Recomandări privind politica în materie de parole: ce trebuie să știi

Recomandări privind politica în materie de parole: ce trebuie să știi

Recomandări privind politica în materie de parole: ce trebuie să știi

  • acum 3 săptămâni
  • postat de: NSHOST

Complexitatea, unicitatea și schimbarea periodică au fost mult timp cele mai bune practici pentru parole, dar noile recomandări au dus la schimbări în ceea ce privește politicile de parole.

Parolele trebuiau să rezolve problema autentificării. În schimb, acestea au devenit o sursă de probleme semnificative. Utilizatorii continuă să aleagă parole slabe sau ușor de ghicit și să refolosească aceleași parole pe mai multe servicii. De asemenea, aceștia au tendința de a pune la îndoială restricțiile: "Care dintre aceste reguli sunt rezonabile? Care sunt cele mai eficiente? De ce avem toate aceste cerințe?" 

Politicile privind parolele continuă să evolueze, chiar dacă atitudinea utilizatorilor nu a evoluat. Experții sugerează să se pună mai mult accent pe verificarea parolelor în raport cu listele de parole slabe cunoscute și să se concentreze mai puțin pe politicile de expirare a parolelor. Iată care sunt cele mai bune practici utilizate în prezent:

  • Stabilirea cerințelor de complexitate, cum ar fi respectarea unui minim de caractere, și utilizarea anumitor tipuri de caractere (majuscule mixte, cifre și caractere speciale).
  • Împiedicarea utilizatorilor să aleagă parolele folosite anterior.
  • Solicitarea ca parolele să fie schimbate periodic și poate chiar frecvent.

Cercetările demonstrează că și o parolă de opt caractere - cu un amestec sănătos de cifre, litere mari, litere mici și simboluri - poate fi spartă în decurs de opt ore de către un hacker obișnuit. Combinații mai scurte sau mai puțin complexe pot fi sparte instantaneu sau în câteva minute de către orice hacker care știe ce face, chiar dacă acesta folosește doar echipamente de bază.

Între timp, o parolă cu lungimea de 18 caractere – și care utilizează un amestec de numere, litere mici și majuscule și simboluri – ar putea dura până la 438 de trilioane de ani pentru ca hackerul mediu să spargă, potrivit Hive Systems.

 

Standarde de parole

Institutul Național de Standarde și Tehnologie (National Institute of Standards and Technology - NIST) a abordat problema politicilor privind parolele prin publicarea publicației speciale NIST 800-63B (Digital Identity Guidelines - Authentication and Lifecycle Management). NIST și-a actualizat standardele, iar cea mai importantă cerință nouă: sistemul trebuie să verifice parolele posibile în raport cu "o listă care conține valori cunoscute ca fiind utilizate în mod obișnuit, așteptate sau compromise". Tipurile de parole care ar putea fi nepermise pe baza unor astfel de verificări includ:

  • Parolele obținute în urma unor încălcări anterioare
  • Cuvinte obișnuite din dicționar
  • Caractere repetitive sau secvențiale (de exemplu, aaaaaa sau 1234abcd)
  • Cuvinte specifice contextului, cum ar fi numele serviciului, numele de utilizator și derivate ale acestora

Pentru a încurca problema, recomandările NIST nu sunt solicitate în mod specific; nu există nicio organizație al cărei rol să aplice aceste politici, iar orientările NIST recomandă în mod explicit să nu se impună cerințe de complexitate.

Restul recomandărilor NIST sunt măsuri inteligente bazate pe bunul simț și pe experiența din lumea reală. De exemplu:

  • Sistemul ar trebui să permită funcționalitatea de lipire la introducerea parolei, pentru a facilita utilizarea managerilor de parole.
  • Parolele nu ar trebui să fie stocate necriptate în bazele de date; sistemul ar trebui să stocheze o cheie de criptare care să știe să cripteze și decripteze parolele salvate în format criptat în baza de date.
  • Funcția de hashing bcrypt ne permite să construim o platformă de securitate a parolelor care se scalează în funcție de sistem și întotdeauna hashează parolele cu o eficiență foarte bună.
  • În cele din urmă, așa cum am susținut de mult timp, sistemul ar trebui să permită utilizatorului să afișeze parola pe măsură ce este introdusă, mai degrabă decât doar asteriscuri sau puncte. De obicei, această opțiune este invocată făcând clic pe o pictogramă cu un glob ocular.

 

Politici de parole Windows

Deoarece parola de domeniu Windows este principala parolă pentru utilizatori în atât de multe întreprinderi, politicile implicite pentru Windows reprezintă, cel puțin, punctul de plecare pentru majoritatea organizațiilor. Pentru multe dintre ele, nu există niciun motiv evident pentru a merge mai departe de valorile implicite.

