Parol siyosati - Password policy

A parol siyosati foydalanuvchilarni kuchli ishlashga undash orqali kompyuter xavfsizligini kuchaytirishga mo'ljallangan qoidalar to'plamidir parollar va ulardan to'g'ri foydalaning. Parol siyosati ko'pincha tashkilotning rasmiy qoidalariga kiradi va uning bir qismi sifatida o'qitilishi mumkin xavfsizlik to'g'risida xabardorlik trening. Yoki parol siyosati shunchaki maslahat beradi, yoki kompyuter tizimlari foydalanuvchilarni unga rioya qilishga majbur qiladi. Ba'zi hukumatlar autentifikatsiya qilishning milliy tizimlariga ega^[1] parollarga bo'lgan talablarni o'z ichiga olgan holda, davlat xizmatlari uchun foydalanuvchining autentifikatsiyasiga qo'yiladigan talablarni belgilaydigan.

NIST ko'rsatmalari

Amerika Qo'shma Shtatlari Savdo vazirligining Milliy standartlar va texnologiyalar instituti (NIST) keng qo'llanilgan parol siyosati uchun ikkita standartni e'lon qildi.

2004

2004 yildan boshlab "NIST Maxsus nashri 800-63. Ilova A ”.^[2] odamlarga tartibsiz kapitalizatsiya, maxsus belgilar va kamida bitta raqamdan foydalanishni maslahat berdi. Shuningdek, parollarni muntazam ravishda, kamida har 90 kunda o'zgartirishni tavsiya qildi. Ko'pgina tizimlar ushbu maslahatga amal qilishdi va korxonalar bajarishi kerak bo'lgan bir qator standartlarga "tayyor bo'lishdi".

2017

Biroq, 2017 yilda katta yangilanish ushbu maslahatni o'zgartirdi, xususan, murakkablik va muntazam o'zgarishlarga majbur qildi.^[3]^[4]^:5.1.1.2

Ularning asosiy nuqtalari:

Tasdiqlovchilar Kerak emas masalan, turli xil belgilar turlarini talab qiladigan yoki ketma-ket takrorlanadigan belgilarni taqiqlaydigan kompozitsion qoidalarni joriy qilish
Tasdiqlovchilar Kerak emas parollarni o'zboshimchalik bilan yoki muntazam ravishda o'zgartirishni talab qilish, masalan. oldingi 90 kunlik qoida
Parollar kerak kamida 8 ta belgidan iborat bo'lishi kerak
Parol tizimlari kerak kamida 64 ta belgidan iborat abonent tomonidan tanlangan parollarga ruxsat berish.
Barcha bosib chiqarish ASCII belgilar, kosmik belgi va Unicode belgilar kerak parollar bilan qabul qilinadi
Parollarni o'rnatishda yoki o'zgartirishda tekshiruvchi kerak abonentga zaif yoki buzilgan parolni tanlagan bo'lsa, boshqa parolni tanlashi kerakligini maslahat bering
Tasdiqlovchilar kerak foydalanuvchiga kuchli parolni tanlashda yordam berish uchun parolni o'lchash o'lchagichi kabi ko'rsatmalarni taklif eting
Tasdiqlovchilar kerak parollarni oflayn hujumlarga chidamli shaklda saqlang. Parollar kerak bo'lishi tuzlangan va mos keladigan bir tomonlama foydalanib xeshlash tugmachani chiqarish funktsiyasi. Kalitni ishlab chiqarish funktsiyalari parol, tuz va xarajat omillarini oladi, chunki kirish sifatida parol aralashtiriladi. Ularning maqsadi har bir parolni xesh faylini olgan tajovuzkor tomonidan har bir parolni taxmin qilish uchun sinovni qimmatga tushirish va shuning uchun taxminiy hujumning narxi juda yuqori yoki juda katta.

NIST yangi ko'rsatmalar uchun asosni A ilovasiga kiritdi.

Aspektlari

Parol siyosatining odatiy tarkibiy qismlariga quyidagilar kiradi:

Parolning uzunligi va shakllanishi

Ko'p qoidalar parolning minimal uzunligini talab qiladi. Sakkizta belgi odatiy, ammo mos kelmasligi mumkin.^[5]^[6]^[7] Uzunroq parollar odatda xavfsizroq bo'ladi, ammo ba'zi tizimlar ularga muvofiqligi uchun maksimal uzunlikni belgilaydilar eski tizimlar.

