Kürzlich wurde auf GitHub eine Liste von Ressourcen mit unangemessen komplexen und einfach nicht erfolgreichen Regeln für Kennwörter
veröffentlicht . Die Auswahl wird aktiv diskutiert, und wir haben uns entschlossen, an der Diskussion teilzunehmen.
Fotos - Andre Hunter - UnsplashUnbekannte Passwortlänge
Fast alle Sites haben Beschränkungen hinsichtlich der Länge des Passworts. Jeff Atwood, Autor von Stack Overflow und des Blogs Coding Horror,
stellt fest, dass ein Mindeststrich von zehn Zeichen die Wahrscheinlichkeit des Benutzers, ein schwaches oder beliebtes Kennwort einzugeben, um 80% verringert. Es gibt jedoch Ressourcen, die eine Mindestlänge für Kennwörter angeben, jedoch keinen oberen Schwellenwert angeben. In der
Auswahl finden Sie Beispiele für Websites großer Anbieter, bei denen Phrasen mit bis zu 20 Zeichen im Kennwortfeld zulässig sind. Diese Einschränkung können Sie jedoch ausschließlich durch Ausprobieren erfahren.
Die Entwickler des Standorts des elektronischen Mautsystems in den USA gingen weiter. Das Kennwortfeld schneidet im Allgemeinen
die "zusätzlichen" Zeichen ab. Benutzer verstehen nicht sofort, warum die Kennwörter nicht übereinstimmen, wenn sie in die entsprechenden Felder eingegeben werden. Ein ähnliches Problem
besteht auf der Website eines neuseeländischen Luftfahrtunternehmens. Außerdem erscheint es nicht auf allen Seiten. Es gibt viele solcher Ressourcen - ein Einwohner von Hacker News
merkt an, dass er bereits die Zählung verloren hat, wie oft er JS-Skripte auf der Registerkarte Quelle des Browsers manuell ändern musste, damit Passwörter normal verarbeitet werden.
Es wird angenommen, dass das Problem mit der "Reduzierung" von Passwörtern in der Methode ihrer Speicherung verborgen ist. Möglicherweise liegen die Zugriffe im Klartext (ohne Hashing) - beispielsweise in einer Datenbank mit dem Feld varchar.
Passwort regelmäßig ändern
Es wird angenommen, dass eine Änderung des Kennworts
keinen Sinn ergibt, wenn es zuverlässig ist und nicht in Lecks hervorgehoben wurde. Anfang des Jahres
weigerte sich sogar Microsoft, Kennwörter regelmäßig zu ändern. Aber nicht alle sind in ihre Fußstapfen getreten. Beispielsweise
verlangt ein amerikanisches Unternehmen, das Anwendungen für Kredit- und Hypothekenorganisationen entwickelt,
dass Benutzer ihr Passwort alle sechs Monate ändern.
Einer der Bewohner von Hacker News
sagt, dass sein Unternehmen das Passwort alle drei Monate ändern muss. Das ärgert ihn sehr. In diesem Fall verwechselt die Software, die für die Rotation zuständig ist, die Reihenfolge der Sonderzeichen, während neue Authentifizierungsdaten gespeichert werden. Das Einloggen mit dem geänderten Passwort wird unmöglich. Bis die Situation behoben ist, muss er schwächere alphanumerische Phrasen verwenden. Das Erfordernis, das Passwort regelmäßig zu ändern, führt auch dazu, dass Mitarbeiter des Unternehmens damit beginnen, frühere Identifikatoren wiederzuverwenden. Ein anderer Benutzer, HN,
gab an , mit einem Telekommunikationsanbieter zusammengearbeitet zu haben, bei dem sich ein Mitarbeiter mit nur zwei Passwörtern in sein Konto einloggte: "Apr1999!" Oder "Mar1999!". Sie erfüllten die Passwortanforderungen nur formal: Groß- und Kleinbuchstaben, Zahlen und Symbole.
Eingabemanagement
Es ist nicht sicher bekannt, wie die Praxis des Blockierens der Passworteingabe auftrat. Ingenieure des US National Cybersecurity Center stellen
fest, dass niemand einen wissenschaftlichen Artikel, eine Studie, eine Vorschrift oder einen RFC zu diesem Thema gesehen hat. Sie sagen auch, dass dies eine schlechte Praxis ist, die die Sicherheit beeinträchtigt. Ressourcenbesucher können keine Kennwortmanager und -generatoren mehr verwenden. Daher wählen sie einfache Passwörter, um keine Zeit zu verschwenden und einen schnelleren Zugriff auf Ressourcen zu erhalten. Microsoft-Regionaldirektor Troy Hunt und
Wired-Redakteur Joseph Cox haben sich ebenfalls gegen das Blockieren von Einfügungen ausgesprochen.
Foto - Matthew Brodeur - UnsplashBeachten Sie, dass das Plug-In "Nicht mit Einfügen ficken" für Chrome und Firefox das Problem umgehen kann. Auch das Problem kann manuell in den Einstellungen behoben werden. Zum Beispiel muss für einen "Feuerfuchs" das Flag about: config: dom.event.clipboardevents.enabled auf false gesetzt werden . Dies kann jedoch das Kopieren / Einfügen in Google Text & Tabellen stören . Um das Blockieren von Kopieren / Einfügen zu bekämpfen, schrieb einer der Hacker News-Bewohner sein eigenes Skript - AutoHotKey. Es liest Daten aus der Zwischenablage und druckt sie nacheinander mit einer Verzögerung von 100-200 ms in das Eingabefeld.
Wer standardisiert Passwortrichtlinien?
Es gibt Organisationen, die Standards für die Arbeit mit Passwörtern entwickeln. Das US-amerikanische National Institute of Standards and Technology (NIST) kompiliert beispielsweise das
NIST 800-63B- Framework. Das Passwort
muss mindestens acht Zeichen lang sein. Gleichzeitig werden Websites aufgefordert, eine maximale Kennwortlänge von mindestens 64 Zeichen festzulegen.
Das ausgewählte Passwort sollte nicht in die Liste der beliebtesten Phrasen aufgenommen werden und wiederholte Buchstaben und Zahlen enthalten ("aaaaaa" oder "1234abcd"). Eine kurze Zusammenfassung mit Erläuterungen zu diesen Regeln wurde
von Ingenieuren von Sophos, einem Hersteller von Informationssicherheitstools für Server und PCs, erstellt. Der NIST-Standard hat bereits viele Sites. Zum Beispiel die Ressource login.gov, die Authentifizierungsdienste für US-Regierungsportale bereitstellt.
Es gibt andere Frameworks (z. B.
HITRUST ), aber sie haben immer noch veraltete Vorgehensweisen wie die regelmäßige Kennwortrotation. Aber sie werden wie NIST allmählich verbessert.
Zusätzliche Lektüre im 1cloud Blog:
Was ist neu in Linux-Kernel 5.3 "Wie wir IaaS bauen": 1cloud materials Kontrolle elektronischer Geräte an der Grenze - Notwendigkeit oder Verletzung der Menschenrechte? Warum Mainstream-Browser-Entwickler sich erneut geweigert haben, die Subdomain anzuzeigen