nuevas reglas de contraseña del NIST – lo que necesita saber

No es ningún secreto. Estamos muy mal en las contraseñas. Sin embargo, ellos no van a desaparecer en el corto plazo.

Con tantos sitios web y aplicaciones en línea nos requiere para crear cuentas y contraseñas pensar en un apuro, no es de extrañar que muchos de nosotros lucha por seguir el consejo de los llamados expertos en seguridad de la contraseña.

Al mismo tiempo, la potencia de cálculo disponible para el descifrado de contraseñas sólo se hace más y más grande.

OK, así que empecé con las malas noticias, pero esta nube tiene un revestimiento de plata.

No tiene por qué ser tan duro como lo hacemos y el gobierno está aquí para ayudar.

Así es, el Instituto Nacional de los Estados Unidos de Estándares y Tecnología (NIST) está formulando nuevas directrices para las políticas de contraseñas para ser utilizado en todo el gobierno de Estados Unidos (el sector público).

¿Porque es esto importante? Debido a que las políticas son sensatas y una gran plantilla para todos nosotros para usar dentro de nuestras propias organizaciones y programas de desarrollo de aplicaciones.

Cualquier persona interesada en el proyecto de pliego de condiciones de la publicación especial 800-63-3: Directrices de autenticación digital puede revisarlo a medida que evoluciona más en Github.

Para un enfoque más humano, el investigador de seguridad Jim Fenton hizo una presentación a principios de este mes en el caso PasswordsCon en Las Vegas que resume los cambios muy bien.

Qué hay de nuevo ?

¿Cuáles son las principales diferencias entre la sabiduría recibida actual acerca de contraseñas seguras "y" lo NIST recomienda ahora?

Algunas de las recomendaciones que es fácil adivinar; otros pueden sorprender.

Vamos a empezar con las cosas que debe hacer.


Favorecer el usuario. Para empezar, hacer que su usuario amigable políticas de contraseñas y poner la carga sobre el verificador cuando sea posible.

En otras palabras, tenemos que dejar de pedir a los usuarios a hacer cosas que no están realmente mejorando la seguridad.

Muchas investigaciones se han ido a la eficacia de muchas de nuestra así llamada "mejores prácticas" y resulta que no ayudan lo suficiente como para merecer la pena el dolor que causan.


El tamaño es importante. Por lo menos lo hace cuando se trata de contraseñas. las nuevas directrices del NIST dicen que se necesita un mínimo de 8 caracteres. (Eso no es un mínimo máxima – se puede aumentar la longitud mínima de la contraseña para las cuentas más sensibles.)

Mejor aún, el NIST dice que se debe permitir que una longitud máxima de al menos 64, por lo que no más "Lo siento, la contraseña puede no ser superior a 16 caracteres."

Las solicitudes deben permitir que todos los caracteres ASCII imprimibles, espacios incluidos, y deben aceptar todos los caracteres Unicode, también, incluyendo emoji!

Este es un gran consejo, y teniendo en cuenta que las contraseñas deben ser hash y salados cuando se almacena (lo que les convierte en una representación de longitud fija) no debe haber restricciones innecesarias en longitud.

A menudo aconsejamos a la gente a usar frases de contraseña, por lo que debería permitir utilizar todos los signos de puntuación comunes y cualquier lenguaje para mejorar la facilidad de uso y aumentar la variedad.


Comprobar las nuevas contraseñas contra un diccionario de opciones de malos conocidos. Usted no quiere dejar que la gente usa ChangeMe , thisisapassword , yankees , y así sucesivamente.

Más investigación que hay que hacer en la forma de elegir y utilizar su "lista prohibida", pero Jim Fenton piensa que 10.000 entradas es un buen punto de partida.


las prohibiciones

Ahora por todas las cosas que no debe hacer.


No hay reglas de composición. Lo que esto significa es, sin más reglas que le obligan a utilizar caracteres o combinaciones particulares, como las condiciones de enormes proporciones en algunas páginas de restablecimiento de contraseña que dicen: "Su contraseña debe contener una letra minúscula, una letra mayúscula, un número, cuatro símbolos pero no &%#@_ ", y el apellido de al menos un astronauta.

