- NIST, "farklı karakter türlerinden oluşan parola oluşturma gereksinimleri" ile "parolanın düzenli aralıklarla değiştirilmesi gereksinimini" "yasaklamaya" hazırlanıyor. Bunlar siber güvenlik zafiyeti olarak değerlendiriliyor.
Parola gereksinimleri
- Doğrulayıcılar ve CSP'ler, parola uzunluğunun en az 8 karakter olmasını sağlamalı ve en az 15 karakter olmasını istemeleri tavsiye edilir SHALL
- Doğrulayıcılar ve CSP'ler, azami parola uzunluğu için en az 64 karaktere izin vermeleri tavsiye edilir SHOULD
- Doğrulayıcılar ve CSP'ler, parolalarda tüm ASCII yazdırılabilir karakterlere ve boşluk karakterlerine izin vermeleri tavsiye edilir SHOULD
- Doğrulayıcılar ve CSP'ler, parolalarda Unicode karakterlere izin vermeleri tavsiye edilir. Parola uzunluğu değerlendirilirken her Unicode kod noktası tek bir karakter olarak sayılmalıdır SHOULD
- Doğrulayıcılar ve CSP'ler, parolalara başka bileşim kuralları (ör. farklı karakter türlerinin karıştırılmasını zorunlu kılma) uygulamamalıdır SHALL NOT
- Doğrulayıcılar ve CSP'ler, kullanıcılardan parolalarını periyodik olarak değiştirmelerini istememelidir SHALL NOT. Ancak doğrulayıcının ihlal edildiğine dair kanıt varsa, doğrulayıcı değişikliği zorunlu kılmalıdır SHALL
- Doğrulayıcılar ve CSP'ler, abonenin kimliği doğrulanmamış talep sahiplerinin erişebileceği ipuçlarını saklamasına izin vermemelidir SHALL NOT
- Doğrulayıcılar ve CSP'ler, parola seçerken aboneyi bilgiye dayalı kimlik doğrulama (KBA) veya güvenlik soruları kullanmaya yönlendirmemelidir SHALL NOT
- Doğrulayıcı, gönderilen parolanın tamamını doğrulamalıdır (yani kesmemelidir) SHALL
Diğer noktalar
- Mevcut kuralların sorunu: Geçmişte Unicode karakterlerin bazı platformlarda düzgün saklanmaması gibi sorunlar vardı. Ancak bugün Unicode daha fazla entropi sağlıyor.
- Yeni gereksinim: Yeni NIST yönergelerinde rastgele Unicode'a izin verilmesi gerekliliğinin yer alması bekleniyor. Bu, uluslararasılaşma (i18n) iddiasındaki yazılımlar için zorunlu.
- Parola bileşim kuralları: NIST, parola bileşim kuralları konusundaki tutumunu "önerilmez" düzeyinden "izin verilmez" düzeyine değiştiriyor. Bu, güvenliği güçlendirme açısından önemli bir adım.
- Sektör standartlarıyla çelişki: Bazı sektör standartları (örn. PCI, ISO 27001:2022) hâlâ NIST ile çelişen gereksinimler içeriyor. Bu da şirketlerin yeni NIST kurallarını izlemesini zorlaştırıyor.
- Parola yöneticisi kullanımı: Parola yöneticileri yalnızca web sitelerinde değil, çeşitli sistemlerde de faydalı. Donanım token'ı veya biyometrik kimlik doğrulama ile ana parolayı girme yöntemleri de bulunuyor.
- Parola uzunluğu sınırı: Parola uzunluğu sınırları, kimlik doğrulama sistemlerinde kaynak tükenmesini önlemek için var. Ancak çok kısa parola sınırları güvenlik üzerinde ciddi kısıtlar yaratabilir.
GN⁺ özeti
- NIST'in yeni parola kuralları, mevcut gereksiz ve zararlı güvenlik gereksinimlerini kaldırarak güvenliği güçlendiriyor.
- Unicode parolalara izin verilmesi, uluslararası kullanıcılar için büyük fayda sağlayacak.
- Bazı sektör standartlarıyla yaşanan çelişki nedeniyle şirketlerin yeni kurallara uyması zor olabilir.
- Parola yöneticileri çeşitli sistemlerde yararlıdır ve donanım token'larıyla güvenlik artırılabilir.
- Parola uzunluğu sınırları kaynak tükenmesini önlemeyi amaçlasa da çok kısa sınırlar güvenlik sorunlarına yol açabilir.
14 yorum
Maksimum uzunluğun kısa olduğu yerler biraz sorunlu geliyor bana.
Aslında şifreler
iyiEvYemeği0212341234öğleÖzel1PorsiyonKartLütfen
gibi, "zaten var olan kelimelerin" birleşimi olsa bile birkaç tane art arda gelince zorluk seviyesi hızla yükseliyor.
