Egy új tanulmány az információbiztonsági szabványokat népszerűsítő öt legfontosabb amerikai szabályozó szervezet követelményeit vizsgálta konkrét jelszópolitikai ajánlásokkal. Ezek magukban foglalják a minimális jelszóhosszt, a maximális jelszóhosszt és a jelszó összetettségét.
A kiválasztott öt szabályozó testület a következő volt: Nemzeti Szabványügyi és Technológiai Intézet (NIST), Health Information Trust (HITRUST) az egészségbiztosítási hordozhatóságról és elszámoltathatóságról szóló törvényhez (HIPPA), fizetési kártya iparági adatbiztonsági szabványok (PCI DSS), The Information Az Általános Adatvédelmi Rendelet (GDPR) Biztos Hivatala (ICO), a Nemzeti Kiberbiztonsági Központ (NCSC) Cyber Essentials - írta az InfoSecurity magazin.
A kutatás során több mint 800 millió ismert feltört jelszót elemeztek, amely több mint 2 milliárd jelszó egy részét tartalmazza a Specops Software Breached Password Protection adatbázisában. A jelszavakat összehasonlították a fent említett öt testület jelszavakra vonatkozó ajánlásaival. A megdöbbentő igazság az, hogy az ismert feltört jelszavak 83 százaléka megfelelt volna a megfelelőségi szabványoknak.
Megnyugtató, hogy mind a NIST, mind az ICO/GDPR szabványok tartalmazzák azt az ajánlást, hogy a feltört jelszavak használatának megelőzése érdekében az ismert feltört jelszavak listáját kell használni, mint alapvető biztonsági réteget. Az ICO/GDPR a legátfogóbb utasításokat adta a jelszavak kompromittálásának megelőzésére. Ezenkívül egyéni szótárakat ajánlanak a szervezettel kapcsolatos kifejezésekhez, és javítják a felhasználói élményt azáltal, hogy a végfelhasználói visszajelzést adják a jelszavak elutasításakor.
Összességében az elemzés egyértelmű üzenetet ad arra, hogy pusztán a legalább nyolc karakterből álló, egyszerű vagy bonyolult jelszavakra hagyatkozva semmi sem fogja megvédeni a hálózatot, ha a jelszó feltört listán szerepel. Ha egy szervezet védekezni akar, akkor az első lépés annak kiderítése, hogy tartalmaz-e feltört jelszavakat hálózata. Ha iegn a válasz és brutális erejű jelszótámadás célozza meg a szervezetet, a kibervédelem másodperceken belül összeomolhat.
Egy jelszó-ellenőrző eszköz futtatásával megtudható, hogy az Active Directory-felhasználók közül hányan használnak feltört jelszavakat. Ez magában foglalja a Specops Password Auditort, egy ingyenes, csak olvasásra szolgáló eszközt, amely több mint 1 milliárd feltört jelszót tartalmaz, és irányítópult nézetben azonosítja a jelszóval kapcsolatos egyéb sebezhetőségeket.
Ha valaki kizárólag a megfelelőségi követelményekre hagyatkozik, akkor is törekednie kell a hosszúságra a bonyolultság helyett, mert a hosszabb jelszavakat nehezebb feltörni. Be kell kapcsolni a kétfaktoros azonosítást, ahol elérhető, és meg kell fontolni a Microsoft jelszóházirend-eszközének harmadik féltől származó alternatíváit. Az olyan szolgáltatások, mint az egyéni szótárak, a jelmondatok támogatása, a hosszúság alapú öregedés és az ügyfelek visszajelzései, további biztonságot, jobb felhasználói élményt nyújtanak, és egyszerűsítik az olyan iparági előírásoknak való megfelelést, mint a NIST vagy az NCSC.
