Végre befellegzik a jelszómizériának?

Olyan új irányelvek megjelenésére számíthatunk, amelyek az eddigi jelszókezelést könnyebbé, ugyanakkor biztonságosabbá tehetik.
 

Május elsején lezárult az amerikai NIST (National Institute of Standards and Technology) által jegyzett új, digitális azonosságkezelési irányelvek (Digital Identity Guidelines) nyilvános vitája. Az anyag készen áll a véglegesítésre. A tervezet alapjaiban átgondolt jelszókövetelményeket tartalmaz, némileg megváltoztatva az eddigi szemléletet és szokásokat.
 
Bár az iránymutatások csak az amerikai szövetségi ügynökségekre nézve lesznek kötelezőek, azonban vélhetőleg jelentős hatást fognak gyakorolni más szervezetekre, vállalatokra is, legalábbis, amelyek követik a legjobb biztonsági gyakorlatokat. Az ESET szakemberei szerint az alábbi pontok esetében történik majd észrevehető változás a jelszavak világában:
 
Nincs többé kötelező szabály a jelszavak összetételéről
 
Visszavonásra kerülnek a jelszavak összetételével összefüggő szabályok, mint például a kis- és nagybetűk, számok és speciális karakterek kötelező szerepeltetése. Ennek oka, hogy ezek a szabályok korántsem mindig eredményeznek erősebb jelszavakat, sokkal inkább gyenge és/vagy nehezen megjegyezhető kódok generálására veszik rá a felhasználókat, amiket aztán nem biztonságos módon tárolnak.
 
Feketelistázott jelszavak
 
A jelszavak összetételének szabályozása helyett az NIST feketelista használatát javasolja, amely tartalmazza a leggyakrabban használt és/vagy korábban kiszivárgott jelszavakat. Így ezek megadására nem lenne lehetőség.
 
Megszűnik a rendszeres és kötelező jelszóváltoztatás
 
Az új szabályozás azt tanácsolja, hogy az alkalmazások, szolgáltatások ne kérjenek rendszeres jelszóváltoztatást a felhasználóktól, hacsak ők maguk nem kezdeményezik. Ugyanakkor továbbra is szükség lehet a kötelezően előírt jelszómódosításra például akkor, ha egy szervezetet támadás, illetve adatvesztés ér. Az NIST úgy látja, hogy a felhasználóknak nincs türelmük állandóan új, erősebb jelszavakat kitalálni, így ez a megoldás több kárt okoz, mint hasznot.
 
Megszűnik a jelszóemlékeztető és a tudás alapú azonosítás
 
A jelszóemlékeztetők és a tudás alapú azonosítás segíthet az elfelejtett jelszavak módosításában. Azonban ezek az adatok nagy értéket jelentenek a kiberbűnözők számára is, így egyre több oldalon szűnik majd meg ezek használata.
 
Több választható karakter
 
Jelszó beállításakor a felhasználók szabadon választhatnak majd minden nyomtatható ASCII és UNICODE karakterből, beleértve a hangulatjeleket is. Az ajánlás tervezete szerint lehetővé kell tenni a szóközök használatát is, amelyek a jelmondatok természetes részét képezik.
 
8 karakter a minimális hosszúság
 
Az új irányelvek szerint a jelszavak hossza kulcsfontosságú tényező a kódok erősségében. Egy megfelelő jelszónak minimum 8, maximum 64 karakter hosszúságúnak kell lennie. Az ESET szakemberei azonban felhívták a figyelmet arra, hogy a feltöréshez szükséges idő tekintetében 11 karaktertől történik igazán komoly ugrás, így érdemes legalább ilyen hosszú jelszavakat használni.
 
Az egyfaktoros azonosítás továbbra sem elég
 
A felhasználói fiókok és a védett erőforrások biztonsága érdekében a jövőben is szükség lesz a többfaktoros azonosításra. Az új ajánlások között szerepel az is, hogy az SMS üzeneteket (elsősorban mobilbiztonsági kockázatok miatt) a szervezetek ne forszírozzák a jövőben kétfaktoros azonosításhoz. A szakemberek inkább a szoftveres tokenek vagy az erre a célra kifejlesztett alkalmazások által generált, egyszer használatos jelszavak használatát javasolják.
 
A NIST célja, hogy az új irányelvekkel úgy tegye biztonságosabbá a jelszavak kezelését, hogy közben az azonosítási folyamat felhasználóbarátabbá válik. Természetesen e téren sem könnyű megtalálni az érzékeny egyensúlyt, de az új szabályok láthatóan figyelembe veszik a sok éve kifogásolt jelszókezelési módszerek kockázatait, nehézségeit. Viszont az is biztosra vehető, hogy az ajánlások csak fokozatosan fognak megjelenni a különféle netes szolgáltatások, illetve alkalmazások esetében, hiszen a fejlesztőknek, szolgáltatóknak is újra kell értékelniük a kockázatokat, és azoknak megfelelően kell átalakítaniuk a rendszereiket.