Baru-baru ini, daftar sumber daya dengan aturan kata sandi yang rumit dan tidak berhasil telah
dipublikasikan di GitHub. Seleksi sedang dibahas secara aktif, dan kami memutuskan untuk bergabung dalam diskusi.
Foto - Andre Hunter - UnsplashPanjang kata sandi tidak dikenal
Hampir semua situs memiliki batasan panjang kata sandi. Jeff Atwood, penulis Stack Overflow dan blog Coding Horror,
mencatat bahwa bar minimum sepuluh karakter mengurangi peluang pengguna untuk memasukkan kata sandi yang lemah atau populer sebesar 80%. Tetapi ada sumber daya yang melaporkan panjang kata sandi minimum, tetapi tidak menunjukkan adanya ambang atas. Dalam
pemilihan, Anda dapat menemukan contoh situs vendor besar, di mana frasa hingga 20 karakter diperbolehkan di bidang kata sandi. Tetapi Anda dapat mempelajari tentang batasan ini secara eksklusif dengan coba-coba.
Pengembang situs sistem jalan tol elektronik di Amerika Serikat melangkah lebih jauh. Kolom kata sandi umumnya
memotong karakter "ekstra". Pengguna tidak segera mengerti mengapa kata sandi tidak cocok ketika mereka dimasukkan di bidang yang sesuai. Masalah serupa
terjadi di situs web salah satu operator Selandia Baru. Selain itu, tidak muncul di semua halaman. Ada banyak sumber daya semacam itu - seorang residen Hacker News
mencatat bahwa ia telah kehilangan hitungan, berapa kali ia harus memodifikasi skrip JS secara manual di tab Source di browser sehingga kata sandi diproses secara normal.
Diyakini bahwa masalah dengan "reduksi" kata sandi tersembunyi dalam metode penyimpanannya. Mungkin akses berada di clear (tanpa hashing) - misalnya, dalam database dengan bidang varchar.
Kata sandi diganti secara teratur
Dipercayai bahwa jika kata sandi itu andal dan belum disorot dalam kebocoran, maka mengubahnya
tidak masuk akal . Pada awal tahun, bahkan Microsoft
menolak untuk secara teratur mengubah kata sandi. Tapi tidak semua orang mengikuti jejak mereka. Misalnya, perusahaan Amerika yang mengembangkan aplikasi untuk organisasi kredit dan hipotek
mengharuskan pengguna untuk mengubah kata sandi mereka setiap enam bulan.
Salah satu penghuni Hacker News
mengatakan bahwa perusahaannya perlu mengganti kata sandi setiap tiga bulan. Ini sangat mengganggunya. Dalam hal ini, perangkat lunak, yang bertanggung jawab untuk rotasi, membingungkan urutan karakter khusus sambil menyimpan data otentikasi baru. Masuk dengan kata sandi yang diubah menjadi tidak mungkin. Sampai situasinya diperbaiki, ia terpaksa menggunakan frase alfanumerik yang lebih lemah. Persyaratan untuk secara teratur mengubah kata sandi juga mengarah pada fakta bahwa karyawan perusahaan mulai menggunakan kembali pengidentifikasi sebelumnya. Pengguna lain, HN,
mengatakan bahwa ia bekerja dengan penyedia telekomunikasi, di mana seorang karyawan hanya menggunakan dua kata sandi untuk masuk ke akunnya: "Apr1999!" Atau "Mar1999!". Mereka memenuhi persyaratan kata sandi hanya secara formal: huruf besar dan kecil, angka dan simbol.
Manajemen input
Tidak diketahui pasti bagaimana praktik pemblokiran penyisipan kata sandi muncul. Insinyur dari Pusat Keamanan Siber Nasional AS
mencatat bahwa tidak ada yang melihat artikel ilmiah, studi, aturan atau RFC tentang hal ini. Mereka juga mengatakan bahwa ini adalah praktik buruk yang merusak keamanan. Pengunjung sumber daya kehilangan kemampuan untuk menggunakan pengelola kata sandi dan generator. Akibatnya, mereka memilih kata sandi sederhana agar tidak membuang waktu dan mendapatkan akses lebih cepat ke sumber daya. Direktur regional Microsoft Troy Hunt dan
editor Wired Joseph Cox juga
berbicara menentang pemblokiran sisipan.
Foto - Matthew Brodeur - UnsplashPerhatikan bahwa plugin Don't F * ck With Paste untuk Chrome dan Firefox dapat mengatasi masalahnya. Selain itu, masalah dapat diselesaikan secara manual di pengaturan. Sebagai contoh, untuk "fire fox" bendera tentang: config: dom.event.clipboardevents.enabled perlu dialihkan ke false . Namun, ini dapat mengganggu salin / tempel di Google Documents. Untuk mengatasi pemblokiran copy / paste, salah satu penghuni Hacker News menulis skripnya sendiri - AutoHotKey. Itu membaca data dari clipboard, dan kemudian mencetaknya satu per satu di bidang input dengan penundaan 100-200 ms.
Siapa yang membakukan kebijakan kata sandi
Ada organisasi yang mengembangkan standar untuk bekerja dengan kata sandi. Sebagai contoh, Institut Nasional Standar dan Teknologi (NIST) AS menyusun kerangka kerja
NIST 800-63B . Ini menyatakan bahwa kata sandi
harus setidaknya delapan karakter. Pada saat yang sama, situs diminta untuk menetapkan panjang kata sandi maksimum minimal 64 karakter.
Kata sandi yang dipilih tidak boleh dimasukkan dalam daftar frasa paling populer dan berisi huruf dan angka yang diulang ("aaaaaa" atau "1234abcd"). Perasan singkat dengan penjelasan aturan ini
disiapkan oleh para insinyur dari Sophos, produsen alat keamanan informasi untuk server dan PC. Standar NIST sudah memiliki banyak situs. Misalnya, sumber daya login.gov, yang menyediakan layanan otentikasi untuk portal pemerintah AS.
Ada kerangka kerja lain (misalnya,
HITRUST ), tetapi mereka masih memiliki praktik usang seperti rotasi kata sandi biasa. Tetapi mereka, seperti NIST, secara bertahap ditingkatkan.
Bacaan tambahan di 1cloud Blog:
Apa yang baru di kernel Linux 5.3 "Bagaimana Kita Membangun IaaS": 1 bahan keras Menyaring perangkat elektronik di perbatasan - kebutuhan atau pelanggaran hak asasi manusia? Mengapa pengembang peramban arus utama kembali menolak untuk menampilkan subdomain