Setările implicite Windows nu sunt neapărat aceleași cu cele din Windows Security Baselines, care sunt grupuri de setări de politici "bazate pe feedback-ul primit de la echipele de inginerie de securitate Microsoft, grupurile de produse, partenerii și clienții". Bazele de referință sunt incluse în Microsoft Security Compliance Toolkit, care include, de asemenea, instrumente legate de politici pentru administratori. Liniile de bază de securitate servesc ca o altă setare foarte comună, în virtutea faptului că este o configurație aprobată de Microsoft.

Cele mai interesante setări, cel puțin recent, sunt vârsta minimă și maximă a parolelor. Vârsta minimă este numărul de zile înainte ca utilizatorii să aibă voie să schimbe o parolă. Cea maximă este numărul de zile după care utilizatorii trebuie să își schimbe parola. Valoarea minimă implicită este de o zi, atât pentru Windows, cât și pentru bazele de securitate; valoarea maximă este de 42 de zile pentru Windows și, până de curând, de 60 de zile în bazele de securitate. Aceste setări sunt activate în aproape toate configurațiile implicite.

 

Complexitatea parolelor: Regulile de bază

Care este politica implicită de complexitate a parolelor din Windows?

  • Parola nu poate conține numele contului sau variații ale acestuia.
  • Ea trebuie să conțină caractere din trei dintre următoarele cinci grupuri (citate din documentul Microsoft):
  • Litere majuscule din limbile europene (de la A la Z, cu semne diacritice, caractere grecești și chirilice)
  • Litere minuscule din limbile europene (de la A la Z, S ascuțit, cu semne diacritice, caractere grecești și chirilice).
  • Cifre de bază 10 (de la 0 la 9); caractere nealfanumerice (caractere speciale): (~!@#$%^&*_-+=`|\\(){}[]:;"'<>,.?/)
  • Simbolurile monetare, cum ar fi euro sau lira sterlină britanică, nu sunt considerate caractere speciale pentru această setare de politică.
  • Orice caracter Unicode care este clasificat ca fiind un caracter alfabetic, dar care nu este majusculă sau minusculă. Aceasta include caracterele Unicode din limbile asiatice.

 

Toți cei care au avut de-a face cu aceste politici, care sunt activate în Security Baselines, știu cât de dureroase pot fi. După cum se spune în documentul Microsoft, activarea politicilor "poate provoca unele apeluri suplimentare la biroul de asistență pentru conturi blocate, deoarece utilizatorii s-ar putea să nu fie obișnuiți să aibă parole care conțin alte caractere decât cele din alfabet. Cu toate acestea, această setare a politicii este suficient de liberală pentru ca toți utilizatorii să poată respecta cerințele cu o curbă de învățare minoră".

Cerința implicită privind lungimea parolei este de șapte caractere, dar în alte părți Microsoft recomandă opt caractere, la fel ca și cerințele NIST. În Security Baselines, lungimea minimă a parolei este de 14 caractere.

 

Dincolo de parolele interzise

Listele de parole interzise sunt utile, dar există o altă modalitate mai bună. Have I Been Pwned este un site care ține evidența încălcărilor majore ale ID-urilor de utilizator și ale parolelor și vă permite să verificați dacă  datele dumneavoastră de acces au fost compromise.

Site-ul a fost construit și este întreținut de Troy Hunt, director regional Microsoft și un cunoscut expert în securitate. Are date despre 369 de site-uri care au suferit breșe și 7.860.402.548 de conturi care au suferit breșe. Site-ul are, de asemenea, un API care permite să verificați dacă un anumit cont a fost spart sau dacă o anumită parolă există în baza de date a încălcărilor.

Dacă doriți să folosiți API-ul Pwned Passwords, vă puteți baza pe unul dintre numeroasele proiecte care fac deja acest lucru. De obicei, acestea creează o interfață nativă de mediu pentru API, cum ar fi cu numeroasele biblioteci PHP, scripturi Python și Perl, plugin-uri WordPress și clienți Java, precum și o rețetă IFTTT.

Pwned Passwords are un număr mare de parole care ar satisface orice set de reguli de complexitate.

 

Cele mai bune practici privind politica de parole: Lecții pentru lideri

  • Rămâneți la curent cu recomandările pentru crearea și menținerea unor parole sigure.
  • Minimizați oportunitățile de eșecuri ale parolelor utilizatorilor.
  • Folosiți bazele de date publice privind eșecurile de parole și încălcările de cont.