콘텐츠
- 버그 없음, 스트레스 없음-인생을 파괴하지 않고 인생을 바꾸는 소프트웨어를 만드는 단계별 가이드
- 인지 불협화음과 무리 정신
- 새로운 NIST 표준 : 내부는 무엇입니까?
- 암호가 더 나은 이유는 무엇입니까?
- 힌트가 없습니다!
- 아니요, 와플 하우스가 아닙니다! 염장, 해싱 및 스트레칭
- 실용적 구현 : 몇 가지 과제가 남아 있습니다
- 핵심, 관심사
출처 : designer491 / iStockphoto
테이크 아웃 :
새로운 NIST 규칙에 따라 사용자는 비밀번호 정책에 대해 한숨을 쉬게됩니다.
시스템 관리자와 일반 사용자 모두가 좋아할 수있는 큰 변화가 있습니다. 암호 프로토콜과 관련이 있습니다.
암호는 삶의 사실입니다. 대부분의 사람들은 암호를 너무 많이 가지고 있습니다. 우리는 그것들을 모두 기억할 수 없으며 기록하기 시작하지 않는 한 추적 할 방법이 거의 없습니다. 또 다른 대안은 정기적으로 사용하는 비밀번호를 기억하고 다른 사이트에 액세스해야 할 때 비밀번호 재설정을 요청하는 것입니다. 그러나 비밀번호 재설정이 많이 있습니다! Microsoft 연구원 인 Cormac Herley와 같은 전문가들은 암호 재설정에 소요되는 막대한 시간과 대기업에 매년 수백만 달러의 비용이 드는 방법에 대해 이야기했습니다. 또한 개인 데이터를 보거나 서비스에 가입하거나 전자 상거래 상점에서 물건을 구매하려고 할 때 키보드를 사용하는 데 수백만 분이 소요됩니다.
그래서 우리가 뭘 할 수 있지? 그리고 컴퓨터와 장치를 창문 밖으로 내밀고 싶게 만드는 암호 사용의 가장 방해적이고 성가신 측면은 무엇입니까?
새로운 보고서에 따르면 사회에서 이러한 성가신 암호 문제 중 일부를 제거하려고 할 수 있습니다. 사이버 보안에 대한 새로운 연구와 함께, 우리는 지난 몇 년 동안 많은 스트레스를 유발 한 현재의 보안 표준을 넘어서 발전 할 것입니다.
월스트리트 저널에 실린 기사는 동료들에게 이러한 규칙 중 일부를 배제하고 더 이상 필요하지 않은 이유에 대한 정보를 얻습니다.
2017 년 8 월 7 일, WSJ 작가 Robert McMillan은 2003 년 논문의 저자 인 Bill Burr에 회사 암호 표준에 큰 영향을 미치는 수사 형식의 폭탄을 제공했습니다. Burr는 미국의 기술 혁신을 평가하는 임무를 맡고있는 연방 표준 기관인 National Institute of Standards and Technology에서 근무했습니다.
McMillan의 작품은“비밀번호 관리에 관한 책을 쓴 사람은 고백해야합니다. "그는 그것을 불었다."
거기서부터 기사는 우리 삶을 복잡하게 만든 디지털 시대의 두 가지 버그를 묘사합니다. 첫 번째는 암호에 특수 문자를 포함해야하는 까다로운 요구 사항입니다. 다른 하나는 빈번한 암호 변경입니다.
버그 없음, 스트레스 없음-인생을 파괴하지 않고 인생을 바꾸는 소프트웨어를 만드는 단계별 가이드
아무도 소프트웨어 품질에 신경 쓰지 않으면 프로그래밍 기술을 향상시킬 수 없습니다.
이 두 가지 방법 모두 수십 개의 개별 비밀번호에 대해 이야기 할 때 많은 시간이 걸립니다. 그러나 첫 번째는 "나쁜 인터페이스"의 전형적인 사례이기도합니다. 직관적이지 않고 사람들이 문제를 해결하도록합니다.
인지 불협화음과 무리 정신
대부분의 사람들은 이러한 암호 표준이 뇌에 혼란을 일으키는 방식을“느낄”수 있습니다. 알파벳과 같은 암호에 숫자와 특수 문자를 포함시키는 방법에 대한 매우 추상적 인 선택에 직면하여, 우리 중 많은 사람들이 단순히“1! 사실, 동일한 일반 선택을 많이 선택할수록 암호를 해독하기가 더 쉬워집니다. (보안 연구가 실제로 해커를 돕는가?에서 해커에 대해 자세히 알아보십시오.)
또한 사용자가 매월 또는 3 개월마다 암호를 업데이트해야한다는 요구 사항을 추가하십시오.
이 요구 사항을 뒷받침하는 이유는 이전 암호를 완전히 다른 것으로 변경해야한다는 것입니다. 그러나 너무 자주는 암호가 작동하지 않습니다. 새로운 암호를 기억하는 데 필요한 추가 정보를 처리하기 위해 사용자는 이전 암호를 사용하여 하나의 문자 또는 숫자를 변경합니다. 이제 이전 암호는 새로운 암호의 주요“말”입니다 – 이것은 책임이됩니다.
