NIST: nomainīti visi paroļu veidošanas pamatprincipi

[samurajs]

Principi, pēc kā mēs visi veidojam savas paroles, kā arī prasības dažādas sarežģītības autorizācijai ir izsmeļoši aprakstīti ASV Nacionālā standartu un tehnoloģiju institūta (NIST) materiālos. Konkrētās instrukcijas (Appendix A) autors ir vidējā ranga birokrāts Bils Bērs (Bill Burr), kurš pirms 15 gadiem noteica, ka mums vienmēr jālieto lielie un mazie burti, cipari un specsimboli. Un, protams, ne pārāk reti jānomaina paroles pret jaunām. Tagad Bils Bērs birdina krokodila asaras, ka sarakstījis muļķības, un šobrīd visas šīs rekomendācijas ir pārstrādātas.

Protams, ja jau visas paroles izskatītos kā “d8W?L12$klsmN”, problēmu ar drošību nebūtu. Tomēr user vulgaris šo bezsakaru atcerēties ir par grūtu, un paroles tiek modificētas pēc “ģīmja un līdzības”. Piemēram, ja vēlamā parole ir “notepad”, to uztaisa par “N0tep4d!” un frukts ir lepns, ka ievērojis visas drošības rekomendācijas, un pie tam visu viegli atcerēties. Vajag ik pēc 90 dienām mainīt? Nekādu problēmu – N0tep4d!1, N0tep4d!2, N0tep4d!3 utt. Vienīgā problēma ir tāda, ka burtu aizstāšana ar cipariem un tamlīdzīgi triki jau sen ir iekļauti “bruteforce” vārdnīcās.

Kā pareizi jāveido paroles pēc jaunajām rekomendācijām?

Atbilstoši NIST Special Publication 800 -63B parolēm jābūt garām un jāsastāv no vairākiem vārdiem – kaut vai veseli teikumi, vēlams ne īpaši sakarīgi. Piemērs – “betona_klucis_iekrita_janim_ausi”. Var lietot arī ciparus, specsimbolus, bet tagad tas vairs nav obligāti. Arī paroļu nomaiņa jāveic tikai tad, ja ir aizdomas par informācijas noplūdi. Pēc speciālistu uzskata, pat virkne no 4 vārdiem droši pasargās no “bruteforce”, jo visas vecās hakeru vārdnīcas kļūs pilnīgi nederīgas.

Uzskatāmi iepazīties ar jaunās metodes priekšrocību varam XKCD komiksā.

[img]https://notepad.lv/userpix/28_password_strength_1.png[/img]

[DMG]

Tas viss ir labi līdz brīdim, kad atduries pret problēmu, ka kādā interneta vietnē ierobežo paroles izvēli. Piemēram, ir vairāki interneta kazino, kur vispār nav atļauti specsimbolu ievadīšana parolē. Vai arī ir stingri definēti viens vai divi simboli, kurus drīkst ievadīt. Tāpat ir redzētas vairākas vietnes, kur arī paroles garums ir ierobežots uz kaut kādiem 10 simboliem.

[Andron MacBeton]

Es vienā apkalpojamā kantorī ieraudziju lapiņu ar 5 burtu paroli. 3 no tiem 5 burtiem ir firmas nosaukums.

[uldics]

Haha, man trubadūrs darbā kādu laiku bija piesprausts blakus monitoram. Diemžēl ir vietas, kur nav pat atļauts divus vienādus burtus pēc kārtas lietot, vai vairāk par sasodīti mazu skaitu simbolu lietot. Kamēr tas nebūs pārtaisīts visur, paroles turētājs varēs tik mirkšķināt acis un nopūsties. Citiem tas 8 simboli, lielie, mazie, cipars un neartikulētais simbols ir tik tuvu epifīzei iepotēts, ka paies 10 gadi, kamēr dabūs ārā.

[MeistarsUnVergs]

Vislabākais ir nelietot nekādus ierobežojumus uz parolēm. Lai cilvēks pats mācās un lieto tādu, kāda pašam ir visērtākā. Es pats lietoju 25-35 random simbolus garas paroles TrueCrypt sistēmas parolei, bet šeit pat Notepad.lv mana parole ir kāda dzēriena noskaukums nominatīvā, jo Notepad.lv parole tiek sūtīta bez SSL un ir elementāri pārķerama ar sniferi jebkuram, kas to māk.

[Autors]

Ieraksti