استانداردهای پسورد: الزامات سال 2024

21 آبان 1403 استانداردهای پسورد: الزامات سال 2024

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ الزاماتی که سرویس‌های آنلاین برای تأیید کاربر معین کردند –خواه طول پسورد باشد، خواه شماره تلفن اجباری یا چک‌های بیومتریک- اغلب توسط استانداردهای صنعت نظارت و کنترل می‌شوند. یکی از مهم‌ترین اسناد این حوزه، دستورالعمل‌های هویت دیجیتال NIST SP 800-63–توسعه‌داده‌شده توسط NIST[1]- است. این استاندارد برای همه آژانس‌های دولت آمریکا و کنتراکتورهایشان الزامی و اجباری است که در عمل این یعنی همه شرکت‌های بزرگ حوزه آی‌تی باید به این استاندار پایبند باشند و پیامدهای آن حتی از مرزهای آمریکا هم فراتر می‌رود. هر سازمانی که به طور سفت و سخت ملزم به پیروی از استاندارد NIST SP 800-63 نیست هنوز از آشنا کردن خود با این دستورالعمل‌های آپدیت‌شده بهره خواهد برد (زیرا اینها اغلب برای رگولاتورها در سایر کشورها و صنایع یک‌جور بلوپرینت هستند). آپدیت آخر که از طریق چهار دور اصلاح عمومی با متخصصین صنعت توسعه یافته است انعکاس‌دهنده جدیدترین درک از شناسایی و احراز هویت دیجیتال است. این، الزامات حریم خصوصی و امنیت را پوشش می‌دهد و رویکرد توزیع‌شده (فدرالیِ) احتمالی را لحاظ می‌کند. این استاندارد، عملی و اجرایی است و ملاحظات انسانی را در بردارد (اینکه چطور کاربران به الزامات مختلف احراز پاسخ می‌دهند).

این نسخه، مفاهیمی را فرمالیزه کرده و الزاماتی را برای موارد زیر مطرح می‌کند:

  •         کلیدهای عبور (که در استاندارد به عنوان "تأیید کننده‌های قابل همگام‌سازی" نامیده می‌شود)؛
  •         احراز هویت مقاوم در برابر فیشینگ؛
  •         ذخیره‌سازی رمز عبور و دسترسی کاربر ("بسته‌های ویژگی")؛
  •         احراز هویت مجدد منظم؛
  •         توکن‌های سشن

بنابراین - چگونه می‌توان کاربران را در سال 2024 احراز هویت کرد؟

احراز پسورد

این استاندارد سه سطح از تضمین احراز[2] (AAL) را تعریف می‌کند: اولی AAL1 است که کم‌ترین محدودیت‌ها و حداقل اطمینان را از اینکه کاربر دقیقاً همانی است که ادعا می‌کند مجاز می‌داند درحالیکه AAL3 قوی‌ترین تضمین را پیشنهاد داده و احراز جدی‌تری را می‌طلبد. تنها AAL1 است که احراز تک عاملی را مجاز می‌داند- مانند پسورد تک.

این الزامات پسوردی به شرح زیر هستند:

  •         فقط اسرار تأییدشده مرکزی که توسط کاربر از طریق یک کانال امن به سرور ارسال می‌شود، به عنوان رمز عبور واجد شرایط هستند. رمزهای عبوری که به صورت محلی ذخیره و تأیید می‌شوند، «اسرار فعال‌سازی» نامیده می‌شوند و الزامات مختلفی دارند.
  •         گذرواژه‌های کوتاه‌تر از هشت کاراکتر ممنوع هستند و حداقل 15 کاراکتر توصیه می‌شود.
  •         چرخش اجباری و برنامه‌ریزی شده رمز عبور یک عمل منسوخ تلقی شده و بنابراین ممنوع است.
  •         همچنین اعمال الزامات برای ترکیب رمز عبور ممنوع است (مانند "رمز عبور شما باید دارای یک حرف، یک عدد و یک نماد باشد").
  •         توصیه می‌شود اجازه استفاده از هر گونه کاراکتر ASCII قابل مشاهده، فاصله و اکثر نمادهای یونیکد (مانند ایموجی‌ها) را بدهید.
  •         حداکثر طول رمز عبور، در صورت اعمال، باید حداقل 64 کاراکتر باشد.
  •         کوتاه کردن گذرواژه‌ها در حین تأیید ممنوع است، اما در صورتی که با احراز هویت تداخل داشته باشد، کوتاه کردن فضای خالی اصلی/پس‌رو مجاز است.
  •         استفاده و ذخیره نکات رمز عبور یا سوالات امنیتی (مانند «نام مادرتان») ممنوع است.
  •         رمزهای عبور رایج باید با استفاده از فهرستی از رمزهای عبور محبوب یا لو رفته حذف شوند.
  •         رمزهای عبور در معرض خطر (به عنوان مثال، ظاهر شدن در نقض داده‌ها) باید فوراً بازنشانی شوند.
  •         تلاش برای ورود باید هم در میزان و هم در تعداد تلاش‌های ناموفق محدود شود.

