Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), halihazırda yerleşik uygulamalarda çok sayıda hatalı yaklaşımı vurgulayarak yeni kimlik doğrulama sistemi önerileri yayınladı.
NIST, Amerika Birleşik Devletleri’nde düzenleyici olmayan bir devlet kurumudur ve sorumlulukları arasında, devlet temsilcisi hesaplarına ve bilgisayar sistemlerine yetkisiz erişime karşı savunma standartlarının geliştirilmesi yer alır.
Kamuya açık raporları resmi uygulama tavsiyeleri olarak alınmalı ve bilimsel olarak doğrulanmalıdır.
Bu yeni rapor, devlet kurumları için kimlik doğrulama gereksinimlerini özetlerken, aynı zamanda tüm alanlar ve kullanıcı seviyeleri için mükemmel yönergelerdir.
şifreler hakkında
Parolaların gücüne dayanarak, NIST, kullanıcılar parolayı akılda kalıcı tutacak bir şey ekleme eğiliminde olduklarından, örneğin !$#%& gibi özel karakterler kullanma gereksinimlerinin artık geçerli olmadığının altını çiziyor.
Bu nedenle, tehdit aktörleri, belirli sitelerdeki şifre oluşturma kurallarına göre bir kullanıcının hangi karakterleri ekleyeceğini tahmin edebilir.
Web siteleri için tercih edilen yaklaşım, kullanıcıların kırılması çok daha zor olan uzun şifreler kullanmasını gerektirecektir.
Bunun için NIST, web sitelerinin, entropiyi önemli ölçüde artırırken yine de akılda kalıcı olabilen çok kelimeli ifadeler ayarlamak için boşluk karakterlerine izin vermesi gerektiğini not eder.
Şu anda çoğu site, SQL saldırıları kullanımlarına bağlı olduğu için boşlukları veya diğer özel karakterleri reddedecektir. Ne yazık ki, bu reddetme, genellikle daha zayıf bir parolaya geçiş yapan kullanıcıları hayal kırıklığına uğratır.
Ayrıca NIST, web sitelerinin kullanıcı şifrelerini “kara listeye alınmış” bir sözlükle kontrol etmesini ve herhangi bir eşleşme bulunursa bunları reddetmesini önerir.
Bu sözlük, kamuya açık veri ihlallerinde sızdırılan şifreleri, bağlama özel kelimeleri ve türevlerini içerebilirken, sistemin tekrarlayan veya sıralı karakterleri de algılaması ve reddetmesi gerekir.
Biyometrik kimlik doğrulama hakkında
NIST, biyometrik kimlik doğrulamanın olasılıklı olduğunun ve belirleyici olmadığının ve yüksek çözünürlüklü resimler veya tarama kullanılarak yanıltılabileceğinin altını çiziyor.
Bu nedenle, NIST yönergeleri, biyometrik kimlik doğrulamanın yalnızca güvenlik anahtarı veya OTP kimlik doğrulayıcı gibi çok faktörlü kimlik doğrulama ile birlikte kullanılmasını gerektirir.
“Biyometri, yalnızca fiziksel bir kimlik doğrulayıcı ile çok faktörlü kimlik doğrulamanın bir parçası olarak KULLANILACAKTIR (sahip olduğun bir şey),” yeni okur NIST yönergeleri.
Ayrıca, devlet kurumlarının biyometrik sensörün kurcalanmaya karşı dayanıklı olduğunu ve bir kullanıcıdan biyometrik numuneler almadan önce onaylandığını doğrulaması gerekecektir.
“Sensör (veya sensör değiştirmeye direnen bir sensör içeren bir uç nokta) ile doğrulayıcı arasında kimliği doğrulanmış korumalı bir kanal kurulmalı ve talep sahibinden biyometrik numune alınmadan önce sensör veya uç nokta kimliği doğrulanmalıdır.”
2FA ve MFA’da
NIST, bugün çok yaygın olarak kullanılan yazılım tabanlı OTP oluşturucuların, gizli anahtarın birden fazla cihaza klonlanmasını kolaylaştırmaması veya en azından onu caydırması gerektiğini öne sürüyor.
Ayrıca, zamana dayalı kriptografik nonce’ler en az 2 dakikada bir değiştirilmeli ve belirli bir nonce ile ilişkili her OTP değeri yalnızca bir kez kabul edilmelidir.
Nonce (bir sayı), kriptografik kimlik doğrulama protokolünün bir parçası olarak yalnızca bir kez kullanılabilen rastgele veya sözde rastgele bir sayıdır.
Tek faktörlü ve çok faktörlü OTP doğrulayıcılarda, anahtar ve nonce’yi birleştirmek için çıktı onaylanmış bir blok şifreleme veya karma işlevi kullanılarak elde edilirse, sonuç altı ondalık basamağa (20 bit entropi) kadar kısaltılmalıdır.
USB kriptografik kimlik doğrulayıcılara gelince, NIST, sorgu nonce uzunluklarının en az 64 bit olacağını ve ayrıca istatistiksel olarak benzersiz (rastgele bir bit oluşturucu kullanılarak türetilmiş) olması gerektiğini söylüyor.
Güçlü parolaları benimseyin
Son olarak, güçlü ve benzersiz parolalar, güvenli kimlik doğrulamanın en basit biçimi olmaya devam ediyor; uzman tahminleri.
Parola tabanlı siteler ve hizmetler sağlayanlar, nelerin kullanılmasına izin verildiği konusunda çıtayı yükseltmek ve insanları tahmin etmesi kolay veya yaygın parolalar seçmekten caydırmak için çaba sarf etmelidir.
Bir kullanıcının bakış açısından, bir şifre yöneticisi kurun ve her sitede izin verildiği kadar uzun şifreler oluşturmasına izin verin.
Parola yöneticileri genellikle parolanızı otomatik olarak dolduran web tarayıcısı uzantılarını kullandığından, ziyaret ettiğiniz her sitede hatırlamanız gerekmeyecek ve güçlü ve benzersiz parolalardan yararlanabileceksiniz.
Alternatif olarak, en az dört kelimeden oluşan (ne kadar çok, o kadar iyi) rastgele ifadeler kullanabilir ve seçenek mevcut olduğunda her zaman 2FA’yı etkinleştirebilirsiniz.