0
Video: Varför du behöver ett lösenord manager
Mannen som drog upp allmänt använd lösenord regler som nu betraktas som fel ångrar att han har skapat dem.
Om du någonsin undrat varför du är tvungen att plocka svårt att komma ihåg lösenord med en blandning av versaler, gemener, siffror, och en symbol — och bad sedan att ändra dem varje månad-det är förmodligen på grund av att en utvecklare någonstans följt vägledning från en 2003-dokument från AMERIKANSKA National Institute of Standards Technology (NIST).
Att åtta-sidigt dokument ‘NIST Special Publication 800-63. Bilaga A ” var skriven av Bill Burr, nu pensionerad 72-årig tidigare chef vid institutet.
“Mycket av vad jag gjorde som jag nu ångrar,” Burr berättade Wall Street Journal.
Också: 13 teknik som är säkrare än lösenord | Denna billiga lösenord skadliga program som stjäl precis lagt till din säkerhet huvudvärk | Cyberkrig: En guide till den skrämmande framtiden för online-konflikten
NIST slutfört en omskrivning av lösenord riktlinjer för förvaltningen i juni, att vända många av de rekommendationer som ingår i dokumentet han skrev.
Det slutade med att rekommendera periodiska ändringar av lösenord och lösenord komplexitet krav, samtidigt införa ett krav på att kontrollera att nya lösenord inte äventyras eller ofta används, som “1234567” eller “lösenord”, som alltid dyker upp i brott eftersom de vanligaste lösenorden.
Som det reviderade dokumentet kommentarer, analyser av utsatta lösenord, som nu uppgår till flera hundra miljoner i haveibeenpwned databas, visa regler kring komplexitet och byta lösenord inte producera de fördelar som de var tänkt till, men att göra med system fruktansvärt.
Till exempel, en användare benägna att välja “lösenord” kan du välja “Password1” om det krävs för att innehålla ett nummer och bokstav. Under tiden, periodiska ändringar av lösenord kan göra dem svåra att komma ihåg för de som behöver tillgång till dussintals av system, som kanske då slösa tid på att begära en återställning av lösenord när de har glömt bort dem.
Burr, en före detta stordator programmerare för Armén, berättade de papper han gjorde faktiskt vill skapa lösenord vägledning baserad på verkliga lösenord, men det var inte mycket som finns i 2003. Han till och med frågade NIST dator administratörer för att titta på riktiga lösenord på deras nätverk, men slogs tillbaka.
Som ett resultat, han lutade sig till stor del på empiriska data på en dator lösenord säkerhet whitepaper från 1980-talet.
Enligt den nya vägledningen, administratörer ansvarar för att kontrollera nyskapade lösenord uppmanas att kontrollera dem mot lösenord exponeras i tidigare överträdelser, ordbok ord, mottaglig och sekventiell tecken och ord som innehåller namnet på den användare eller service.
Den enda gången som administratörer bör tvinga fram en förändring är nu om det finns bevis för ett lösenord har brutits. Och för att stödja längre ett slumpmässigt lösenord, det rekommenderar att admins ska låta användare klistra in sina lösenord, som stöder användning av lösenord chefer.
Vägledningen behandlar även längd för lösenord, vilket tyder på att användarna vara skyldig att välja en som är minst åtta tecken långa, samtidigt som systemet ska stödja lösenord på minst 64 tecken.
Tidigare täckning
13 teknik som är säkrare än lösenord
Ven skannar, öga söker, fingeravtryck skannar och mer upp säkerheten spel
Lösenord är inte tillräckligt: Hur för att slå på två-faktor autentisering
Två-faktor autentisering är inte längre en valfri funktion. Om du använder moderna molntjänster, är detta extra lager av säkerhet kan dramatiskt minska risken för ett fientligt övertagande. Här är hur att komma igång.
Mer om lösenord
Är “admin” lösenord lämna ditt IoT enhet sårbart för it-angrepp?South Australia uppgift att utarbeta lagstiftning för att tvinga lösenord ut av suspectsThis billiga lösenord skadliga program som stjäl precis lagt till din säkerhet headachesPassword manager OneLogin hackad, utsätta känsliga kund dataFind reda på om ditt lösenord har blivit hackad (CNET)i slutet av lösenord? Inte i den nära framtiden (TechRepublic)
0