Hirdetés
. Hirdetés

Megfelelőség kontra biztonság: mi a helyzet a jelszavakkal?

|

Új kutatások szerint a szabályozó testületek által megfelelőnek ítélt hosszúságú és összetettségű jelszavak mindenhol megtalálhatók a feltört listákon. A megfelelő jelszavakra hagyatkozás tehát nem védi a hálózatot.

Hirdetés

Egy új tanulmány az információbiztonsági szabványokat népszerűsítő öt legfontosabb amerikai szabályozó szervezet követelményeit vizsgálta konkrét jelszópolitikai ajánlásokkal. Ezek magukban foglalják a minimális jelszóhosszt, a maximális jelszóhosszt és a jelszó összetettségét.

A kiválasztott öt szabályozó testület a következő volt: Nemzeti Szabványügyi és Technológiai Intézet (NIST), Health Information Trust (HITRUST) az egészségbiztosítási hordozhatóságról és elszámoltathatóságról szóló törvényhez (HIPPA), fizetési kártya iparági adatbiztonsági szabványok (PCI DSS), The Information Az Általános Adatvédelmi Rendelet (GDPR) Biztos Hivatala (ICO), a Nemzeti Kiberbiztonsági Központ (NCSC) Cyber ​​Essentials - írta az InfoSecurity magazin.

A kutatás során több mint 800 millió ismert feltört jelszót elemeztek, amely több mint 2 milliárd jelszó egy részét tartalmazza a Specops Software Breached Password Protection adatbázisában. A jelszavakat összehasonlították a fent említett öt testület jelszavakra vonatkozó ajánlásaival. A megdöbbentő igazság az, hogy az ismert feltört jelszavak 83 százaléka megfelelt volna a megfelelőségi szabványoknak.

Hirdetés

Megnyugtató, hogy mind a NIST, mind az ICO/GDPR szabványok tartalmazzák azt az ajánlást, hogy a feltört jelszavak használatának megelőzése érdekében az ismert feltört jelszavak listáját kell használni, mint alapvető biztonsági réteget. Az ICO/GDPR a legátfogóbb utasításokat adta a jelszavak kompromittálásának megelőzésére. Ezenkívül egyéni szótárakat ajánlanak a szervezettel kapcsolatos kifejezésekhez, és javítják a felhasználói élményt azáltal, hogy a végfelhasználói visszajelzést adják a jelszavak elutasításakor.

Összességében az elemzés egyértelmű üzenetet ad arra, hogy pusztán a legalább nyolc karakterből álló, egyszerű vagy bonyolult jelszavakra hagyatkozva semmi sem fogja megvédeni a hálózatot, ha a jelszó feltört listán szerepel. Ha egy szervezet védekezni akar, akkor az első lépés annak kiderítése, hogy tartalmaz-e feltört jelszavakat hálózata. Ha iegn a válasz és brutális erejű jelszótámadás célozza meg a szervezetet, a kibervédelem másodperceken belül összeomolhat.

Egy jelszó-ellenőrző eszköz futtatásával megtudható, hogy az Active Directory-felhasználók közül hányan használnak feltört jelszavakat. Ez magában foglalja a Specops Password Auditort, egy ingyenes, csak olvasásra szolgáló eszközt, amely több mint 1 milliárd feltört jelszót tartalmaz, és irányítópult nézetben azonosítja a jelszóval kapcsolatos egyéb sebezhetőségeket.

Ha valaki kizárólag a megfelelőségi követelményekre hagyatkozik, akkor is törekednie kell a hosszúságra a bonyolultság helyett, mert a hosszabb jelszavakat nehezebb feltörni. Be kell kapcsolni a kétfaktoros azonosítást, ahol elérhető, és meg kell fontolni a Microsoft jelszóházirend-eszközének harmadik féltől származó alternatíváit. Az olyan szolgáltatások, mint az egyéni szótárak, a jelmondatok támogatása, a hosszúság alapú öregedés és az ügyfelek visszajelzései, további biztonságot, jobb felhasználói élményt nyújtanak, és egyszerűsítik az olyan iparági előírásoknak való megfelelést, mint a NIST vagy az NCSC.

Hardverek, szoftverek, tesztek, érdekességek és színes hírek az IT világából ide kattintva!

Hirdetés
0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.