Ba'zi qoidalar foydalanuvchi qaysi turdagi parolni tanlashi mumkinligiga quyidagilarni taklif qiladi yoki qo'yadi, masalan:

ham katta, ham kichik harflardan foydalanish (ishning sezgirligi )
bir yoki bir nechta raqamli raqamlarni kiritish
@, #, $ kabi maxsus belgilarni kiritish
parolda topilgan so'zlarni taqiqlash bloklar ro'yxati
foydalanuvchining shaxsiy ma'lumotlarida so'zlarni taqiqlash
firma nomi yoki qisqartmasidan foydalanishni taqiqlash
taqvim sanalari formatiga mos keladigan parollarni taqiqlash, davlat raqami raqamlar, telefon raqamlari yoki boshqa umumiy raqamlar

Boshqa tizimlar foydalanuvchi uchun dastlabki parolni yaratadi; ammo qisqa vaqt ichida uni o'zlari tanlagan biriga o'zgartirishni talab qiladilar.

Parolni blokirovka qilish ro'yxati

Parolni blokirovka qilish ro'yxatlari - bu har doim ishlatilishi taqiqlangan parollar ro'yxati. Blok ro'yxatlarida aks holda kompaniya siyosatiga mos keladigan belgilar kombinatsiyasidan tuzilgan parollar mavjud, ammo ular bir yoki bir nechta sabablarga ko'ra xavfli deb topilganligi sababli endi ishlatilmasligi kerak, masalan, osonlikcha taxmin qilish, odatiy naqshga amal qilish yoki avvalgi ma'lumotlarning ommaviy ravishda oshkor etilishi ma'lumotlar buzilishi. Parol1, Qwerty123 yoki Qaz123wsx keng tarqalgan misollardir.

Parolning davomiyligi

Ba'zi qoidalar foydalanuvchilarga parollarni vaqti-vaqti bilan, ko'pincha har 90 yoki 180 kunda o'zgartirishni talab qiladi. Parolning amal qilish muddati tugashining foydasi, ammo munozarali.^[8]^[9] Bunday siyosatni amalga oshiradigan tizimlar ba'zida foydalanuvchilarni avvalgi tanlovga juda yaqin parolni tanlashiga to'sqinlik qiladi.^[10]

Ushbu siyosat ko'pincha teskari natija berishi mumkin. Ba'zi foydalanuvchilar buni o'ylab topishlari qiyin "yaxshi "parollarni eslab qolish ham oson, shuning uchun odamlar ko'p parollarni tanlashlari kerak bo'lsa, chunki ularni tez-tez o'zgartirishi kerak, ular juda zaif parollardan foydalanadilar foydalanuvchi yaqinda parolni takrorlashi uchun, har kimning yaqinda (yoki ularning) parollari mavjud bo'lgan ma'lumotlar bazasi bo'lishi kerak xeshlar ) eskirganlarini xotiradan o'chirish o'rniga. Va nihoyat, foydalanuvchilar bir necha daqiqa ichida parollarini qayta-qayta o'zgartirishi mumkin va keyin parolni o'zgartirish siyosatini butunlay chetlab o'tib, haqiqatan ham foydalanmoqchi bo'lgan parolga qaytishi mumkin.

Parollarning insoniy jihatlari ham e'tiborga olinishi kerak. Kompyuterlardan farqli o'laroq, inson foydalanuvchilari bitta xotirani o'chira olmaydi va boshqasini o'zgartira olmaydi. Binobarin, yodlangan parolni tez-tez almashtirish inson xotirasida zo'riqish bo'lib, ko'pchilik foydalanuvchilar taxmin qilish oson bo'lgan parolni tanlashga murojaat qilishadi (Qarang Parolni charchash ). Foydalanuvchilarga ko'pincha foydalanish tavsiya etiladi mnemonik murakkab parollarni eslab qolish uchun qurilmalar. Ammo, agar parolni qayta-qayta o'zgartirish kerak bo'lsa, mnemonika foydasiz, chunki foydalanuvchi qaysi mnemonikani ishlatishini eslay olmaydi. Bundan tashqari, mnemonikadan foydalanish ("2BOrNot2B" kabi parollarga olib keladi) parolni taxmin qilishni osonlashtiradi.

Ma'muriy omillar ham muammo bo'lishi mumkin. Ba'zan foydalanuvchilarda eski qurilmalar mavjud bo'lib, ular parol muddati tugashidan oldin ishlatilgan parolni talab qiladi.^{[tushuntirish kerak ]} Ushbu eski qurilmalarni boshqarish uchun foydalanuvchilar eski qurilmaga kirishlari kerak bo'lsa, barcha eski parollarni yozib olishga majbur bo'lishlari mumkin.

