Pamirškite „P@ssw0rd1!“: kodėl jūsų slaptažodžių politika yra saugumo skylė, o ne skydas
Jei jūsų įmonėje slaptažodžių politika vis dar reikalauja „didžiosios raidės, skaičiaus, specialaus simbolio ir keitimo kas 90 dienų“ – turiu blogų žinių. Jūs ne saugojatės, o kuriate iliuziją, kurią programišiai dievina. Šiandienos kibernetinio saugumo standartas nebėra „sudėtingumas“. Tai – entropija (nenuspėjamumas) ir atsparumas. Štai kodėl laikas išmesti senas taisykles į šiukšlyną ir pereiti prie NIST SP 800-63B Rev. 4 rekomendacijų.
SLAPTAZODZIAI
Aurimas Cerniakovas
4/9/20261 min skaitymo
Kodėl sena „sudėtingumo“ politika yra visiška nesąmonė?
Problema paprasta: žmogaus smegenys nėra sukurtos generuoti atsitiktinumą. Kai priverčiame vartotoją kurti sudėtingą slaptažodį, jis elgiasi nuspėjamai:
Šablonai: Pirmoji raidė visada didžioji, pabaigoje – šauktukas ar skaičius (pvz., Vasara2024!).
„Inkrementinis“ saugumas: Kai liepiate slaptažodį pasikeisti, Vasara2024! tiesiog tampa Vasara2024? arba Ruduo2024!. Programišiams užtenka milisekundžių šiam loginiam šuoliui atspėti.
Užrašų lapeliai: Per sudėtingi slaptažodžiai nugula po klaviatūromis arba tekstiniuose failuose darbalaukyje.
Rezultatas: Jūs erzinate vartotojus, bet realaus saugumo nepridedate nė per milimetrą.
NIST SP 800-63b: Naujoji realybė
NIST (JAV Nacionalinis standartų ir technologijų institutas) atliko tyrimus ir suprato: saugumą užtikrina ne simbolių miksas, o ilgis ir nenuspėjamumas.
Nauja versija padidina minimalų slaptažodžio ilgį: kai slaptažodis yra vienintelis autentifikavimo būdas, sistemas privaloma konfigūruoti minimaliai 15 simbolių ilgiui. Taip pat panaikintas priverstinis periodinis slaptažodžių keitimas – slaptažodis keičiamas tik tada, kai žinoma, kad jis buvo atskleistas ar kompromituotas. Enzoic
NIST SP 800-63B Rev. 4 įtaka yra globali: OWASP tiesiogiai remiasi šiuo dokumentu, o Vokietijos BSI ir Prancūzijos ANSSI palaipsniui derina savo rekomendacijas su NIST gairėmis.
Ilgis laimi prieš sudėtingumą
Matematiškai ilgas, bet paprastas slaptažodis yra daug sunkiau nulaužiamas nei trumpas ir „gudrus“.
P@ssw0rd!1 – nulaužiamas per kelias sekundes brute-force metodu.
melynastraktoriusvaziuojagreitai – nulaužti prireiktų tūkstančių metų.
Didesnė simbolių erdvė tiesiogiai didina entropiją. Jei slaptažodis sudarytas iš $L$ simbolių, o galimų simbolių rinkinys yra $R$, entropija $E$ skaičiuojama:
$$E = L \times \log_2(R)$$
Padidinę ilgį ($L$), saugumą padidinate eksponentiškai daugiau, nei bandydami įterpti vieną simbolį į trumpą eilutę.
Stop priverstiniam keitimui
NIST rekomendacija aiški: neverskite vartotojų keisti slaptažodžių, nebent yra įtarimas, kad jie buvo pavogti. Priverstinis keitimas tik skatina vartotojus rinktis silpnesnius, lengviau įsimenamus variantus.
Tikrinimas pagal „Juoduosius sąrašus“
Vietoj to, kad reikalautumėte grotelių ar dolerio ženklų, NIST siūlo tikrinti, ar vartotojo pasirinktas slaptažodis nėra nutekėjusių slaptažodžių duomenų bazėse (pvz., Have I Been Pwned). Jei vartotojas bando naudoti 123456 ar Password123 – sistema tiesiog neturi leisti jo patvirtinti.