A családtag, háziállat neve sajnos még mindig sokszor szerepel a jelszavakban. Sajnos sokan valóban nem végzik el ezt a "munkát", nem gondolkodnak egyedi, szofisztikált jelszavak használatán, így lehetett 2016-ban megint az "123456" a Worst Password lista első helyezettje.
A nemsokára életbelépő NIST szabályozás felhasználóbarát és biztonságos megközelítést ígér a jelszavak használatának területén. Bár az iránymutatások csak a szövetségi ügynökségekre nézve kötelezőek, azonban nagy befolyást gyakorolnak majd a szervezetekre általában, és ez világszerte érinteni fogja az internethasználókat.
Például megszűnik a rendszeres kötelező jelszóváltoztatás, és a jelszó-emlékeztető valamint a tudás alapú azonosítás. Ezen a területen azért is fontos munkálkodni, mert az incidensek jelentős részében gyenge pontnak bizonyul.
Mindannyian ismerjük az új internetes fiók létrehozásakor tapasztalt kellemetlenségeket. Miután megpróbáljuk megadni a számunkra legmegfelelőbb jelszót, gyakran ütközünk a következő hibaüzenetekbe: "A jelszónak tartalmaznia kell legalább egy nagybetűt/speciális karaktert/számot". Majd miután beleírunk mindent, megjelennek a nem várt üzenetek: "A jelszó nem tartalmazhatja az ön által megadott karaktert", vagy "A választott jelszó túl hosszú".
A jelszavak világnapja (a World Password Day minden év május első szerdája) alkalmából az ESET szakemberei összeszedték a legfontosabb tudnivalókat a belépőkódokat érintő, a közeljövőben várható szabályozásról. Nincs többé kötelező szabály a jelszavak összetételéről, vagyis visszavonásra kerülnének a jelszavak összetételéről szóló szabályok, mint például a kis és nagybetűk, számok és speciális karakterek kötelező szerepeltetése a belépőkódokban. Ennek oka, hogy ezek a szabályok elvétve eredményeznek erősebb jelszavakat, sokkal inkább gyenge, és/vagy nehezen megjegyezhető kódok generálására veszik rá a felhasználókat.
Az új szabályozás azt is tanácsolja, hogy ne kérjenek rendszeres jelszóváltoztatást a felhasználóktól, hacsak ők maguk nem kezdeményezik, vagy ha valamilyen adatvesztés történt a szervezetnél. Ennek oka, hogy a felhasználóknak nincs türelmük állandóan új, erősebb jelszavakat kitalálni, így ez a megoldás több kárt okoz, mint hasznot.
A jelszó-emlékeztetők és a tudás alapú azonosítás segíthet az elfelejtett jelszavak megtalálásában, azonban ezek az adatok nagy értéket jelentenek a kiberbűnözők számára is, így egyre több oldalon szűnik meg ezek használata. Emlékezetes, hogy egy korábbi "Secrets, Lies, and Account Recovery" nevű hamis biztonságérzetet ad az, ha például a születési helyünk a válasz, hiszen ha belegondolunk, rengetegen születtek például Budapesten, de gond emellett az is, hogy az ilyen adat könnyen kitalálható. Például a koreai anyanyelvűek között 10 találgatásos próbálkozásból 39%-ban sikerült megfejteni a helyes választ, persze amiatt is, hogy nem túl sok nagyváros neve merülhet fel ilyenkor.
Nyilván az is árnyalja a jelszó-emlékeztető használatát, hogy sokan ahogy a jelszavukra sem emlékeznek egy idő után, úgy a jelszó-emlékeztető kérdés-választ is totálisan elfelejtik. Egy tesztmérés szerint egy hónappal később még 74% emlékszik, de három hónap után ez az arány már csak 50% volt.
A jelszavak összetételének szabályozása helyett a NIST egy feketelista használatát javasolja, amely tartalmazza a leggyakrabban használt és/vagy korábban kiszivárgott jelszavakat, így ezek megadására már nem lesz lehetőség. Ezt részben már el is kezdték egyes fejlesztők, ugyanis 2016. májusában a Microsoft úgy döntött, nem engedélyezi tovább az évek óta a Worst Password által is kipellengérezett primitív, az olyan könnyen törhető, vagy egyszerűen kitalálható jelszavakat, mint a "password", "qwerty" vagy az "123456".
Ennek jegyében 2016. óta egyszerűen kitiltotta a rendszereiből az ilyen jelszavak használatát, így 2016. óta a Microsoft fiók, az Azure, az Xbox, a OneDrive, az Outlook és a Skype sem fogadja el már ezeket.
A tervezet szerint jelszó beállításakor a felhasználók szabadon választhatnak majd minden nyomtatható ASCII és UNICODE karakterből, beleértve a hangulatjeleket (emoji) is. A felhasználók számára lehetővé kell tenni a szóközök használatát is, amelyek a jelmondatok természetes részét alkotják, és gyakran a hagyományos jelszavak ajánlott alternatívái. Emellett a hosszról sem feledkezhetünk meg, hiszen a jelszavak hossza kulcsfontosságú tényező a kódok erősségében.
A megfelelő jelszónak a tervezet minimum 8 karaktert javasol, ám az ESET szakemberei felhívják a figyelmet arra, hogy a jelszavak feltörésének idejében csak 11 karakter felett történik hatalmas ugrás, és a kódok megfejtése ekkor mai tudásunk szerint már szuperszámítógéppel is percek-napok helyett már évekbe telne, így érdemes legalább ilyen hosszú jelszavakat használni.
Az egyfaktoros azonosítás a jövőben nem elég, és ilyenkor nem számít, hogy milyen jó jelszavakat adunk, hiszen a kódunk továbbra is csak egyetlen áthatolandó akadályt jelent az adataink és a kiberbűnözők között. A biztonságos fiókok esetében a hatékony védelemhez a NIST a kétfaktoros azonosítási réteget javasolja minden helyszínen, ahol elérhető ez a megoldás.
Az új ajánlások között szerepel az is, hogy az SMS üzeneteket ne használják többet a kétfaktoros azonosításra, a szakemberek inkább a szoftver által generált, egyszer használatos jelszavakat javasolják.
Összességében az új irányelvek sokkal haladóbb megközelítést alkalmaznak a digitális azonosításban, amely nem csak felhasználóbarátabb, de biztonságosabb is. Ebben a törekvésében a NIST nincs egyedül, az ESET szakemberei és a World Password Day kezdeményezés mögött álló személyek is elkötelezettek a jelszavak erősítése irányában.
Ennek jegyében a szakemberek azt szorgalmazzák, hogy minden fiókhoz egyedi és erős jelszavakat használjunk, éljünk a kétfaktoros azonosítási lehetőséggel, és alkossunk valamilyen egyedi saját stratégiát a jelszavaink készítéséhez, tárolásához, megjegyzéséhez és használatához. Így a kényelem VS. biztonság csörtében érdemes a felhasználóknak a jövőben a fókuszt egyre inkább az előbbiről az utóbbira helyezniük.
