NIST یا موسسه ملی فناوری و استانداردها، یک نهاد فدرال است که استانداردهای فناوری را برای سازمانهای دولتی، استاندارد و شرکتهای خصوصی تنظیم میکند. این موسسه در توصیه اخیر خود اعلام کرده است که برخی الزامات پسورد (گذرواژه) میبایست اصلاح شوند.
NIST توصیه کرده است که از این به بعد از ریسِت یا بازنشانی دورهای اجباری، الزامات یا محدودیتهای استفاده از کاراکترهای خاص و همچنین سوالات امنیتی چشم پوشی شود.
واقعیت این است که اغلب، رعایت قوانین پسورد تعیین شده توسط کارفرمایان، آژانسهای فدرال و سرویسهای آنلاین بسیار دشوار است. اکثر این قوانین که ظاهرا برای افزایش سطح امنیت طراحی شدهاند، باعث تضعیف آن میشوند اما همچنان رعایت این قوانین لازم الاجرا میباشد.
مقامات NIST در ماه سپتامبر، دومین پیش نویس عمومی SP 800-63-4 که آخرین نسخه دستورالعملهای هویت دیجیتال است را منتشر کردند. این سند، الزامات فنی و توصیههایی را برای متدهای مورد استفاده برای احراز هویت در اینترنت، ارائه میدهد. سازمانهایی که به صورت آنلاین با دولت فدرال ایالات متحده تعامل دارند، ملزم به رعایت این قوانین هستند.
بخش پسورد یا گذرواژه حاوی تعداد زیادی قوانین است که با استانداردهای پذیرفته شده امروزی در تضاد میباشد! به عنوان مثال، پیشنهاد شده است که کاربران مجبور به تغییر پسوردها به صورت دورهای نباشند!
این قوانین به چندین دهه قبل باز میگردد زمانی که امنیت پسورد هنوز به درستی درک نشده بود و اغلب کاربران نامها و کلمات سادهای را انتخاب میکردند که به راحتی قابل حدس بودند. اکثر سرویسها از آن زمان، شروع به استفاده از پسوردهای قوی متشکل از کاراکترهای کوچک و بزرگ، اعداد، کاراکترهای خاص و عبارات تصادفی کردند.
اگر پسوردها به درستی انتخاب شوند، تغییر دورهای آنها (هر یک تا سه ماه یکبار) میتواند منجر به کاهش امنیت شود و این فقط کاربران را تشویق میکند تا از پسوردهای ضعیفتری که ایجاد و به خاطر سپردن آنها آسان باشد، استفاده کنند.
از دیگر الزاماتی که NIST معتقد است بیشتر از سود و فایده، ضرر دارد، الزام یا ممنوعیت استفاده از کاراکترهای خاص در پسوردها میباشد. به عنوان مثال، تاکنون قوانین اینگونه بوده است که پسورد باید شامل اعداد، کاراکتر خاص، حروف بزرگ و کوچک باشد.
به عقیده NIST چنانچه پسوردها به اندازه کافی طولانی و تصادفی باشند، چنین محدودیتهایی هیچ فایدهای ندارند.
دستورالعملهای به روزرسانی شده NIST بیانگر آن است که اگر سازمانی بخواهد از استانداردها پیروی کند، برخی از اقدامات باید ممنوع شوند:
- تایید کنندهها و CSPها نباید قوانین متفاوتی برای ایجاد پسورد اعمال کنند. ( به عنوان مثال، الزام به استفاده ترکیبی از انواع مختلف کاراکترها).
- تایید کنندهها و CSPها نباید از کاربران بخواهند که پسورد خود را به صورت دورهای تغییر دهند.
“تایید کنندهها[1]” در این مورد، یک اصطلاح بروکراتیک برای سازمانهایی است که هویت مالک اکانت را با تایید دادههای احراز هویت آنها تایید میکنند و CSP[2] یک نهاد قابل اطمینان است که مسئول ثبت دادههای احراز هویت اکانت میباشد.
سند به روزرسانی شده NIST حاوی توصیههای دیگری نیز میباشد، از جمله:
- تایید کنندهها و CSPها باید پسوردهای حداقل هشت کاراکتری داشته باشند و حداقل طول پیشنهادی آن 15 کاراکتر باشد.
- تایید کنندهها و CSPها میبایست حداکثر طول پسورد را تا 64 کاراکتر مجاز بدانند.
- تایید کنندهها و CSPها باید اجازه دهند همه کاراکترهای قابل چاپ ASCII [RFC20] و کاراکتر فاصله یا space در پسورد استفاده شود.
- تایید کنندهها و CSPها میبایست کاراکترهای یونیکد [ISO/ISC 10646] را در پسوردها بپذیرند و هر کاراکتر یونیکد باید به عنوان یک کاراکتر در هنگام ارزیابی طول رمز عبور، در نظر گرفته شود.
- تایید کنندهها و CSPها نباید قوانین پسورد متفاوتی را ایجاد کنند ( برای مثال، الزام به ایجاد ترکیب متفاوتی از کاراکترها).
- تایید کنندهها و CSPها نباید از کاربران بخواهند که پسوردها را به طور دورهای تغییر دهند، اما اگر شواهدی مبنی بر در معرض هک قرار گرفتن تایید کننده وجود داشته باشد، تایید کنندهها باید تغییر پسورد را الزامی کنند.
- تایید کنندهها و CSPها نباید به کاربران اجازه دهند نکاتی را که برای کاربران احراز هویت نشده قابل دسترسی است، ذخیره کنند.
- تایید کنندهها و CSPها نباید از کاربران بخواهند که هنگام انتخاب پسورد از احراز هویت مبتنی بر دانش ( مثلا « نام اولین حیوان خانگی شما چه بوده است؟») یا سوالات امنیتی استفاده کنند.
- تایید کنندهها باید کل پسورد وارد شده را بررسی کنند (یعنی آن را کوتاه نکنند).
توصیههای جدید NIST، در صورت تصویب در سند نهایی، برای همه اجباری نخواهد بود اما میتواند دلیل قانع کنندهای برای کنار گذاشتن برخی شیوههای منسوخ باشد.
[1] Verifiers
[2] Credential service provider
منابع