Bizim şirkette de bu yılın başında yönergeler değişti ve en az dört rastgele İngilizce kelimeyi art arda yazma kuralına geçildi.
Bu yüzden her sabah özlü sözler yazarak güne başlıyorum.
Geliştirme kültürü bakımından nispeten daha iyi denilen Coupang bile, hiçbir görsel geri bildirim olmadan sessizce parola uzunluğunu 16 karakterle sınırlamış. Parola değiştirme e-postası da yoktu; hiçbir sebep yokken giriş yapamayınca hacklendiğimi sandım.
Geliştirme alanının da birçok alt alanı var galiba. Güvenlik ya da erişilebilirlik, pek ele alınmayan başlıca alanlar gibi görünüyor. Dark pattern'e harcanan çabanın birazı bile ...
Az önce kontrol ettim, üst sınır 20 karaktere ayarlanmış. Ancak hâlâ üyelik web sayfasında parola için hiçbir yönlendirme metni ya da görsel geri bildirim olmadan parola uzunluğu sınırlandırılıyor ve giriş web sayfasında ise hiçbir sınırlama yok. Buna karşılık Android uygulamasındaki parola değiştirme sayfasında parola kuralları açıkça belirtilmiş. Görünüşe göre Android ekibi ile web frontend ekibi arasında uyum yok.
Bunun tipik bir silolaşma belirtisi olduğunu düşünüyorum.
Hiçbir şey de doğru düzgün uygulanmıyor...
Bunu gören UI ile ilgili yetkililer varsa, lütfen parola girerken ekranda görünen sanal klavyeyle giriş yapmayı zorunlu kılan arayüzleri de artık kaldırın.
İlk ortaya çıktığında muhtemelen parolanın keylogger tarafından ele geçirilmesini önlemek içindi, ama bugünlerde her yerde bulunan kameralar tarafından kayda alınıp parolanın açığa çıkma riski çok daha büyük.
Her gördüğümde şaşırtıcı gelen bir arayüz ama hâlâ sürdürülüyor olması tuhaf.
Muhtemelen bunun keylogger yüzünden yapıldığı artık unutuldu; herkes öyle yaptığı için sadece peşlerinden gidildiğinden şüpheleniyorum.
Çünkü bu bir devlet güvenlik kılavuzu. Sanal klavye eklemek isteyen bir şirket muhtemelen yoktur.
Çeşitli standart sertifikasyonlarında da sanal klavyeyi zorunlu tutan maddeler çok. Bunların düşündüğünüzden daha fazla ayrıntılı gereksinimi var; bunu uygulamış mevcut şirketlerin ürünlerini (SDK) kullanmazsanız inceleme daha uzun sürebiliyor ya da başvurunuz reddedilebiliyor. Açıkçası bu, neredeyse güvenlik şirketlerinin bir karteli gibi görünüyor.
Sadece kamu kurumları değil, Naver ve Coupang gibi teknoloji tabanlı şirketler de bunu yaptığı için daha da sinir bozucu.
Orası, hükümet onlara öyle emrettiği için istemeden uyuyor olabilir, değil mi?
Maksimum parola uzunluğu yaklaşık 12 karakter gibi kısa olan ya da özel karakterlere izin vermeyen siteleri kullanmak istemiyorum. Bu, güvenliğe önem vermediklerinin işaretlerinden biri gibi görünüyor.
Hacker News görüşleri
NIST, 2017'den beri parola bileşim kurallarını gevşeten yönergeler sağlıyor
NIST politika belirlemez, ancak başka birçok politika NIST 800-63'e atıfta bulunur
Web sitesine kayıt olurken "iyi bir parola a, b, c kullanmalıdır" gibi kurallar çok sinir bozucuydu
NIST, 'güvenlik soruları'nı da yasaklıyor (ör. "Annenizin kızlık soyadı nedir?")
NIST onlarca yıl boyunca yanlış parola yönergeleri verdi, şimdi ancak daha makul çözümlere geçiyor
Görünüşe göre bcrypt sorunu nedeniyle "gönderilen parolanın tamamı doğrulanmalıdır" şeklinde bir gereksinim ortaya çıktı
NIST azami parola uzunluğunu 64 karakter olarak öneriyor (birçok site bunu 20 karakterle sınırlayarak parola cümlesi kullanımını imkansız hale getiriyordu)
Bir kullanıcının anlattığına göre:
Belirli karakterleri zorunlu kılmanın entropiyi artırıp azaltmadığı konusunda tartışma var
NIST'in düz metin parolaları PAKE ile değiştirmesini ve W3C'nin bunun için bir mekanizma hazırlamasını bekliyorlar
Orijinal bağlantı: NIST SP 800-63b