새로운 NIST 표준 : 내부는 무엇입니까?
NIST가 개발 한 새로운 규칙은이 모든 것을 바꿀 것입니다.
특별 간행물 800-63-3은 일부 전문가가 수행해야했던 많은 것을 달성하는 원본 버전에 대한 업데이트입니다.
먼저, 암호에 느낌표를 넣어야하는 것과 같은 구성 규칙과 일상적인 만료 요구 사항을 모두 제거합니다.
NIST 800-63-3이 추가하는 것은 "현실적인"보안 관행에 중점을 둡니다.
새로운 규칙은 멀티 팩터 인증을 강조하며, 작성자는 암호 (기억하는 것)와 실제 키 또는 키 카드 (사용하는 것) 또는 생체 데이터 (사용자의 일부)를 혼합하는 것으로 설명합니다. 다른 제안으로는 암호화 키 사용, 가능한 모든 ASCII 문자, 최대 64 자, 최소 8 자까지 허용해야합니다. (Passive Biometrics가 IT 데이터 보안을 지원하는 방법에서 생체 인식에 대해 자세히 알아보십시오.)
보안 연구 전문가 짐 펜턴 (Jim Fenton)은“더 나은 암호 요구 사항으로”라는 제목의 공개 슬라이드 쇼 프레젠테이션에서 이러한 수정 사항 중 많은 부분을“너는 잃어버린”및“너는 잃어버린 것”으로 자세하게 설명하고 NIST가 쉽게 해킹 가능한 암호 사전을 만드는 방법을 설명합니다. 자동으로 금지되어야합니다.
Fenton은“쉬운 일이 아니라면 사용자가 속임수를 쓴다”고 썼다.
전문가들은 또한 사용자가 우리가 제공하도록 훈련받은 영숫자 수프의 혼란보다는 암호에 대한 "암호 구"또는 단어 세트를 생각한다고 제안합니다.
암호가 더 나은 이유는 무엇입니까?
“total egg bicycle donkey”와 같은 긴 암호 문구가“MisterA1!”과 같은 암호 선택보다 더 강력한 암호를 선택하는 이유는 여러 가지가 있습니다. 그러나 가장 간단한 측정법은 길이와 관련이 있습니다.
새로운 NIST 규정의 핵심 중 하나는 어떤면에서 우리는 암호 전략을 인간에게 의미가있는 것에 기초하고 기계에 의미가있는 것을 무시한다는 것입니다.
소수의 임의의 문자가 사람의 해커를 방해 할 수 있지만 암호 끝에 여분의 숫자 나 문자가 있으면 컴퓨터가 쉽게 흔들리지 않을 수 있습니다. 인간과 달리 컴퓨터는 의미를 위해 암호를 읽지 않기 때문입니다. 그들은 단순히 문자열로 읽습니다.
무차별 대입 공격은 컴퓨터가 가능한 모든 문자 순열을 통해 사용자가 처음 선택한 올바른 조합을 찾아서 침입을 시도하는 경우입니다. 이러한 공격이 발생하면 중요한 것은 암호의 복잡성입니다. 각각의 추가 문자는 엄청나게 기하 급수적으로 복잡합니다.
그것을 염두에두고, 암호문은 사람의 눈에 더 쉽게 "보여지기"는 않지만 기하 급수적으로 더 강해질 것입니다.
새로운 NIST 지침은 암호의 최대 길이를 64 자로 확장하여 많은 반 직관적 인 규칙을 적용하지 않고도 필요한 암호 강도를 사용자에게 제공합니다.
힌트가 없습니다!
많은 관리자가 특수 문자 요구 사항과 노동 집약적 인 비밀번호 업데이트를 모두 제거하는 것을 좋아하지만 전문가가 새로운 NIST 가이드 라인을 읽을 때 도끼를 얻는 또 다른 기능이 있습니다.
많은 시스템이 새로운 사용자에게 온 보딩 중에 데이터베이스에 자신에 대한 사실을 추가하도록 요구합니다. 아이디어는 나중에 암호를 잊어 버린 경우 아무도 모르는 과거에 대한 생각을 바탕으로 시스템을 인증 할 수 있다는 아이디어입니다. 예 : 첫 번째 차는 무엇입니까? 당신의 첫번째 애완 동물의 이름은 무엇이였습니까? 어머니의 성함은 무엇입니까?
이것은 우리 중 많은 사람들에게 불편하다고 느끼는 트렌드 중 하나입니다. 때로는 질문이 방해가되는 것 같습니다. 또한 보안을 염두에 둔 회의론자들은 시보레를 처음으로 운전하거나 우리의 첫 번째 개를 "스팟"이라고 칭하는 젊음의 충동을 가진 많은 사람들이 있다고 지적합니다.
그런 다음 데이터베이스를 유지 관리하고 필요할 때 답변을 일치시키는 작업 부하가 있습니다.