Juda kuchli parolni talab qilish va uni o'zgartirishni talab qilmaslik ko'pincha yaxshiroqdir.^[11] Biroq, ushbu yondashuvning katta kamchiliklari bor: agar ruxsatsiz shaxs parolga ega bo'lsa va uni aniqlanmasdan ishlatsa, u kishi noma'lum muddatga kirish huquqiga ega bo'lishi mumkin.

Ushbu omillarni tortib olish kerak: kimdir parolni zaif deb bilishi ehtimoli, kimdir uni o'g'irlashni yoki boshqacha taxmin qilmasdan, kuchliroq parolni qo'lga kiritishni boshqarishi ehtimolligi bilan.

Bryus Shnayer "esda tutilishi mumkin bo'lgan har qanday narsa yorilib ketishi mumkin" deb ta'kidlaydi va hech qanday lug'atlarda ko'rinmaydigan parollardan foydalanadigan sxemani tavsiya qiladi.^[12]

Sanktsiya

Parol siyosati ogohlantirishlardan boshlanadigan va kompyuter imtiyozlarini yo'qotish yoki ish tugatish bilan yakunlanadigan ilg'or sanktsiyalarni o'z ichiga olishi mumkin. Agar maxfiylik qonun bilan belgilanadigan bo'lsa, masalan. bilan maxfiy ma'lumotlar, parol siyosatini buzish jinoiy javobgarlikka sabab bo'lishi mumkin^{[iqtibos kerak ]}. Biroz^{[JSSV? ]} xavfsizlikning sanktsiyalar bilan tahdid qilishdan ko'ra samaraliroq bo'lishining muhimligini ishonchli tushuntirishni ko'rib chiqing^{[iqtibos kerak ]}.

Tanlash jarayoni

Kerakli parol kuchi darajasi, boshqa narsalar qatori, tajovuzkor uchun bir nechta taxminlarni yuborish qanchalik oson bo'lishiga bog'liq. Ba'zi tizimlar foydalanuvchi biron bir kechikish yoki hisobni bloklashdan oldin noto'g'ri parolni kiritish vaqtini cheklaydi. Boshqa tomondan, ba'zi tizimlar a maxsus xesh parolning versiyasi, shunda har kim uning haqiqiyligini tekshirishi mumkin. Bu amalga oshirilgach, tajovuzkor parollarni juda tez sinab ko'rishi mumkin; xavfsizligi uchun juda kuchli parollar zarur. (Qarang parolni buzish va parol uzunligi tenglamasi.) Qattiqroq talablar root yoki tizim ma'muri qayd yozuvlari kabi yuqori imtiyozlarga ega bo'lgan qayd yozuvlari uchun ham javob beradi.

Foydalanish imkoniyatlari

Parol siyosati odatda nazariy xavfsizlik va inson xulq-atvori amaliyoti o'rtasidagi o'zaro bog'liqlikdir. Masalan:

Haddan tashqari murakkab parollarni talab qilish va ularni tez-tez o'zgartirishga majbur qilish, foydalanuvchilar buzg'unchini topish oson bo'lgan joylarda, masalan, parollarni yozishiga olib kelishi mumkin. Rolodex yoki post-it note kompyuter yaqinida.
Foydalanuvchilar ko'pincha boshqarish uchun o'nlab parollarga ega. Xavfsizligi past bo'lgan barcha ilovalar uchun, masalan, on-layn gazetalarni o'qish va o'yin-kulgi veb-saytlariga kirish uchun bitta paroldan foydalanishni tavsiya etish yanada aniqroq bo'lishi mumkin.
Xuddi shunday, foydalanuvchilardan hech qachon parollarini yozmasligini talab qilish haqiqatga mos kelmasligi va foydalanuvchilarning zaiflarini tanlashiga olib kelishi mumkin (yoki foydalanuvchilar parollarini unutganda juda ko'p noqulayliklar keltirib chiqaradi). Shu bilan bir qatorda, yozma parollarni xavfsiz joyda saqlashni taklif qilish, masalan xavfsiz yoki shifrlangan asosiy fayl. Ushbu yondashuvning haqiqiyligi tahdid qanday bo'lishi mumkinligiga bog'liq. Agar parolni yozish muammoli bo'lishi mumkin, agar potentsial tajovuzkorlar xavfsiz do'konga kirish huquqiga ega bo'lsa, agar tahdid asosan do'konga kirish huquqiga ega bo'lmagan masofaviy tajovuzkorlar bo'lsa, bu juda xavfsiz usul bo'lishi mumkin.
Agar foydalanuvchi kerak bo'lsa, maxsus belgilarni kiritish muammo bo'lishi mumkin tizimga kiring boshqa mamlakatda joylashgan kompyuter. Ba'zi bir maxsus belgilarni boshqa til uchun yaratilgan klaviaturalardan topish qiyin yoki imkonsiz bo'lishi mumkin.
Biroz shaxsni boshqarish tizimlar imkon beradi o'z-o'ziga xizmat ko'rsatish parolini tiklash, bu erda foydalanuvchilar bir yoki bir nechtasiga javob berish orqali parol xavfsizligini chetlab o'tishlari mumkin xavfsizlik masalalari masalan, "qaerda tug'ilgansiz?", "sevimli filmingiz qaysi?" va boshqalar. Ko'p hollarda ushbu savollarga javoblarni osongina olish mumkin. ijtimoiy muhandislik, fishing yoki oddiy tadqiqot.

