Stará pravidla a doporučení pro hesla, která stále ještě využívá většina webů využívá, jsou špatná. Vychází ze standardů amerického Národního institutu standardů a technologie, který byl postaven na studii z 80tých let minulého století. Tato studie nepočítala s dnešními online systémy ani běžnými uživateli. Stará hesla tak nejsou bezpečnější a uživatelé při nich často podvádí. Mimochodem do tohoto standardu patří i nutnost měnit heslo každých 90 dnů.
Jaké jsou hesla současnosti
Především uživatel při vytváření není nijak výrazně omezován. Moderní systém musí slabé heslo odhalit ještě když si jej uživatel vytváří. Důraz se klade také na pohodlí uživatele.
Formát hesla
Jediné co zůstalo je omezení délky. Heslo by mělo mít minimálně 8 znaků. Doporučená maximální délka je 64 znaků. Obecně byste neměli uživatele omezovat v délce hesla. Věta o několika slovech je hrubou silou neprolomitelná. Na druhou stranu doporučení říká 64 znaků kvůli tomu, že se vejdou do jednoho řádku na většinu obrazovek.
Vypadla jakákoliv omezení na velké a malá písmena, speciální znaky, čísla atd (v starém standardu bylo alespoň 90 znaků). V novém standardu ale musí mít možnost uživatel zadat jakýkoliv viditelný Unicode znak. Takže třeba neviditelnou mezeru anebo tabulátor ne, ale emoji ano. Jednotné standardy pro Unicode zjednoduší UI.
Přibylo doporučení ohledně mezer. Uživatel by měl mít možnost je používat v rozsahu jakém uzná za vhodné, ale měl by být upozorněn že větší množství mezer nemusí znamenat větší bezpečnost. Zvláště pokud oddělují třeba jen dva znaky.
Bezpečnostní praktiky
Jakékoliv nápovědy pro hesla dříve nevadily, teď jsou nepřípustné. Uživatele nesmíte nabádat, aby je do systému vkládal. Dále bezpečnostní otázky nesmí být dopředu určeny. Je snadné získat si jejich seznam a pak sociálním inženýrstvím získat odpovědi.
Omezování platnosti hesla je už také out.
Musíte se postarat, aby nové heslo bylo porovnáno se slovníkem často používaných hesel a uživatel byl upozorněn, že toto heslo není bezpečné. Je dost možné, že jej používá už jinde, takže mu uděláte laskavost. Zároveň je třeba s řetězcem pracovat. Pokud použil předtím snadno odhalitelné heslo a pro další pokus přidá před/za něj jeden znak, tak s tím musíte počítat.
Šifrování
Předchozí standard šifrování hesel nijak neřešil. V novém je nutné použít 32-bitový SALT nějakou schválenou funkcí – PBKDF2 se SHA-1, SHA-2, SHA-3 (viz. standard NIST SP 800-131A rev 1, Sec 9). Měla by udělat 10 tisíc iterací.
Další doporučení
Měli byste umožnit zadané heslo zobrazit, případně vypnout hvězdičky/tečky. Je to z důvodu možných překlepů, prohozené klávesnice atd. Heslo by se však po určitém čase mělo schovat.
Do budoucna
SMS jako forma OOB (out of band) autentizace je označena jako deprecated (zastaralá). V další revizi standardu už zřejmě nebude. Důvodem je, že mobilní telefony jsou často cílem malware. U SMS jde také snadno podvrhnout číslo. Uživatelé telefonní čísla také mění.
Je doporučeno používat bimotrické údaje, ovšem vždy šifrovat. Zároveň by měla být do systému zakomponovaná ochrana proti nadměrnému počtu pokusů. Doporučeno je 10.
Tento článek byl byl přečten 6701 krát