사용자 활동을 안전하게 보호 할 수있는 더 나은 옵션이있을 때 너무 많은 사람들이“암호 힌트”기능의 소멸에 대해 눈물을 흘리게하지 않을 것입니다.
아니요, 와플 하우스가 아닙니다! 염장, 해싱 및 스트레칭
다른 혁신에서 전문가들은 이제“살인 (salting)”암호를 권장합니다.이 암호는“해싱”프로세스 전에 임의의 문자열을 생성하여 하나의 데이터 세트를 다른 데이터 세트에 매핑하여 암호 구성을 변경하여 더 어려워지는 것을 방지합니다. "스트레칭"이라는 프로세스도 있습니다.이 프로세스는 부분적으로 평가 프로세스를 느리게하여 무차별 대입 공격을 저지하기 위해 설계되었습니다.
이러한 모든 기능의 공통점은 사용자의 손끝이 아닌 관리 영역에서 발생한다는 것입니다. 일반 사용자는 이러한 종류의 절차 적 작업과는 아무런 관련이 없습니다. 작업을 완료하거나 친구와 네트워킹하거나 물건을 사거나 판매하는 등 네트워크 시스템에서해야 할 일에 액세스하고 접근하려고합니다. 온라인. 따라서 "클라이언트 측"암호 규칙을 제거하고 많은 보안 관리를 수행함으로써 회사 및 기타 이해 관계자는 사용자 경험을 실제로 향상시킬 수 있습니다.
사용자 경험을 향상시키는 것이 많은 새로운 기술 혁신에 관한 것이기 때문입니다. 우리는 컴퓨터, 스마트 폰 및 기타 장치에서 많은 기능을 만들어 냈습니다. 앞으로 몇 년 동안 많은 진전을 이루기 위해서는 가상 작업을보다 쉽게 수행하고 혼란을 제거해야합니다. 모바일 우선 웹 사이트, 결함이있는 인터페이스, 배터리 수명 부족 또는 지루한 로그온과 같은 경험! 여기에서 비밀번호 혁신이 시작됩니다. 다단계 인증의 개념으로 돌아 가면 생체 인식으로 인해 장치의 사용이 훨씬 쉬워 질 것입니다. 장치를 표시 할 때 긴 암호를 입력하고 입력해야하는 이유 손가락으로?
실용적 구현 : 몇 가지 과제가 남아 있습니다
우리가 말했듯이, 우리는 당분간 암호와 PIN이 붙어 있습니다. 예를 들어, 일부 최신 운영 체제는 4 자리 PIN에서 6 자리 PIN으로 전환되어 많은 사람들이 장치에서 사용하는 속도가 훨씬 느려졌습니다.
NIST가 권장하는 "암호 구문"접근 방식의 한 가지 문제점은 여전히 암호 재설정이있을 것이라는 점입니다 (Naked Security의이 스레드에서 설명). 사람들은 여전히 비밀번호를 잊어 버리려고합니다. 일부 사람들은 원래 암호가 훨씬 길면 IT 직원이 새 암호를 발급하기가 더 어려워 질 수 있다고 제안합니다.
그러나 다단계 인증과 관련하여 여기에는 몇 가지 가능성이있을 수 있습니다. 생체 인식은 아직 미흡했지만 거의 모든 사람이 휴대 전화를 가지고 있습니다. 많은 온라인 뱅킹 시스템 및 기타 시스템이 SMS를 사용하여 사용자를 인증하고 있습니다. 비밀번호를 잊어 버린 계정을 쉽게 확인할 수 있습니다. 위에서 언급 한 것처럼 일반적으로 비밀번호를 강화하는 중요한 방법이기도합니다.
핵심, 관심사
네트워크 관리자 인 경우 새로운 NIST 규칙이 무엇을 알려줍니까?
기본적으로 연방 기관은 관리자들에게 긴장을 풀고 있다고 말합니다. 사용자는 더 나은 암호화, 금지 된 문자열 사전 및 더 다양한 입력 필드를 통해 직관적으로 자신이하는 일을 수행 할 수 있습니다. 별표와 귀여운 특수 문자로 비밀번호를 입력하도록 지시하지 마세요. 그리고 몇 주마다 전체 과정을 다시 시작하지 마십시오.
이 모든 것이 주어진 플랫폼을 더 얇고 의미있게 만들 것입니다. 암호 힌트 만 제거하면 모든 리소스 요구 사항이 포함 된 중요한 코드베이스가 사라집니다. 새로운 NIST 규칙은 암호 보안을 그 어디에나 적용합니다. 특유의 사용자의 손과 기술 기능으로 인해 어제의 쉬운 무차별 대입 공격 기록이 만들어지는 모호한 장소에 있습니다. 이를 통해 디지털 라이프의 모든 구석 구석에 고유 한 작은 단어와 문구를 제작하는 과정에서 시도한 프로세스에 대한 냉장 한 접근 방식을 모두 사용할 수 있습니다. 보다 직관적 인 사용자 인터페이스의 세계로 나아가는 단계 – 우리가보다 자연스럽고 혼란을 느끼지 않는 새롭고 개선 된 디지털 세상.