0
Video: Hvorfor skal du bruge en password manager
Den mand, der trak op udbredte adgangskode regler, der er nu betragtes som forkert, beklager, at de nogensinde har skabt dem.
Hvis du har nogensinde undret dig over, hvorfor du er tvunget til at vælge svært-at-huske passwords med en blanding af store bogstaver, små bogstaver, tal og et symbol — og derefter bedt om at ændre dem hver måned-det er formentlig, fordi en udvikler et eller andet sted, der blev fulgt på vejledning fra en 2003-dokument fra det AMERIKANSKE National Institute of Standards Technology (NIST).
Som otte-siders dokument ‘NIST Special Publication 800-63. Tillæg A’ blev skrevet af Bill Burr, nu pensioneret 72-årige tidligere leder ved institut.
“Meget af hvad jeg gjorde, jeg nu fortryder,” Grat fortalte The Wall Street Journal.
Også: 13-teknologier, der er mere sikre end passwords | Denne billige password-stjæle malware bare tilføjet til din sikkerhed hovedpine | Cyberkrig: En guide til den skræmmende fremtidige online konflikt
NIST har færdiggjort en omskrivning af password retningslinjer for forvaltningen i juni, hvilket mange af de anbefalinger, der er indeholdt i dokumentet, han skrev.
Det gjorde det væk med at anbefale periodiske ændringer af adgangskode og password kompleksitet krav, samtidig med at der indføres et krav om at kontrollere, at de nye adgangskoder ikke er kompromitteret eller et almindeligt brugt, som “1234567” eller “password”, som altid dukker op i brud, som den mest brugte adgangskoder.
Som det reviderede dokument notater, analyser af udsatte adgangskoder, som nu flere hundrede millioner i haveibeenpwned database, vis reglerne omkring kompleksitet og ændring af adgangskoder ikke producere de ydelser, de var tænkt til, men alligevel gøre brug af systemer forfærdeligt.
For eksempel, at en bruger tilbøjelig til at vælge “password” kan du vælge ‘Password1’, hvis det kræves, at en række og store bogstaver. I mellemtiden, periodiske ændringer af adgangskode kan gøre dem svære at huske for dem, der kræver adgang til snesevis af systemer, der kan så spilde tid på at anmode om en nulstilling af adgangskode, når de har glemt dem.
Burr, en tidligere mainframe programmør for Hæren, fortalte avisen gjorde han rent faktisk ønsker at oprette en adgangskode vejledning baseret på den virkelige verden passwords, men der var ikke meget til stede i 2003. Han selv spurgte NIST computer admins til at se på reelle passwords på deres netværk, men blev slået tilbage.
Som et resultat, han lænede sig i høj grad på empiriske data i en computer password sikkerhed whitepaper fra 1980’erne.
Under den nye vejledning, admins, der er ansvarlige for kontrol af nyoprettede password rådes til at kontrollere dem mod adgangskoder udsat i tidligere overtrædelser, ord fra ordbogen, modtagelig og sekventiel tegn og ord, der indeholder navnet på den bruger eller service.
Den eneste gang, at admins skal tvinge en ændring nu, er, hvis der er dokumentation for et password er blevet overtrådt. Og til at støtte længere tilfældige adgangskoder, som det anbefaler, at administratorer bør lade brugerne indsætte deres password, opbakning brug af password ledere.
Vejledningen omhandler også password længde, hvilket tyder på, at brugerne være forpligtet til at vælge en, der er på mindst otte tegn i længden, mens systemet skal støtte passwords mindst 64 tegn.
Tidligere dækning
13 teknologier, der er sikrere end adgangskoder
Vene scanner, øje scanner til fingeraftryk scanninger og mere op sikkerheden spil
Adgangskoder er ikke nok: Sådan slår du to-faktor autentificering
To-faktor-autentificering er ikke længere en valgfri funktion. Hvis du bruger moderne cloud-tjenester, er dette ekstra lag af sikkerhed, kan dramatisk reducere risikoen for en fjendtlig overtagelse. Her er, hvordan at komme i gang.
Mere om passwords
Er ‘admin’ password forlader din IoT enhed sårbare over for cyberangreb?South Australia efter sigende udarbejdelse af lovgivning at tvinge passwords ud af suspectsThis billige password-stjæle malware bare tilføjet til din sikkerhed headachesPassword manager OneLogin hacket, og udsætter følsomme kundeoplysninger dataFind ud af, hvis din adgangskode er blevet hacket (CNET)slutningen af passwords? Ikke i den nærmeste fremtid (TechRepublic)
0