2010 yilda parol qoidalarini tekshirish^[13] 75 ta turli xil veb-saytlarning xavfsizligi qisman qat'iyroq qoidalarni tushuntiradi degan xulosaga keladi: xizmatning monopoliyaviy provayderlari, masalan, hukumat saytlari, iste'molchilar tanlash imkoniga ega bo'lgan saytlarga (masalan, chakana savdo saytlari va banklar) nisbatan qat'iyroq siyosatga ega. Tadqiqot natijalariga ko'ra, qat'iy siyosat yuritadigan saytlar "xavfsizlikning katta muammolariga duch kelmaydilar, ular shunchaki yomon foydalanishga olib keladigan oqibatlardan yaxshiroq izolyatsiya qilingan".

Odatda oddiy parollarga qaraganda xavfsizroq deb hisoblanadigan boshqa yondashuvlar mavjud. Ular orasida a xavfsizlik belgisi yoki bir martalik parol kabi tizim S / kalit, yoki ko'p faktorli autentifikatsiya.^[14] Biroq, ushbu tizimlar xavfsizlik va qulaylik o'rtasidagi savdoni kuchaytiradi: muvofiq Shuman Ghosemajumder, ushbu tizimlarning barchasi xavfsizlikni yaxshilaydi, ammo "yukni oxirgi foydalanuvchiga etkazish evaziga" keladi.^[15]

Siyosatni amalga oshirish

Parol siyosati qanchalik murakkab bo'lsa, foydalanuvchi eslab qolish yoki mos parolni tanlashda qiyinchilik tug'dirishi sababli, uni amalga oshirish qiyinroq bo'lishi mumkin.

Ko'pgina kompaniyalar foydalanuvchilarga har qanday parol siyosati bilan tanishishni talab qilishadi, xuddi shu tarzda kompaniya xodimlaridan xabardor bo'lishlarini talab qiladi Sog'liqni saqlash va xavfsizlik qoidalar yoki binolarni yong'inga qarshi chiqish yo'llari, ammo ko'pincha siyosatni avtomatik ravishda amalga oshiradigan tizimlarsiz tegishli siyosatlarga amal qilinishini ta'minlash qiyin. Kabi ko'plab tizimlar Microsoft Windows, talab qilingan parollar o'rnatilgan siyosatni amalga oshirishning ichki usullariga ega. Bu siyosat bajarilishini ta'minlashning yagona ishonchli usuli.

