خانه » الزامات و سیاست‌های جدید موسسه NIST در تعیین پسورد!

الزامات و سیاست‌های جدید موسسه NIST در تعیین پسورد!

توسط Vulnerbyte
406 بازدید
پسورد - vulnerbyte - گذرواژه - NIST - پیش نویس عمومی SP 800-63-4 - الزامات پسورد

NIST یا موسسه ملی فناوری و استانداردها، یک نهاد فدرال است که استانداردهای فناوری را برای سازمان‌های دولتی، استاندارد و شرکت‌های خصوصی تنظیم می‌کند. این موسسه در توصیه اخیر خود اعلام کرده است که برخی الزامات پسورد (گذرواژه) می‌بایست اصلاح شوند.

NIST توصیه کرده است که از این به بعد از ریسِت یا بازنشانی دوره‌ای اجباری، الزامات یا محدودیت‌های استفاده از کاراکترهای خاص و همچنین سوالات امنیتی چشم پوشی شود.

واقعیت این است که اغلب، رعایت قوانین پسورد تعیین شده توسط کارفرمایان، آژانس‌های فدرال و سرویس‌های آنلاین بسیار دشوار است. اکثر این قوانین که ظاهرا برای افزایش سطح امنیت طراحی شده‌اند، باعث تضعیف آن می‌شوند اما همچنان رعایت این قوانین لازم الاجرا می‌باشد.

مقامات NIST در ماه سپتامبر، دومین پیش نویس عمومی SP 800-63-4 که آخرین نسخه دستورالعمل‌های هویت دیجیتال است را منتشر کردند. این سند، الزامات فنی و توصیه‌هایی را برای متدهای مورد استفاده برای احراز هویت در اینترنت، ارائه می‌دهد. سازمان‌هایی که به صورت آنلاین با دولت فدرال ایالات متحده تعامل دارند، ملزم به رعایت این قوانین هستند.

بخش پسورد یا گذرواژه حاوی تعداد زیادی قوانین است که با استانداردهای پذیرفته شده امروزی در تضاد می‌باشد! به عنوان مثال، پیشنهاد شده است که کاربران مجبور به تغییر پسوردها به صورت دوره‌ای نباشند!

این قوانین به چندین دهه قبل باز می‌گردد زمانی که امنیت پسورد هنوز به درستی درک نشده بود و اغلب کاربران نام‌ها و کلمات ساده‌ای را انتخاب می‌کردند که به راحتی قابل حدس بودند. اکثر سرویس‌ها از آن زمان، شروع به استفاده از پسوردهای قوی‌ متشکل از کاراکترهای کوچک و بزرگ، اعداد، کاراکترهای خاص و عبارات تصادفی کردند.

اگر پسوردها به درستی انتخاب شوند، تغییر دوره‌ای آن‌ها (هر یک تا سه ماه یکبار) می‌تواند منجر به کاهش امنیت شود و این فقط کاربران را تشویق می‌کند تا از پسوردهای ضعیف‌تری که ایجاد و به خاطر سپردن آن‌ها آسان باشد، استفاده کنند.

از دیگر الزاماتی که NIST معتقد است بیشتر از سود و فایده، ضرر دارد، الزام یا ممنوعیت استفاده از کاراکترهای خاص در پسوردها می‌باشد. به عنوان مثال، تاکنون قوانین اینگونه بوده است که پسورد باید شامل اعداد، کاراکتر خاص، حروف بزرگ و کوچک باشد.

به عقیده NIST چنانچه پسوردها به اندازه کافی طولانی و تصادفی باشند، چنین محدودیت‌هایی هیچ فایده‌ای ندارند.

دستورالعمل‌های به روزرسانی شده NIST بیانگر آن است که اگر سازمانی بخواهد از استانداردها پیروی کند، برخی از اقدامات باید ممنوع شوند:

  • تایید کننده‌ها و CSP‌ها نباید قوانین متفاوتی برای ایجاد پسورد اعمال کنند. ( به عنوان مثال، الزام به استفاده ترکیبی از انواع مختلف کاراکترها).
  • تایید کننده‌ها و CSPها نباید از کاربران بخواهند که پسورد خود را به صورت دوره‌ای تغییر دهند.

“تایید کننده‌ها[1]” در این مورد، یک اصطلاح بروکراتیک برای سازمان‌هایی است که هویت مالک اکانت را با تایید داده‌های احراز هویت آن‌ها تایید می‌کنند و CSP[2] یک نهاد قابل اطمینان است که مسئول ثبت داده‌های احراز هویت اکانت می‌باشد.

سند به روزرسانی شده NIST حاوی توصیه‌های دیگری نیز می‌باشد، از جمله:

  • تایید کننده‌ها و CSPها باید پسوردهای حداقل هشت کاراکتری داشته باشند و حداقل طول پیشنهادی آن 15 کاراکتر باشد.
  • تایید کننده‌ها و CSPها می‌بایست حداکثر طول پسورد را تا 64 کاراکتر مجاز بدانند.
  • تایید کننده‌ها و CSPها باید اجازه دهند همه کاراکترهای قابل چاپ ASCII [RFC20] و کاراکتر فاصله یا space در پسورد استفاده شود.
  • تایید کننده‌ها و CSPها می‌بایست کاراکترهای یونیکد [ISO/ISC 10646] را در پسوردها بپذیرند و هر کاراکتر یونیکد باید به عنوان یک کاراکتر در هنگام ارزیابی طول رمز عبور، در نظر گرفته شود.
  • تایید کننده‌ها و CSPها نباید قوانین پسورد متفاوتی را ایجاد کنند ( برای مثال، الزام به ایجاد ترکیب متفاوتی از کاراکترها).
  • تایید کننده‌ها و CSPها نباید از کاربران بخواهند که پسوردها را به طور دوره‌ای تغییر دهند، اما اگر شواهدی مبنی بر در معرض هک قرار گرفتن تایید کننده وجود داشته باشد، تایید کننده‌ها باید تغییر پسورد را الزامی کنند.
  • تایید کننده‌ها و CSPها نباید به کاربران اجازه دهند نکاتی را که برای کاربران احراز هویت نشده قابل دسترسی است، ذخیره کنند.
  • تایید کننده‌ها و CSPها نباید از کاربران بخواهند که هنگام انتخاب پسورد از احراز هویت مبتنی بر دانش ( مثلا « نام اولین حیوان خانگی شما چه بوده است؟») یا سوالات امنیتی استفاده کنند.
  • تایید کننده‌ها باید کل پسورد وارد شده را بررسی کنند (یعنی آن را کوتاه نکنند).

توصیه‌های جدید NIST، در صورت تصویب در سند نهایی، برای همه اجباری نخواهد بود اما می‌تواند دلیل قانع کننده‌ای برای کنار گذاشتن برخی شیوه‌های منسوخ باشد.

 

[1] Verifiers

[2] Credential service provider

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید