تغییرات نیازهای اسم رمز و راهکارهای NIST

Password Security

امروزه ما سایت‌های متعدد و فرم‌های مختلف زیادی داریم که هر یک از آن‌ها از ما درخواست ایجاد یک حساب کرده و چالش ما این است که نیاز به اسم رمزهای بیشتر و جدیدتری داریم تا بتوانیم از خود محافظت کنیم و همچنین وارد این سایت‌ها و فرم‌ها و غیره شویم. کاربران سعی می‌کند که یک اسم رمز جدید را بسازند که در حساب‌های آنلاین دیگر وجود ندارد، و هر اسم رمز باید دارای یک حرف بزرگ باشد و باید حداقل یک کاراکتر مخصوص داشته یا شاید هم برای اسم رمز کاراکتری که انتخاب‌شده پذیرفته نمی‌شود و اسم رمز شاید خیلی طولانی می‌شود.
خبر خوب این است که امکان دارد این چالش تغییر کند. بر اساس راهکارهای شناسه دیجیتال جدید که از اول ماه می ۲۰۱۷ توسط سازمان ملی آمریکا برای استاندارد و تکنولوژی (US National Institute for Standards and Technology) ارائه می‌گردد، اسم رمز بهتر و بهبودیافته ارائه خواهد شد. این امر ممکن است در امر امنیت حساب‌های همه کاربران تأثیر مثبت بگذارد.
بسیاری از قوانین استفاده‌شده درگذشته برای داشتن اسم رمز غیرموثر و حتی عدم بهره‌وری را همراه داشته است و حالا سازمان NIST توصیه‌های جدیدی را به ادمین ها می‌کنند که هرگونه اقداماتی را که بر روی کاربر فشار آورده و بهبود قابل‌ملاحظه‌ای به امنیت نمی‌دهد را کنار بگذارند. به دنبال این امر ممکن است که احراز هویت با امنیت بالاتری به وجود بیاید، اما کاربران روش‌های آسان و غیر امن را برای دور زدن نیازهای پیچیده استفاده نخواهند کرد.
بااینکه این راه‌حل‌ها فقط برای سازمان‌های فدرال تعبیه‌شده‌اند آن‌ها به‌طورمعمول نفوذی بر سازمان‌های دیگر خواهند داشت که این امر باعث می‌شود که کاربران اینترنت سراسر جهان از آن استفاده کنند.
برخی از تغییراتی که این راه‌حل‌ها ایجاد می‌کند به شرح زیر است.
• نداشتن قوانین اجباری ساختن اسم رمز
عدم نیاز به قوانین ساخت اسم رمز پیچیده مانند نیاز کاربر به حروف بزرگ و کوچک و کاراکترهای خاص یا اعداد در اسم رمز. دلیل این است که چنین قوانینی به‌ندرت باعث می‌شود که کاربر اسم رمزهای قوی‌تری را ایجاد کنند و درنتیجه اسم رمز ضعیف بوده و یا به‌سختی حفظ می‌شوند.
• عدم نیاز به تغییر دوره‌ای اسم رمز
راهکارهای جدید نیز توصیه نمی‌کنند که شما به‌صورت دوره‌ای اسم رمز خود را عوض کنید مگر اینکه به درخواست کاربر باشد و یا شواهدی از نقض وجود داشته باشد. دلیل این است که کاربران حوصله ندارند تا مدام به دنبال ایجاد اسم رمزهای قوی و منطقی باشند و تکرار این امر ممکن است که صدمه‌های بیشتری ایجاد کند تا مفید باشد.
• عدم داشتن احراز هویت بر اساس knowledge-based یا hints
بر اساس تحقیقات این سازمان احراز هویت بر اساس knowledge-based و سؤالات hint احراز هویت نیاز نیست. امکان دارد که این موارد به کاربر کمک کند که اسم رمز فراموش‌شده خود را پیدا کنند ولی حمله‌کنندگان نیز از آن می‌توانند بهره ببرند.
• عدم داشتن لیست سیاه اسم رمزهای غیرقابل‌قبول
به‌جای داشتن قوانین تنظیم اسم رمز کاربر فعلی، این سازمان پیشنهاد می‌کند که اسم رمزهای جدید توسط یک لیست سیاه از اسم رمزهای معمولی و یا استفاده‌شده درگذشته چک شود و سعی در match کردن آن‌ها غیرقابل‌قبول باشد.
• امکان استفاده از انواع کاراکترها
در زمان ایجاد اسم رمز کاربر می‌توانند از همه نوع کاراکترهای ascii و Unicode و emoji انتخاب کند. کاربران نیز می‌توانند از اصطلاح رمز استفاده کنند که جایگزینی برای اسم رمزهای سنتی می‌باشد.
گرایش به سمت اصطلاح رمز به‌جای اسم رمز
• تغییر حداقل طول هشت کاراکتر
راهکارهای جدید طول اسم رمز را یکی از فاکتورهای کلیدی در قوی بودن اسم رمز می‌دانند و داشتن حداقل طول ۸ کاراکتر و حداکثر ۶۴ کاراکتر را مجاز می‌دادند.
• یک فاکتور کافی نیست اما اس ام اس نباشد
هرقدر تلاش کنید که اسم رمز خود را بهبود دهیم، آن فقط یک مانع برای حمله‌کنندگان احتمالی و داده‌های ارزشمند شما می‌باشند. برای داشتن حساب‌های امن یک‌لایه احراز هویت دیگر باید به‌عنوان امر ضروری در نظر گرفته شود. این سازمان توصیه می‌کند که استفاده از احراز هویت دو فاکتوری یا چند فاکتوری در همه موارد ممکن وجود داشته باشد.تغییرات نیازهای اسم رمز و راهکارهای NIST
هدف از این امر این است که شخصی که باید به‌حساب دسترسی داشته باشد تنها کسی باشد که مجوز این کار را داشته است. در واقعه شما می‌توانید از چیزی که می‌دانید برای این کار استفاده کنید (مانند یک اسم رمز یا PIN حفظ‌شده( و چیزی که دارید )مانند یک توکن امنیتی یا یک گوشی هوشمند( یh چیزی که هستید )مانند روش‌های شناسایی بیومتریک، اثرانگشت، صورت یا چشم(.
در این توصیه‌ها نیز اس ام اس دیگر به‌عنوان روش دوم احراز هویت- به دلیل تهدیدهای فراوانی که در کمین این روش هستند- توصیه نمی‌شود. روش‌های با امنیت بالاتر شامل داشتن وسایل سخت‌افزاری، ایجاد اسم رمز یک‌باره بر اساس نرم‌افزار و نصب اپ های امنیتی بر روی گوشی‌های موبایل می‌باشد.
توصیه‌های جدید روش‌های راحت‌تری را برای احراز هویت دیجیتالی ارائه می‌دهند که وضعیت فعلی را نه ازنظر user-friendliness بلکه ازنظر امنیتی بهبود می‌دهد. این سازمان به همراه دیگران چنین توصیه‌هایی رادارند. افرادی که روز جهانیِ اسم رمز را به وجود آوردند که متمرکز بر ایجاد اسم رمزهای قوی‌تر و بهبودیافته‌تر می‌باشند نیز نظر دارند که هر حساب باید دارای اسم رمز خاص خود باشد و کاربران می‌توانند با داشتن یک کد رمز برای ایجاد ایمنی بیشتر و یا داشتن احراز هویت دو فاکتوری که در آن اسم رمز فقط یک‌قدم امنیتی در چنین استراتژی برای دستیابی به اطلاعات حساس می‌باشد.
واقعاً تمام این توصیه‌ها بر وجود یک‌راه حل امنیتی چندلایه‌ای و معتبر اشاره دارد.تغییرات نیازهای اسم رمز و راهکارهای NIST