رازهای فعالسازی

اینها پین‌ها و پسوردهای لوکالی هستند که دسترسی به ذخیره‌گاه کلیدی روی دستگاه را محدود می‌کنند و می‌توانند عددی باشند با حداقل طولِ توصیه‌شده با شش رقم- گرچه 4 رقمی مجاز است. برای AAL3، راز اصلی کریپتوگرافیک (برای مثال کلید عبور) باید در تراشه مقاوم در برابر دستکاری ذخیره شده و با استفاده از رمز فعالسازی رمزگشایی شود. برای AAL1 و AAL2 همین که کلید، دسترسی خارجی‌ها را محدود کند کافی است (به همراه محدودیت روی تلاش‌های ورودی: نباید بیش از 10 تلاش باشد). اگر از حد مجاز فراتر رفت، ذخیره‌گاه قفل می‌شود و نیاز است متود احراز جایگزین اتخاذ شود.

احراز چندعاملی (MFA)

توصیه می‌شود MFA را در هر سه سطح AAL پیاده‌سازی کنید اما گرچه این پیشنهادی است برای AAL1 ولی برای AAL2، اجباری است و تنها متودهای MFA مقاوم در برابر فیشینگ برای AAL3 قابل‌پذیرش هستند. تنها متودهای کریپتوگرافیک مقاوم به فیشینگ تلقی می‌شوند: توکن‌های USB، کلیدهای عبور و کلیدهای کریپتوگرافیک ذخیره‌شده در کیف‌پول‌های دیجیتال مطابق با SP 800-63C (سرویس‌های شناسایی و احراز هویت توزیع‌شده). همه رمزهای کریپتوگرافیک اید در سیستم‌های مقاوم به دستکاری (مانند TPM یا Secure Enclave) ذخیره شوند. همگام‌سازی کلیدهای در کل دستگاه‌ها و ذخیره‌شان در کلودها مجاز است به شرطی که هر دستگاه الزامات استاندارد را رعایت کرده باشد. این مقررات امکان استفاده از کلیدهای عبور را در اکوسیستم های اندروید و iOS فراهم می‌کند. برای اطمینان از مقاومت در برابر فیشینگ، احراز هویت باید به کانال ارتباطی (باید کانال) یا نام سرویس تأییدکننده (پیوند نام تأییدکننده) مرتبط باشد. نمونه هایی از این رویکردها عبارتند از اتصالات TLS تأیید شده توسط مشتری و پروتکل WebAuthn از مشخصات FIDO2.

به تعریف ساده‌تر، کلاینت از کریپتوگرافی برای تأیید اینکه دارند به جای سرور فیک که برای حملات AitM تنظیم‌شده با سرور قانونی ارتباط می‌گیرند استفاده می‌کند. [3]TOTP اپ‌های احرازگر، کدهای اس‌ام‌اسی و کدهای یکبار مصرف از کارت‌ها یا پاکت‌های اسکرچ[4] به فیشینگ مقاوم نیستند اما برای سرویس‌های AAL1 و AAL2 مجازند. این استاندارد مشخص می‌کند که کدام روش‌ها برای مدیریت کدهای یکبار مصرف به عنوان MFA واجد شرایط نیستند و باید از آنها اجتناب شود. کدهای یکبار مصرف نباید از طریق ایمیل یا VoIP ارسال شوند - آنها باید از طریق یک کانال ارتباطی جدا از فرآیند احراز هویت اولیه تحویل داده شوند.OTPهای ارسال شده از طریق پیامک و خطوط تلفن سنتی قابل قبول هستند — حتی اگر هر دو اتصال (مثلاً اینترنت و پیامک) در یک دستگاه باشند.

