Posted on Leave a comment

Pedoman NIST 2017 Merubah Aturan Kata Sandi Usang

[ad_1]

Beroperasi di Departemen Perdagangan AS, Institut Nasional Standar dan Teknologi (NIST) mengembangkan Standar Pemrosesan Informasi Federal yang harus dipatuhi oleh agen federal. Meskipun aturan NIST tidak wajib untuk organisasi non-pemerintah, mereka sering menjadi dasar untuk rekomendasi praktik terbaik di seluruh industri keamanan dan diintegrasikan ke dalam standar lain.

Publikasi Khusus NIST 800-63A diterbitkan pada tahun 2003. Kata sandi primer direkomendasikan menggunakan kombinasi angka, karakter yang tidak jelas, huruf kapital dan untuk mengubahnya secara teratur. Dalam wawancara baru-baru ini dengan The Wall Street Journal, penulis primer, Bill Burr, menyatakan: “Banyak dari apa yang saya lakukan sekarang saya sesali.” Mengapa dia menyesalinya? Saran tersebut umumnya salah dan berdampak negatif pada kami bagi pengguna akhir, termasuk kelelahan kata sandi. Penjahat dunia maya telah mencuri dan memposting ratusan juta kata sandi online sejak tahun 2003. Ledakan pelanggaran data telah memberi NIST dan peneliti lain data yang diperlukan untuk melihat bagaimana kata sandi kami bertahan terhadap alat yang digunakan peretas untuk membobolnya.

Sebuah studi tahun 2010 yang dilakukan di Florida State University menemukan bahwa ketika diminta untuk membuat atau memperbarui kata sandi, sebagian besar pengguna hanya menggunakan huruf besar di kata sandi mereka dan menambahkan “1” atau “!”, membuat kata sandi tidak sulit untuk dipecahkan. Ketika angka diperlukan dalam kata sandi, 70% pengguna hanya menambahkan angka sebelum atau sesudah kata sandi mereka. Jenis pola ini dikenal oleh peretas dan mereka menyesuaikan alat mereka dengan tepat. (Informasi menarik yang menarik: Kartunis Randall Munroe menghitung bahwa dibutuhkan 550 tahun untuk memecahkan kata sandi “staple baterai kuda yang benar” semuanya berjalan bersama sebagai satu kata versus kata sandi seperti “Tr0ub4dor&3” yang dapat dipecahkan dalam 3 hari.)

Jumlah rata-rata layanan yang terdaftar untuk satu akun email lebih dari 40, tetapi jumlah rata-rata kata sandi yang berbeda untuk akun ini adalah 5. Lebih dari sepertiga orang lupa kata sandi mereka setiap minggu, mengharuskan mereka untuk disetel ulang – panjangnya minimum , persyaratan karakter, pengaturan ulang kata sandi setiap kewajiban 90 hari dan menjadi jelas mengapa kami sering menggunakan kembali kata sandi, menyatukannya dengan membuat perubahan kecil pada kata sandi kami saat ini atau terpaksa menuliskan kata sandi di catatan tempel.

Rahasia yang Dihafal dan Pedoman Identitas Digital NIST lainnya

Publikasi Khusus 800-63B menunjukkan perubahan strategi terkait kata sandi dan kebijakan penggunaan, khususnya menyarankan untuk mengabaikan aturan kata sandi rumit yang sudah ketinggalan zaman demi keramahan pengguna. Dokumen tersebut juga menyertakan moniker baru untuk istilah kata sandi – Rahasia yang Dihafal didefinisikan sebagai: “Pengautentikator Rahasia yang Dihafal (biasanya disebut sebagai kata sandi atau, jika numerik, PIN) adalah nilai rahasia yang dimaksudkan untuk dipilih dan diingat oleh “

Praktik terbaik yang diperbarui untuk membuat, mengubah, atau memperbarui rahasia yang diingat meliputi:

Izinkan setidaknya 64 karakter untuk mendukung penggunaan frasa sandi, salin dan tempel. Dorong pengguna untuk membuat rahasia yang dihafalkan selama yang mereka inginkan, menggunakan karakter apa pun yang mereka suka (mendorong spasi), sehingga membantu menghafal.

Jangan meminta rahasia yang dihafal untuk diubah secara sewenang-wenang (misalnya, secara berkala) kecuali ada permintaan pengguna atau bukti kompromi.

Jangan memaksakan aturan komposisi lain (misalnya campuran dari tipe karakter yang berbeda) pada rahasia yang dihafal.

Batasan Kata Sandi:

Daripada menghilangkan batasan kata sandi sepenuhnya, NIST merekomendasikan untuk beralih ke 3 pedoman batasan kata sandi yang sebenarnya bermanfaat:

Melarang kata sandi yang umum digunakan: Standar mengharuskan setiap kata sandi baru untuk diperiksa terhadap “daftar hitam” yang dapat mencakup kata-kata berulang, string berurutan, variasi pada nama situs web dan kata sandi yang diambil dalam pelanggaran keamanan sebelumnya. (haveibeenpwned.com telah memperluas penawaran mereka untuk menyertakan bagian kata sandi pwned bagi pengguna untuk memeriksa apakah kata sandi telah terungkap dalam pelanggaran data)

Jangan gunakan otentikasi berbasis pengetahuan atau petunjuk kata sandi: Mengizinkan pengguna menjawab pertanyaan pribadi seperti “Apa sekolah menengah yang Anda hadiri” untuk mengatur ulang kata sandi sekarang dilarang, karena jawaban atas pertanyaan dan petunjuk ini dapat dengan mudah ditemukan melalui media sosial atau rekayasa sosial.

Batasi jumlah upaya kata sandi: Ada perbedaan besar antara jumlah tebakan yang dibutuhkan bahkan oleh pengguna yang paling rentan salah ketik dan jumlah tebakan yang dibutuhkan penyerang.

Item lain yang ditangani oleh NIST termasuk standar enkripsi kata sandi baru dan otentikasi multi-faktor untuk layanan apa pun yang melibatkan informasi sensitif. Publikasi lengkap dapat dilihat di situs web NIST.

Kami senang melihat standar diperbarui untuk memudahkan pengguna membuat kata sandi yang lebih kuat dan kami tahu setidaknya beberapa dari Anda akan senang tidak mendengar departemen TI Anda setiap 90 hari memberi tahu Anda bahwa sudah waktunya untuk mengubah kata sandi Anda.

Leave a Reply

Your email address will not be published. Required fields are marked *