Deja que la gente elija libremente, favorecer frases en vez de difíciles de recordar contraseñas o complejidad ilusoria como la más largos pA55w+rd .


No se insinúa contraseña. Ninguno. Si quería la gente tiene una mejor oportunidad de adivinar la contraseña, me gustaría escribir en una nota adjunta a la pantalla.

La gente establecer contraseñas consejos como rhymes with assword cuando se permite que toques. (¡De verdad! Tenemos algunos ejemplos sorprendentes de 2.013 incumplimiento contraseña de Adobe.)


La autenticación basada en el conocimiento (KBA) está fuera de KBA es cuando un sitio dice: "Elegir en una lista de preguntas -. ¿Dónde estudiar la secundaria ¿Cuál es tu equipo de fútbol favorito? -? Y decirnos la respuesta en caso de que alguna vez necesitamos comprobar que es usted ".


. No más de caducidad sin razón Este es mi pieza favorita de consejo: Si queremos que los usuarios cumplan y elija larga, difícil de adivinar las contraseñas, no hay que hacer que cambien las contraseñas de forma innecesaria.

La única vez que las contraseñas deben restablecer es cuando se olvidan, si han sido víctima del phishing, o si piensa (o sabe) que su base de datos de la contraseña ha sido robado y, por tanto, podría ser sometido a un ataque de fuerza bruta sin conexión.


Hay más…

NIST también proporciona algunos otros consejos que vale la pena.


Todas las contraseñas deben ser mezclados, salan y se estiran, como explicamos en nuestro artículo Cómo almacenar la contraseña de los usuarios de forma segura .

Es necesario una sal de 32 bits o superior, un hash HMAC con llave mediante SHA-1, SHA-2 o SHA-3, y el "estiramiento" PBKDF2 algoritmo con al menos 10.000 iteraciones.

entusiastas de hash de contraseñas probablemente se pregunta, "¿Qué hay de bcrypt y scrypt?" En nuestra propia Cómo artículo, encontrarás tanto de éstos como posibilidades, pero escribimos: "Vamos a PBKDF2 recomendamos aquí, ya que está basado en las primitivas hash que satisfacen muchas de las normas nacionales e internacionales." NIST siguió el mismo razonamiento.


Además, y esto es un gran cambio: SMS ya no se debe utilizar en la autenticación de dos factores (2FA).

Hay muchos problemas con la seguridad de entrega de SMS, incluyendo malware que puede redirigir mensajes de texto; ataques contra la red de telefonía móvil (como la llamada SS7 truco ); y el teléfono móvil portabilidad numérica.

puertos del teléfono, también conocido como el canje de SIM, donde están sus problemas de proveedor de telefonía móvil que una nueva tarjeta SIM para reemplazar uno que se ha perdido, dañado, robado o que tiene el tamaño adecuado para su nuevo teléfono.

En muchos países, es por desgracia demasiado fácil para los delincuentes para convencer a una tienda de teléfonos móviles para transferir el número de teléfono de una persona a una nueva SIM y, por tanto, el secuestro de todos sus mensajes de texto.


¿Que sigue?

Esto es sólo la punta del iceberg, pero sin duda algunos de los bits más importantes.

Las directivas de contraseña deben evolucionar a medida que aprendemos más sobre cómo las personas usan y abusan de ellos.

Por desgracia no han sido más que suficientes brechas para nosotros ver los efectos de determinados tipos de política, tales como la evidencia muestra arriba a partir de 2013 El hack de Adobe sobre el peligro de consejos de contraseña.

El objetivo de NIST es conseguir nosotros para protegernos de forma fiable y sin complejidad innecesaria, debido a la complejidad va en contra de la seguridad.

¿Cuáles son sus pensamientos sobre estos cambios? Va a ponerlas en práctica para su organización? Dinos en los comentarios.

MÁS INFORMACIÓN SOBRE LOS MITOS DE LA CONTRASEÑA

(Reproductor de audio anterior no funciona? Descargar MP3, escuchar en Soundcloud o acceso a través de iTunes .)