"Május elsején lezárult a NIST (az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézete) által megfogalmazott új digitális személyazonossági irányelvek (Digital Identity Guidelines) nyilvános vitája, és az anyag készen áll a véglegesítésre. A tervezet új, továbbfejlesztett jelszókövetelményeket tartalmaz, megváltoztatva az eddigi szokásokat és a hozzájuk kapcsolódó kellemetlenségeket."
Melyek a fő változások?
• Nincs többé kötelező szabály a jelszavak összetételéről
• Megszűnik a rendszeres kötelező jelszóváltoztatás
• Megszűnik a jelszóemlékeztető és a tudás alapú azonosítás
• Feketelista
• Több karakterből lehet majd választani
• A minimális hosszúság 8 karakter lesz
• Az egyfaktoros azonosítás nem elég, az sms-eket viszont nem kellene használni
http://www.napi.hu/tech/gyokeres_valtozas_kozeleg_a_jelszavaknal_ez_ont…
https://pages.nist.gov/800-63-3/sp800-63-3.html
- 1712 megtekintés
Hozzászólások
És ez kire lesz kötelező? Ha jól sejtem, nálunk a NIST nem diktál.
Én mindig kiakadok, amikor egy site nem fogad el betűkön és számokon kívül mást, míg egy másik site megkövetel még legalább egy speciális karaktert, megint másik előír kisbetűt és nagybetűt. Van olyan site, amelyik nyilvántartja az összes korábbi jelszavamat, és nem engedi ugyanazt újból akár évekre visszamenőleg.
- A hozzászóláshoz be kell jelentkezni
Ha véglegesítésre kerül, akkor szépen, lassan mindenki át fogja venni az új standardot. Ahogy a régi NIST standardok is hivatkozási alapot képeztek, úgy az újak is azt fognak.
Kíváncsi vagyok, hogy hogyan fogja az IT SEC szakma ezt a paradigmaváltást megélni, mik lesznek a reakciók. Arcvesztés, agyonhallgatás, kivárás, üdvözlés, azonnali alkalmazkodás.
Érdekesnek ígérkezik.
- A hozzászóláshoz be kell jelentkezni
lassan mindenki át fogja venni az új standardot
Eddig se vették át, most mitől lenne ez másként?
- A hozzászóláshoz be kell jelentkezni
Gondolom az USA-ban (is) működő weblapoknál bevezetik ezt, aztán bárhol élsz, ha azt az oldalt használod, te is érzed a változást.
- A hozzászóláshoz be kell jelentkezni
Nem. A működési terület szabályozása számit. Tehát nekünk az EU.
--
GPLv3-as hozzászólás.
- A hozzászóláshoz be kell jelentkezni
„This publication may be used by nongovernmental organizations on a voluntary basis and is not subject to copyright in the United States.”
- A hozzászóláshoz be kell jelentkezni
A jelszóemlékeztető és tudás alapú azonosítás megszűnik?
Nem mondom, szerintem a legtisztább, ha az ember kér egy password reset emailt.
Ettől függetlenül használok/használtam több olyan oldalt, amik különböző trükkös kérdéseket feltettek. Volt, amelyik minden belépéskor megkérdezte, hogy mi a kutyám neve, vagy az első autóm márkája vagy akármi, más oldalak meg pl. jelszó változtatáskor kérték ezt a régi jelszó mellett.
Igen, a két faktoros ennél általában jobb.
Szóval ez a kettő gondokat okozott? Könnyen feltörhetőeknek bizonyultak? Vagy valami más oka van?
- A hozzászóláshoz be kell jelentkezni
Elméletileg nincs vele baj, de a gyakorlatban már kevésbé tűnik biztonságosnak.
CISO Advisory’s Take. While password hints and knowledge-based authentication in theory can be useful, they are in practice insecure. “Favorite food that rhymes with gacho” is a good “hint” in the sense that it will likely result in the user remembering his/her password. Problem is, of course, that anyone can figure out what it is. Mmmm, nachos.
https://www.cisoadvisory.com/cai-blog/2016/10/24/nist-proposes-new-appr…
- A hozzászóláshoz be kell jelentkezni
Feketelista honnan jönne, kik karbantartanák?
2 faktoros azonosításnál, ha az SMS kilőve, mik még jó alternatívák?
- A hozzászóláshoz be kell jelentkezni
HOTP/TOTP (pl. Google Authenticator), FIDO U2F (pl. Yubikey). Mindkettot hihetetlenul egyszeru implementalni.
--
Pásztor János
Sole Proprietor @ Opsbears | Refactor Zone
- A hozzászóláshoz be kell jelentkezni
Google, Facebook belépés esetén mostanában a telefonom megkérdezi, hogy te akarsz belépni? Igen vagy Nem közül választhatok.
Bankom pl. kód generátort használ (ami lehet fizikai vagy okostelefonon alkalmazás az én választásom szerint)
- A hozzászóláshoz be kell jelentkezni
Mármint a telefonon lévő google és face kliens? Csak mondjuk egy SMS-hez nem kell se mobilnet (na jó ott a Wifi) se okosteló, se külön token hardver.
- A hozzászóláshoz be kell jelentkezni
A TOTP-hez sem kell. Sőt, térerő sem.
- A hozzászóláshoz be kell jelentkezni
Igen, ha arra vagy kíváncsi, hogy ki kérdez.
Szóval a laptopomon a böngészővel megnyitom mondjuk a gmailt vagy a facebookot, a jelszó megadás után azt mondja, most jön a második faktor. A telefonom zizeg, és a képernyőn megjelenik a kérdés.
És ahogy írtam, a bankom kódgenerátort ad, ami vagy egy külön hardver, ha nincs telefonom, vagy egy mobil app, aminek nem kell adatkapcsolat, se SMS, semmi, ha van (működő) telefonom.
- A hozzászóláshoz be kell jelentkezni
Alapvetően a side-channel alapú megoldásokban érdemes gondolkodni (papíron a kezedbe nyomják az OTP listát, adnak egy fizikai tokent, smartcardot). Persze ezek jellemzően kényelmetlenek.
A mai tudás szerint a GSM-alapú megoldások (SMS, gépi visszahívás) nem tekinthetők igazán biztonságosnak.
Ezen felül a full SW-es tokenmegoldások is max. addig biztonságosak, amíg a készülék meg a környezet, amiben laknak, biztonságos. Mivel normál használatú készülékek oprendszereiben időről-időre találnak problémákat, itt kb. az egyetlen védelem az tud lenni, ha sehogyan se köthető a készülék hozzá se a tulajdonos személyéhez, se az authentikációs célhoz. Kicsit lefordítva: ha a smartphone-on fut a 2. faktor SW-esen, akkor azt a smartphone-t nem használhatod kb. semmire, de különösen nem böngészésre, és nem lehet semmilyen adat a telefonon (pl. Google account loginja), amiből azonosítható, hogy kié a telefon. Na emiatt nagyjából ki is húznám a SW-es tokeneket a biztonságos megoldások közül.
- A hozzászóláshoz be kell jelentkezni
baromság. Mondjuk azt csinálnak ami akarnak lol...
--
GPLv3-as hozzászólás.
- A hozzászóláshoz be kell jelentkezni