استفاده از بیومتریک‌ها

این استاندارد استفاده از بیومتریک‌ها را محدود می‌کند- ممکن است حکم فاکتور احراز را داشته باشند اما برای شناسایی، ممنوعند. چک‌های بیومتریک باید فقط بعنوان عامل مکمل در ترکیب با اثبات مالکیت (برای مثال اسمارت‌فون یا توکن- چیزی که فیزیکی مالک آن هستید) مورد استفاده قرار گیرد. تجهیزات و الگوریتم‌های بیومتریک باید نرخ تطابق کاذب (FMR) را بیش از 1 در 10 هزار تضمین ندهد و نرخ عدم تطابق کاذب هم نباید بیش از 5 درصد باشد. این نرخ‌های دقت باید در کل جمعیت‌شناسی یکسان باشد. الگوریتم تأیید همچنین باید به حملات ارائه که در آن‌ها به جای فرد زنده، حسگر یک عکس یا ویدیو نشان می‌دهد مقاوم باشد. پس از تولید و تأیید یک «اثر انگشت» رمزنگاری از داده‌های بیومتریک، استاندارد حذف فوری (صفر کردن) داده‌های بیومتریک جمع‌آوری‌شده را الزامی می‌کند. مانند سایر روش‌های احراز هویت، بررسی‌های بیومتریک باید شامل محدودیت‌هایی در نرخ ورودی و تعداد تلاش‌های ناموفق باشد.

 

[1]  US National Institute of Standards and Technology

[2] Authentication Assurance Levels

[3]پسوردهای یکبار مصرف مبتنی بر زمان

[4]کارتیست که دارای اطلاعات متغیر پوشیده شده با جوهر قابل خراش یا لیبل است

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

 

 

 

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,710,150 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    11,568,900 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,156,890 ریال11,568,900 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    77,167,650 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,914,750 ریال21,829,500 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    15,651,825 ریال31,303,650 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    16,743,300 ریال33,486,600 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    69,453,825 ریال138,907,650 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    222,256,650 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    83,345,325 ریال166,690,650 ریال
    خرید
  • Kaspersky Small Office Security

    267,018,150 ریال
    خرید
  • Kaspersky Small Office Security

    97,236,825 ریال194,473,650 ریال
    خرید
  • Kaspersky Small Office Security

    311,007,900 ریال
    خرید
  • Kaspersky Small Office Security

    111,128,325 ریال222,256,650 ریال
    خرید
  • Kaspersky Small Office Security

    355,769,400 ریال
    خرید
  • Kaspersky Small Office Security

    125,019,825 ریال250,039,650 ریال
    خرید
  • Kaspersky Small Office Security

    399,759,150 ریال
    خرید
  • Kaspersky Small Office Security

    127,335,075 ریال254,670,150 ریال
    خرید
  • Kaspersky Small Office Security

    407,476,650 ریال
    خرید
  • Kaspersky Small Office Security

    179,428,200 ریال358,856,400 ریال
    خرید
  • Kaspersky Small Office Security

    574,174,650 ریال
    خرید
  • Kaspersky Small Office Security

    231,521,325 ریال463,042,650 ریال
    خرید
  • Kaspersky Small Office Security

    740,872,650 ریال
    خرید
  • Kaspersky Small Office Security

    279,755,700 ریال559,511,400 ریال
    خرید
  • Kaspersky Small Office Security

    895,222,650 ریال
    خرید
  • Kaspersky Small Office Security

    530,574,450 ریال1,061,148,900 ریال
    خرید
  • Kaspersky Small Office Security

    1,697,842,650 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد