовать его смены. [11] Однако у этого подхода есть серьезный недостаток: если неавторизованное лицо получит пароль и использует его, не будучи обнаруженным, это лицо может иметь доступ на неопределенный период.

Необходимо взвесить эти факторы: вероятность того, что кто-то угадает пароль, потому что он слабый, и вероятность того, что кому-то удастся украсть или иным образом получить, не угадав, более надежный пароль.

Брюс Шнайер утверждает, что «почти все, что можно запомнить, можно взломать», и рекомендует схему, в которой используются пароли, которых нет ни в каких словарях. [12]

Санкция [ править ]

Политика паролей может включать прогрессивные санкции, начиная с предупреждений и заканчивая возможной потерей компьютерных привилегий или прекращением работы. Если конфиденциальность предусмотрена законом, например, в отношении секретной информации , нарушение политики использования паролей в некоторых юрисдикциях может быть уголовным преступлением. [13] Некоторый [ ВОЗ? ] считают убедительное объяснение важности безопасности более эффективным, чем угрозы санкциями [ нужна ссылка ] .

Процесс отбора [ править ]

Требуемый уровень надежности пароля зависит, среди прочего, от того, насколько легко злоумышленнику представить несколько предположений. Некоторые системы ограничивают количество раз, когда пользователь может ввести неправильный пароль, прежде чем будет наложена некоторая задержка или учетная запись будет заморожена. С другой стороны, некоторые системы предоставляют специально хешированную версию пароля, чтобы каждый мог проверить его достоверность. Когда это будет сделано, злоумышленник сможет очень быстро попробовать пароли; для разумной безопасности необходимы гораздо более надежные пароли. (См. взлома пароля и уравнение длины пароля .) Более строгие требования также подходят для учетных записей с более высокими привилегиями, таких как учетные записи root или системного администратора.

Соображения юзабилити [ править ]

Политика паролей обычно представляет собой компромисс между теоретической безопасностью и практикой человеческого поведения. Например:

  • Требование чрезмерно сложных паролей и принудительная их частая смена могут привести к тому, что пользователи запишут пароли в местах, которые злоумышленнику будет легко найти, например, в Rolodex или стикерах рядом с компьютером.
  • Пользователям часто приходится управлять десятками паролей. Возможно, было бы более реалистично рекомендовать использовать один пароль для всех приложений с низким уровнем безопасности, таких как чтение онлайн-газет и доступ к развлекательным веб-сайтам.
  • Аналогичным образом, требование, чтобы пользователи никогда не записывали свои пароли, может оказаться нереалистичным и привести к тому, что пользователи будут выбирать слабые пароли (или вызвать много неудобств, когда пользователи забудут свой пароль). Альтернативой является предложение хранить записанные пароли в безопасном месте, например, в сейфе или в зашифрованном мастер-файле. Обоснованность этого подхода зависит от того, какую угрозу считать наиболее вероятной. Хотя запись пароля может быть проблематичной, если потенциальные злоумышленники имеют доступ к защищенному хранилищу, если угроза исходит в первую очередь от удаленных злоумышленников, не имеющих доступа к хранилищу, это может быть очень безопасным методом.
  • Включение специальных символов может стать проблемой, если пользователю приходится входить на компьютер в другой стране. Некоторые специальные символы может быть трудно или невозможно найти на клавиатурах, предназначенных для другого языка.
  • Некоторые системы управления идентификацией допускают самостоятельный сброс пароля , когда пользователи могут обойти защиту пароля, предоставив ответ на один или несколько контрольных вопросов, таких как «где вы родились?», «какой ваш любимый фильм?» и т. д. Часто ответы Ответы на эти вопросы можно легко получить с помощью социальной инженерии , фишинга или простого исследования.

Исследование политики паролей 2010 г. [14] из 75 различных веб-сайтов приходит к выводу, что безопасность лишь частично объясняет более строгую политику: монопольные поставщики услуг, такие как правительственные сайты, имеют более строгую политику, чем сайты, где у потребителей есть выбор (например, сайты розничной торговли и банки). В исследовании делается вывод, что сайты с более строгой политикой «не имеют больших проблем с безопасностью, они просто лучше изолированы от последствий плохого удобства использования».

