قواعد جدید NIST در خصوص سیاستگذاری گذرواژه

انتخاب ناصحیح گذرواژه برای حساب های حساس، توسط بسیاری از کاربران موضوع جدیدی نیست. با ظهور سایت ها و برنامک های جدیدی که برای دسترسی به هر کدام از آنها نیاز به گذرواژه است بنظر نمی رسد که به این زودی ها وضعیت بهتر شود. بخصوص آنکه توان کامپیوترها نیز برای شکستن گذرواژه ها روز به روز بیشتر و بیشتر می شود.

اما شاید با سیاست گذاری های صحیح تر، بتوان امنیت گذرواژه انتخابی را توسط کاربران برای حساب های حساس سازمان افزایش داد.

به گزارش شرکت مهندسی شبکه گستر، مؤسسه ملی فناوری و استانداردها (NIST)، در سند Digital Authentication Guideline قواعد جدیدی را برای لحاظ شدن در نهادها و سازمان های آمریکا پیشنهاد کرده است.

آنچه در ادامه این مطلب آمده است پیشنهادهای جدید NIST در خصوص سیاست گذاری های انتخاب گذرواژه است.

سازگاری با کاربر

سیاست های گذرواژه نباید کاربر را مجبور به انجام کاری کند که تاثیری بر روی بهبود گذرواژه ندارد.

لزوم استفاده از گذرواژه طولانی

طول گذرواژه باید حداقل 8 نویسه باشد. این حداکثر حداقل نیست! بدیهی است که برای حساب های حساس تر می توان طول حداقل را افزایش داد. همچنین حداکثر طول گذرواژه نباید کمتر از 64 نویسه در نظر گرفته شود و کاربر در انتخاب گذرواژه ای هر قدر طولانی آزاد باشند. ضمن اینکه کاربر  می بایست مجاز به وارد کردن نویسه های Unicode نیز باشد.

مقایسه گذرواژه های جدید با بانک داده های گذرواژه های بد

با این کار کاربران از انتخاب چنین گذرواژه هایی منع خواهند شد. اما برای اجرای اثربخش آن نیاز به تحقیقات بیشتری است. یکی از محققان NIST، بانک داده ای حاوی 100 هزار مورد از بدترین گذرواژه ها را نقطه شروع خوبی می داند.

عدم مجبور کردن کاربران به استفاده از ترکیب بندی

بجای ذکر عبارتی نظیر نمونه زیر و مجبور کردن کاربر به انتخاب گذرواژه ای که به سختی بیاد می ماند کاربران به انتخاب گذرواژه های طولانی تشویق شوند.

Your password must contain one lowercase letter, one uppercase letter, one number, four symbols but not &%#@_, and the surname of at least one astronaut.

عدم استفاده از راهنما و اصالت سنجی با پایگاه دانش (KBA)

از Password Hint و KBA استفاده نشود. KBA مربوط به زمانی است که از کاربر سئوالاتی همچون ?Where did you attend high school پرسیده می شود و از پاسخ ها در فرآیند بازگرداندن گذرواژه استفاده می شود.

عدم منقضی شدن بی دلیل گذرواژه

اگر قرار است که کاربران گذواژه های طولانی و پیچیده انتخاب کنند نباید بی دلیل از آنها خواسته شود که این گذرواژه ها را تغییر دهند. درخواست تغییر باید دلایل قابل قبولی همچون فراموشی گذرواژه توسط کاربر، اجرای حمله فیشینگ (Phishing) یا وجود احتمال هک شدن بانک داده های حاوی آن گذرواژه داشته باشند.

سند NIST، به نکاتی در خصوص نحوه ذخیره سازی گذرواژه ها نیز اشاره دارد. همچنین روش اصالت سنجی دو مرحله ای با استفاده از پیامک را نیز روشی آسیب پذیر معرفی کرده است.

مطالعه این سند به تمامی مسئولان شبکه شرکت ها و سازمان ها و برنامه نویسان توصیه می شود.

همچنین ارائه یکی از محققان تهیه کننده این سند نیز در خصوص تغییرات جدید از اینجا قابل مشاهده است.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *