Naujosios gairės buvo paskelbtos 2024 m. rugsėjo mėnesį kaip NIST antrojo viešo projekto SP 800-63-4, naujausios Skaitmeninės tapatybės gairių versijos, dalis, skelbia portalas „Forbes“.
Slaptažodžių rekomendacijų pokytis
Daugelį metų pagal įprastą tvarką buvo rekomenduojama naudoti labai sudėtingus slaptažodžius, derinant didžiąsias ir mažąsias raides, skaičius ir simbolius. Buvo manoma, kad dėl tokio sudėtingumo slaptažodžius bus sunkiau atspėti ar nulaužti brutalios jėgos (angl. brutal force) atakomis.
Tačiau šie sudėtingi reikalavimai dažnai paskatindavo naudotojus išmokti blogus įpročius, pavyzdžiui, pakartotinai naudoti slaptažodžius arba rinktis pernelyg paprastus, vos atitinkančius kriterijus, pavyzdžiui, „P@ssw0rd123“.
Laikui bėgant NIST nustatė, kad toks dėmesys sudėtingumui buvo priešingas norimam rezultatui ir iš tikrųjų praktikoje silpnino saugumą.
Kodėl daugiausia dėmesio skiriama ilgiui, o ne sudėtingumui?
Naujausiose gairėse NIST atsisakė sudėtingumo taisyklių ir skatina naudoti ilgesnius slaptažodžius. Šį pokytį lėmė kelios priežastys.
Vartotojų elgsena
Tyrimai atskleidė, kad naudotojams dažnai sunku įsiminti sudėtingus slaptažodžius, todėl jie pakartotinai naudoja slaptažodžius keliose svetainėse arba remiasi lengvai atspėjamais modeliais, pavyzdžiui, raides keičia panašiai atrodančiais skaičiais ar simboliais.
Tokią elgseną skatino ir daugelio organizacijų reikalavimas keisti slaptažodį kas 60–90 dienų, kurio NIST nebesiūlo.
Slaptažodžių entropija
Slaptažodžių stiprumas dažnai matuojamas entropija, kuri yra nenuspėjamumo matas. Kitaip tariant, galimų kombinacijų, kurias galima sukurti naudojant slaptažodžio simbolius, skaičius. Kuo didesnis kombinacijų skaičius, arba entropija, tuo sunkiau įsilaužėliams nulaužti slaptažodį taikant brutalios jėgos arba spėjimo metodus.
Nors sudėtingumas gali prisidėti prie entropijos, ilgis vaidina daug didesnį vaidmenį. Ilgesnis slaptažodis su daugiau simbolių turi eksponentiškai daugiau galimų kombinacijų, todėl įsilaužėliams sunkiau atspėti slaptažodį, net jei patys simboliai yra paprastesni.
Žmogiškasis elementas
Ilgi slaptažodžiai, kuriuos lengva įsiminti, pavyzdžiui, slaptažodžių frazės, sudarytos iš kelių paprastų žodžių. Pavyzdžiui, „didelis šuo mažas žiurkėnas greita katė violetinė skrybėlė“ slaptažodžio forma, atėmus tarpus – „didelisšuomažasžiurkėnasgreitakatėvioletinėskrybėlė“ yra ir saugus, ir patogus naudoti.
Toks slaptažodis užtikrina pusiausvyrą tarp didelio entropiškumo ir patogumo naudoti, todėl naudotojai nesiima nesaugių veiksmų, pavyzdžiui, neužsirašinėja slaptažodžių ar jų nenaudoja pakartotinai.
Svarbus slaptažodžio ilgis
Nors sudėtingumas gali prisidėti prie entropijos, ilgis vaidina daug didesnį vaidmenį. Ilgesnis slaptažodis su daugiau simbolių turi eksponentiškai daugiau galimų kombinacijų, todėl įsilaužėliams sunkiau atspėti slaptažodį, net jei patys simboliai yra paprastesni.
Be to, dėl kompiuterių galios pažangos tapo lengviau nulaužti trumpus ir sudėtingus slaptažodžius. Tačiau net ir sudėtingi algoritmai sunkiai įveikia ilgus slaptažodžius dėl galimų kombinacijų skaičiaus.
Neseniai Niujorko meras Erikas Adamsas paskelbė, kad prieš perduodamas savo asmeninį išmanųjį telefoną teisėsaugai pakeitė keturių skaitmenų slaptažodį į šešių.
E. Adamsas papildė slaptažodį dviem skaitmenimis, todėl galimų kombinacijų skaičius nuo 10 tūkst. padidėjo iki 1 mln. Naujojoje rekomendacijoje NIST pabrėžia, kad naudotojams leidžiama kurti iki 64 simbolių ilgio slaptažodžius.
64 simbolių slaptažodį, kuriame naudojamos tik mažosios raidės ir tikri žodžiai, būtų labai sunku nulaužti. Jei būtų įtrauktos didžiosios raidės ir simboliai, matematiškai nulaužti slaptažodį būtų beveik neįmanoma.