Доступны и другие подходы, которые обычно считаются более безопасными, чем простые пароли. К ним относятся использование токена безопасности или системы одноразовых паролей , например S/Key , или многофакторной аутентификации . [15] Однако эти системы усиливают компромисс между безопасностью и удобством: по словам Шумана Госемаджумдера , все эти системы повышают безопасность, но «за счет переноса бремени на конечного пользователя». [16]

См. также [ править ]

Ссылки [ править ]

  1. ^ Повышение удобства управления паролями с помощью стандартизированных политик паролей . Проверено 12 октября 2012 г.
  2. ^ «Руководство по электронной аутентификации» (PDF) . nist.gov . УЗИ . Проверено 9 апреля 2020 г.
  3. ^ Статт, Ник (7 августа 2017 г.). «Рекомендации по использованию паролей обновлены после того, как первоначальный автор пожалел о своем совете» . Грань . Проверено 9 апреля 2020 г.
  4. ^ Грасси Пол А. (июнь 2017 г.). SP 800-63B-3 – Рекомендации по цифровой идентификации, аутентификации и управлению жизненным циклом . НИСТ. doi : 10.6028/NIST.SP.800-63b . Общественное достояние В данной статье использован текст из этого источника, находящегося в свободном доступе .
  5. ^ «Требования к сложности пароля» . Заклинатель ошибок. 7 сентября 2012 г.
  6. ^ «Какой длины должны быть пароли?» . Заклинатель ошибок. 20 июня 2016 г.
  7. ^ Джон Д. Саттер (20 августа 2010 г.). «Как создать «суперпароль» » . CNN . Проверено 31 августа 2016 г.
  8. ^ «Проблемы с принудительным сроком действия обычного пароля» . ИА имеет значение . CESG: подразделение информационной безопасности GCHQ. 15 апреля 2016 года. Архивировано из оригинала 17 августа 2016 года . Проверено 5 августа 2016 г.
  9. ^ спаф (19 апреля 2006 г.). «Мифы о безопасности и пароли» . ЦЕРИАС.
  10. ^ «Совет: лучшие практики по обеспечению соблюдения политики паролей» . Майкрософт . Проверено 01 марта 2018 г.
  11. ^ Иньцянь Чжан; Фабиан Монроуз; Майкл К. Рейтер (2010). Безопасность истечения срока действия современных паролей: алгоритмическая основа и эмпирический анализ (PDF) . Материалы 17-й конференции ACM «Компьютерная и коммуникационная безопасность». Нью-Йорк, штат Нью-Йорк, США. стр. 176–186. дои : 10.1145/1866307.1866328 .
  12. ^ «Выбор безопасного пароля» . БоингБоинг. Март 2014 г. – через Schneier on Security.
  13. ^ Уильямс, Джейми (11 июля 2016 г.). «Вы когда-нибудь использовали чужой пароль? Идите в тюрьму, — говорит Девятый округ» . Фонд электронных границ .
  14. ^ Откуда берется политика безопасности? Учеб. Симп. Полезная конфиденциальность и безопасность, 2010 г.
  15. ^ спаф (11 мая 2006 г.). «Пароли и миф» . ЦЕРИАС.
  16. ^ Розенбуш, Стивен; Нортон, Стивен (27 мая 2015 г.). «Для директоров по информационной безопасности нарушение налоговой службы подчеркивает противоречие между безопасностью и удобством пользователей» . Уолл Стрит Джорнал.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Password_policy&oldid=1164864885"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: a3acaf58231d153af0a11d5a6d71c454__1689077400
URL1:https://arc.ask3.ru/arc/aa/a3/54/a3acaf58231d153af0a11d5a6d71c454.html
Заголовок, (Title) документа по адресу, URL1:
Password policy - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)