Objavljeno

NIST uradno priporoča lepljenje gesla

Uradne smernice za geslo potrjujejo, kar je Varnostna skupnost navedla že dolgo nazaj

Ameriški nacionalni inštitut za standarde in tehnologijo (NIST) je močno vključen v določanje varnostnih standardov in redno prispeva k področju kriptografije. Na primer, NIST so objavili smernice za uporabo v ECC in gostili tekmovanje, ki je pripeljalo do razvoja SHA-3.

Junija so objavili  SP 800-63: Digital Identity Guidelines. Medtem ko vas ime lahko uspava, varnostno skupnost navdušuje kar je napisano znotraj dokumenta.

V štirih obsegih dokumentov je opisano, kako naj sistem skrbi za varnost računa, vključno z gesli, dvotaktno avtentifikacijo in povezano politiko. O vseh vrstah varnostnih tem NIST objavlja podobne dokumente, katerih cilj je pomoč inženirjem, ki morajo te sisteme implementirati.

Ena izmed tem, omenjena v dokumentih je “prilepljanje gesla” – omogočanje uporabnikom, da svoja gesla prilepijo v obrazce za prijavo. Presoja NIST? V redu je.

Čeprav je Varnostna skupnost že dolgo vedela, da je onemogočenje prilepljanje slaba ideja, še vedno velja splošno prepričanje, da to nekako izboljša varnost. Vendar pa ni nobenega dokaza, ki bi to prepričanje podprl. Ena napačna ugotovitev je, da nekako ustavi brutalne napade, vendar obstajajo številne boljše rešitve za preprečitev teh napadov. Napadalci pa ne bodo uporabili standardnega brskalnika, da bi vdrli v vaš račun.

Kot pravijo nove smernice NIST, morajo uporabniki imeti možnost “uporabe prilepljanja” pri vnosu [gesla]. V veliko primerih bodo tako uporabniki izbrali močnejše geslo.

Geslo kot je na primer “?tgZ8t3Xwr” je prav tako težko napisati kot si ga zapomniti. Če date velik pomen uporabi močnih in edinstvenih gesel za vsako storitev, je omogočenje lepljenja edini način, s katerim lahko uporabnikom omogočite to.