:

Szerző: Dömös Zsuzsanna

2024. október 7. 11:39

NIST: Inkább hosszú legyen a jelszó, mint bonyolult

Éveken keresztül úgy tűnt, hogy a szakemberek a rendkívül összetett, tehát nagy- és kisbetűket, számokat és szimbólumokat kombináló jelszavakat ajánlják, de jelen állás szerint a komplexitásra való törekvés kontraproduktív, és valójában gyengíti a biztonságot a gyakorlatban.

A szervezetek információs rendszereinek védelmét segítő Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézete (NIST) szeptemberben új irányelveket fogalmazott meg az ajánlott jelszókezelési gyakorlatokkal kapcsolatban az SP 800-63-4 második nyilvános tervezetének részeként, amely a digitális identitásokra vonatkozó irányelvek legújabb verziója. 

Az intézet szerint az elterjedt tanács, miszerint a jelszavak megválasztásakor érdemes a komplexitásra törekedni, és keverni a karaktertípusokat a megválasztott kódsor rendszeres változtatása mellett, már nem feltétlen állja meg a helyét. Így nem ajánlja már azt sem, hogy a szervezetek 60-90 naponként változtassanak jelszavakat. Ezen felül követelménnyé válik, hogy a CSP-k nem használhatnak tudásalapú hitelesítést (KBA), tehát olyan hitelesítő adatokat, amelyeket a felhasználó ismer (PIN, személyes azonosító számok), vagy biztonsági kérdéseket a jelszavak megadásakor.

passwords

Találkozzunk, idén is lesz SYSADMINDAY!

Július 17-én lesz a hazai Sysadminday! Standup, üzemeltetői meetup, kvízek, szakmázás, barátok, még több sörcsap.

Találkozzunk, idén is lesz SYSADMINDAY! Július 17-én lesz a hazai Sysadminday! Standup, üzemeltetői meetup, kvízek, szakmázás, barátok, még több sörcsap.

 A frissített útmutatás az összetettségre vonatkozó szabályoktól eltávolodva a hosszabb jelszavak használatára bátorít: megköveteli, hogy a jelszavak legalább nyolc karakterből álljanak, de a legjobb a 15 karakteres hossz. A CSP-knek engedélyezniük kell az akár 64 karakteres jelszó megadásának lehetőségét is, ahogy az ASCII és Unicode karakterek támogatását. Az ajánlás azon az elméleten alapul, hogy a jelszó erősségének növelése szempontjából a hosszúságra való fókuszálás hatékonyabb lehet az emberi tényező miatt is, mint a komplexitás.

Ezek valójában olyan alapelvek, amelyeket az állami és magánszervezetek, köztük az Egyesült Államok Szövetségi Kereskedelmi Bizottsága és a Microsoft már régóta ajánlanak, a NIST legutóbb 2020-ban adta ki a jelszavakra vonatkozó ajánlást. Az eddigi tanulmányok szerint a felhasználók gyakran nehezen emlékeznek az összetett jelszavakra, ami arra készteti őket, hogy több webhelyen újrahasználják a jelszavakat, vagy a könnyen megjegyezhető mintákat alkalmazzák, például a betűket hasonló kinézetű számokra vagy szimbólumokra cseréljék.

A modern JS keretrendszerek önálló kompetenciává emelték a frontend-fejlesztést. Most viszont úgy tűnik, hogy ez a szakma kikophat a piacról.

a címlapról

LAYOFF

0

Perelik a Metát a leépítések miatt

2026. július 15. 10:19

A felperesek szerint a tömeges leépítéskor nem vezetők, hanem AI-jal támogatott rendszerek választották ki az érintetteket.