Panduan NIST 2017 Merubah Aturan Sandi Usang

Panduan NIST 2017 Merubah Aturan Sandi Usang

Beroperasi di dalam Departemen Perdagangan A.S., Institut Standar dan Teknologi Nasional (NIST) mengembangkan Standar Pemrosesan Informasi Federal yang harus dipatuhi oleh lembaga federal. Meskipun aturan NIST tidak wajib untuk organisasi nonpemerintah, aturan tersebut sering kali menjadi dasar untuk rekomendasi praktik terbaik di seluruh industri keamanan dan diintegrasikan ke dalam standar lain.

Publikasi Khusus NIST 800 – 63 A diterbitkan di 2003. Primer kata sandi disarankan menggunakan kombinasi angka, karakter tidak jelas, huruf kapital dan mengubahnya secara teratur. Dalam wawancara baru-baru ini dengan The Wall Street Journal, penulis primer, Bill Burr, menyatakan: “Banyak hal yang saya lakukan sekarang saya sesali.” Mengapa dia menyesal? Saran tersebut sebagian besar salah dan berdampak negatif pada kegunaan bagi pengguna akhir, termasuk kelelahan sandi. Penjahat dunia maya telah mencuri dan memposting ratusan juta kata sandi online sejak 2003. Ledakan pelanggaran data telah memberi NIST dan peneliti lain data yang diperlukan untuk melihat bagaimana kata sandi kami sesuai dengan alat yang digunakan peretas untuk memecahkannya.

Sebuah studi 2010 yang dilakukan di Florida Universitas Negeri menemukan bahwa ketika diminta untuk membuat atau memperbarui kata sandi, sebagian besar pengguna hanya menggunakan huruf besar di kata sandi mereka dan menambahkan “1” atau “!”, Membuat kata sandi tidak sulit untuk dipecahkan. Saat angka diperlukan dalam kata sandi, 70% pengguna cukup menambahkan angka sebelum atau sesudah kata sandi mereka. Jenis pola ini dikenal baik oleh para peretas dan mereka menyesuaikan alat mereka sesuai dengan itu. (Berita menarik yang menarik: Kartunis Randall Munroe menghitung akan memakan waktu 550 bertahun-tahun untuk memecahkan kata sandi “bahan pokok baterai kuda yang benar” semuanya berjalan bersamaan sebagai satu kata versus kata sandi seperti “Tr0ub4dor & amp; 3” yang dapat dibobol 3 hari.)

Jumlah rata-rata layanan yang terdaftar ke satu akun email lebih dari 40, tetapi jumlah rata-rata kata sandi yang berbeda untuk akun ini adalah 5. Lebih dari sepertiga orang lupa kata sandi mereka setiap minggu, mengharuskan mereka untuk disetel ulang – memasukkan panjang minimum, persyaratan karakter, penyetelan ulang kata sandi wajib setiap 90 – hari dan menjadi jelas mengapa kami sering menggunakan kembali kata sandi, gabungkan satu sama lain dengan membuat perubahan kecil pada yang sekarang atau gunakan menulis kata sandi pada catatan tempel.

Rahasia Hafalan dan Pedoman Identitas Digital NIST lainnya

Publikasi Khusus 800 – 63 B menunjukkan pergeseran dalam strategi terkait kata sandi dan kebijakan penggunaan, khususnya menyarankan untuk ab andon aturan kata sandi kompleks yang sudah ketinggalan zaman demi kemudahan penggunaan. Dokumen tersebut juga menyertakan moniker baru untuk istilah kata sandi – Rahasia Hafalan yang didefinisikan sebagai: “Pengautentikasi Rahasia Hafal (biasanya disebut sebagai kata sandi atau, jika numerik, PIN) adalah nilai rahasia yang dimaksudkan untuk dipilih dan diingat oleh pengguna. Rahasia yang dihafal harus memiliki kerumitan dan kerahasiaan yang memadai sehingga tidak praktis bagi penyerang untuk menebak atau menemukan nilai rahasia yang benar. “

Praktik terbaik yang diperbarui untuk membuat, mengubah, atau memperbarui yang diingat rahasia meliputi:

Izinkan setidaknya 64 karakter untuk mendukung penggunaan frasa sandi, salin dan tempel. Dorong pengguna untuk membuat rahasia hafalan selama yang mereka inginkan, menggunakan karakter apa pun yang mereka suka (menimbulkan spasi), sehingga membantu menghafal.

Jangan minta rahasia yang dihafal diubah secara sembarangan (misalnya, secara berkala) kecuali ada permintaan pengguna atau bukti kompromi.

Jangan memaksakan aturan komposisi lain (mis. campuran dari tipe karakter yang berbeda) pada rahasia yang diingat.

Batasan Sandi:

Melainkan daripada menghilangkan batasan kata sandi sepenuhnya, pedoman NIST merekomendasikan untuk beralih ke 3 batasan kata sandi yang sebenarnya bermanfaat:

Melarang kata sandi yang umum digunakan: Standar mengharuskan setiap kata sandi baru diperiksa terhadap “daftar hitam” yang dapat mencakup kata-kata berulang, string berurutan, variasi pada nama situs web dan kata sandi yang diambil dalam pelanggaran keamanan sebelumnya. (hasibeenpwned.com telah memperluas penawaran mereka untuk menyertakan bagian kata sandi pwned bagi pengguna untuk memeriksa apakah kata sandi telah terungkap dalam pelanggaran data)

Jangan gunakan otentikasi berbasis pengetahuan atau petunjuk kata sandi: Mengizinkan pengguna untuk menjawab pertanyaan pribadi seperti “Apa sekolah menengah yang Anda hadiri” untuk menyetel ulang sandi sekarang dilarang, karena jawaban atas pertanyaan dan petunjuk ini dapat dengan mudah ditemukan melalui media sosial atau manipulasi psikologis.

Batasi jumlah percobaan kata sandi: Ada perbedaan besar antara jumlah tebakan, bahkan kebutuhan pengguna yang paling rawan kesalahan ketik dan jumlah tebakan yang dibutuhkan penyerang.

Item lain yang ditangani oleh NIST termasuk kata sandi baru standar enkripsi dan otentikasi multi-faktor untuk layanan apa pun yang melibatkan informasi sensitif. Publikasi lengkap dapat dilihat di situs web NIST.

Kami senang melihat standar diperbarui untuk memudahkan pengguna membuat kata sandi yang lebih kuat dan kami tahu setidaknya beberapa dari Anda akan senang tidak mendengar departemen TI Anda setiap 90 hari memberi tahu Anda bahwa inilah saatnya untuk mengubah kata sandi Anda.