Tech

Nagy változások jönnek jelszavak terén

A jelszavak világnapja (World Password Day) alkalmából az ESET szakemberei összeszedték a legfontosabb tudnivalókat a belépőkódokat érintő, a közeljövőben várható szabályozásról. A jövőben már emojikat és szóközöket is tehetünk a jelszavakba, mindeközben sok eddig ismert szabály megszűnik.

Május elsején lezárult a NIST (az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézete) által megfogalmazott új digitális személyazonossági irányelvek (Digital Identity Guidelines) nyilvános vitája, és az anyag készen áll a véglegesítésre. A tervezet új, továbbfejlesztett jelszókövetelményeket tartalmaz, megváltoztatva az eddigi szokásokat – olvasható az ESET kiberbiztonsági cég közleményében.

Bár az iránymutatások csak az amerikai szövetségi ügynökségekre nézve kötelezőek, a szervezet által megfogalmazott feltételek és kritériumok az egész iparág számára irányelveknek számítanak, így idővel átvehetik az Egyesült Államokon kívül is. Mit érdemes tudni?

Többé nincsenek kötelező szabályok a jelszavak összetételéről

Visszavonásra kerülnének a jelszavak összetételéről szóló szabályok, mint például a kis és nagybetűk, számok és speciális karakterek kötelező szerepeltetése a belépőkódokban. Ennek oka, hogy ezek a szabályok elvétve eredményeznek erősebb jelszavakat, sokkal inkább gyenge, és/vagy nehezen megjegyezhető kódok generálására veszik rá a felhasználókat.

Forrás: Europress

Megszűnik a rendszeres kötelező jelszóváltoztatás

Az új szabályozás azt tanácsolja, hogy ne kérjenek rendszeres jelszóváltoztatást a felhasználóktól, hacsak ők maguk nem kezdeményezik, vagy ha valamilyen adatvesztés történt a szervezetnél. Ennek oka, hogy a felhasználóknak nincs türelmük állandóan új, erősebb jelszavakat kitalálni, így ez a megoldás több kárt okoz, mint hasznot.

Megszűnik a jelszóemlékeztető és a tudás alapú azonosítás

A jelszóemlékeztetők és a tudás alapú azonosítás segíthet az elfelejtett jelszavak megtalálásában, azonban ezek az adatok nagy értéket jelentenek a kiberbűnözők számára is, így egyre több oldalon szűnik meg ezek használata.

Több választható karakter

Jelszó beállításakor a felhasználók szabadon választhatnak majd minden nyomtatható ASCII és UNICODE karakterből, beleértve a hangulatjeleket (emoji) is.A felhasználók számára lehetővé kell tenni a szóközök használatát is, amelyek a jelmondatok természetes részét alkotják, és gyakran a hagyományos jelszavak ajánlott alternatívái

8 karakter minimális hosszúság

Az új irányelvek szerint a jelszavak hossza kulcsfontosságú tényező a kódok erősségében. A megfelelő jelszónak minimum 8 karakternek, maximum 64 karakter hosszúságúnak kell lennie.Az ESET szakemberei azonban felhívják a figyelmet arra, hogy a jelszavak feltörésének idejében 11 karaktertől történik hatalmas ugrás, és a kódok megfejtése ekkor már szuperszámítógéppel is évekbe telne, így érdemes legalább ilyen hosszú jelszavakat használni.

Az egyfaktoros azonosítás nem elég

Nem számít, hogy milyen jó jelszavakat adunk, mert a kódunk továbbra is csak egyetlen áthatolandó akadályt jelent az adataink és a kiberbűnözők között. A biztonságos fiókok esetében még egy rétegre szükség van a hatékony védelemhez, ezért a NIST a kétfaktoros azonosítást javasolja minden helyen, ahol elérhető a megoldás. Az új ajánlások között szerepel az is, hogy az SMS üzeneteket ne használják többet a kétfaktoros azonosításra, a szakemberek inkább a szoftver által generált, egyszer használatos jelszavakat javasolják.

Ajánlott videó

Nézd meg a legfrissebb cikkeinket a címlapon!
Olvasói sztorik