Shuningdek qarang

Adabiyotlar

^ Standartlashtirilgan parol siyosati bilan parolni boshqarish qulayligini oshirish. 2012-10-12 da olingan.
^ "Elektron autentifikatsiya qilish bo'yicha ko'rsatma" (PDF). nist.gov. USG. Olingan 9 aprel 2020.
^ Statt, Nik (2017 yil 7-avgust). "Asl muallif o'z maslahatidan afsuslangandan so'ng yangilangan parollar bo'yicha eng yaxshi amaliyotlar". The Verge. Olingan 9 aprel 2020.
^ Grassi Pol A. (iyun 2017). SP 800-63B-3 - raqamli identifikatsiya qilish bo'yicha ko'rsatmalar, autentifikatsiya va hayot aylanishini boshqarish. NIST. doi:10.6028 / NIST.SP.800-63b. Ushbu maqola ushbu manbadagi matnni o'z ichiga oladi jamoat mulki.
^ "Parolning murakkabligi talablari". Xato jozibasi. 2012 yil 7 sentyabr.
^ "Parollar qancha bo'lishi kerak?". Xato jozibasi. 2016 yil 20-iyun.
^ Jon D. Satter (2010 yil 20-avgust). "Qanday qilib" super parolni yaratish kerak'". CNN. Olingan 31 avgust, 2016.
^ "Parolning amal qilish muddati tugashini majburlash bilan bog'liq muammolar". IA masalalari. CESG: GCHQ axborot xavfsizligi qo'li. 15 Aprel 2016. Arxivlangan asl nusxasi 2016 yil 17-avgustda. Olingan 5 avgust 2016.
^ spaf (2006 yil 19 aprel). "Xavfsizlik haqidagi afsonalar va parollar". CERIAS.
^ "Maslahat: parol siyosatini tatbiq etishning eng yaxshi usullari". Microsoft. Olingan 2018-03-01.
^ Yinqian Chjan; Fabian Monrose; Maykl K. Reyter (2010). Zamonaviy parol muddati tugashining xavfsizligi: algoritmik asos va empirik tahlil (PDF). Kompyuter va aloqa xavfsizligi bo'yicha 17-ACM konferentsiyasi materiallari. Nyu-York, Nyu-York, AQSh. 176-186 betlar. doi:10.1145/1866307.1866328.
^ "Xavfsiz parollarni tanlash". BoingBoing. 2014 yil mart - xavfsizlik bo'yicha Schneier orqali.
^ Xavfsizlik politsiyasi qayerdan keladi? Proc. Simp. Foydalanish mumkin bo'lgan maxfiylik va xavfsizlik, 2010 yil
^ spaf (2006 yil 11-may). "Parollar va afsonalar". CERIAS.
^ Rozenbush, Stiven; Norton, Stiven (2015 yil 27-may). "CISOs uchun IRS buzilishi xavfsizlik va foydalanuvchi uchun qulaylik o'rtasidagi keskinlikni ta'kidlaydi". The Wall Street Journal.

[1] Standartlashtirilgan parol siyosati bilan parolni boshqarish qulayligini oshirish. 2012-10-12 da olingan.

[2] "Elektron autentifikatsiya qilish bo'yicha ko'rsatma" (PDF). nist.gov. USG. Olingan 9 aprel 2020.

[3] Statt, Nik (2017 yil 7-avgust). "Asl muallif o'z maslahatidan afsuslangandan so'ng yangilangan parollar bo'yicha eng yaxshi amaliyotlar". The Verge. Olingan 9 aprel 2020.

[sp800-63B-4] Grassi Pol A. (iyun 2017). SP 800-63B-3 - raqamli identifikatsiya qilish bo'yicha ko'rsatmalar, autentifikatsiya va hayot aylanishini boshqarish. NIST. doi:10.6028 / NIST.SP.800-63b. Ushbu maqola ushbu manbadagi matnni o'z ichiga oladi jamoat mulki.

[5] "Parolning murakkabligi talablari". Xato jozibasi. 2012 yil 7 sentyabr.

[6] "Parollar qancha bo'lishi kerak?". Xato jozibasi. 2016 yil 20-iyun.

[7] Jon D. Satter (2010 yil 20-avgust). "Qanday qilib" super parolni yaratish kerak'". CNN. Olingan 31 avgust, 2016.

[WEB-8] "Parolning amal qilish muddati tugashini majburlash bilan bog'liq muammolar". IA masalalari. CESG: GCHQ axborot xavfsizligi qo'li. 15 Aprel 2016. Arxivlangan asl nusxasi 2016 yil 17-avgustda. Olingan 5 avgust 2016.

[9] spaf (2006 yil 19 aprel). "Xavfsizlik haqidagi afsonalar va parollar". CERIAS.

[10] "Maslahat: parol siyosatini tatbiq etishning eng yaxshi usullari". Microsoft. Olingan 2018-03-01.

[11] Yinqian Chjan; Fabian Monrose; Maykl K. Reyter (2010). Zamonaviy parol muddati tugashining xavfsizligi: algoritmik asos va empirik tahlil (PDF). Kompyuter va aloqa xavfsizligi bo'yicha 17-ACM konferentsiyasi materiallari. Nyu-York, Nyu-York, AQSh. 176-186 betlar. doi:10.1145/1866307.1866328.

[12] "Xavfsiz parollarni tanlash". BoingBoing. 2014 yil mart - xavfsizlik bo'yicha Schneier orqali.

[13] Xavfsizlik politsiyasi qayerdan keladi? Proc. Simp. Foydalanish mumkin bo'lgan maxfiylik va xavfsizlik, 2010 yil

[14] spaf (2006 yil 11-may). "Parollar va afsonalar". CERIAS.

[15] Rozenbush, Stiven; Norton, Stiven (2015 yil 27-may). "CISOs uchun IRS buzilishi xavfsizlik va foydalanuvchi uchun qulaylik o'rtasidagi keskinlikni ta'kidlaydi". The Wall Street Journal.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]