UNC-Chapel Hill stellt auf ein System um, bei dem die Onyen-Passwörter nicht mehr alle 91 Tage, sondern einmal im Jahr geändert werden. Für die Bequemlichkeit, ihr Passwort nur einmal im Jahr zu ändern, müssen die Mitglieder der Campus-Community Passwörter erstellen, die für Kriminelle schwerer zu knacken sind.
In einem Gastbeitrag diskutiert Alex Everett, IT Security Architect im Information Security Office innerhalb des ITS, die Änderung aus der Perspektive der IT-Sicherheit. Er erklärt, was das neue System sicherer und gleichzeitig benutzerfreundlicher macht.
Ab dem 13. Mai wird das ITS Identity Management ein größeres Update für den Onyen-Service veröffentlichen. Das Update wird es den Teilnehmern ermöglichen, dasselbe Passwort für bis zu einem Jahr zu verwenden, während alle Zeichenanforderungen, die heute bestehen, entfernt werden.
Wir glauben, dass dies nicht nur für eine bessere Benutzererfahrung sorgen wird, sondern auch für einen etwas stärkeren Satz von Passwörtern, da der Dienst nun enger an die Empfehlungen des National Institute of Standards and Technology und unseres eigenen Fachbereichs für Informatik angepasst ist. Dennoch muss 2-Step oder Zwei-Faktor weiterhin eine Schlüsselkomponente der Authentifizierung an der Universität sein, da es vor unserer größten Bedrohung für Passwörter schützt – Phishing.
Lange Zeit haben wir unsere Wähler gebeten, sich Passwörter zu merken, die Zahlen, Sonderzeichen und Buchstaben enthalten, anstatt Kombinationen von Wörtern, Phrasen oder Sätzen zuzulassen, die genauso stark und viel einprägsamer sind. Ein Auszug aus einem beliebten Comic versucht, dies zu erfassen.
Sicherere Authentifizierungstechnologien
Wir haben auch mehr Verantwortung für die Passwortstärke auf den Wähler gelegt, als für die Begrenzung von Passwort-Rateangriffen und die Sicherung von Passwortdatenbanken. In den letzten Jahren haben unsere Kollegen von ITS Infrastructure & Operations jedoch Fortschritte an diesen Fronten gemacht, einschließlich der Fertigstellung einer Risikobewertung und der Einführung von sichereren Authentifizierungstechnologien. Daher sind unsere primären Risiken für Onyen-Passwörter Phishing-Angriffe und in geringerem Maße Online-Rate-Angriffe, insbesondere solche, die kompromittierte Anmeldedaten verwenden, die bei externen Passwortverletzungen gefunden wurden. Es ist wichtig, dass Sie Ihr Onyen-Passwort nicht für Konten außerhalb der Universität verwenden, z. B. für soziale Medien und Bankgeschäfte. Passwort-Manager wie LastPass bieten eine einfache Möglichkeit, eine Vielzahl von Zugangsdaten sicher zu verwalten.
Eine Vorschau auf das, was Sie erwartet
Dies ist ein Beispiel dafür, was die Wähler sehen werden, wenn sie ab Mai ihr Passwort ändern. Wir empfehlen Ihnen, ein „sehr starkes“ Passwort zu setzen.
Während der Eingabe des Passworts schätzt der Dienst die Anzahl der Versuche, die ein Angreifer unternehmen muss. Der Dienst basiert auf einem Algorithmus, der von Daniel Wheeler von Dropbox entwickelt wurde und versucht, die Arbeitsweise von Angreifern zu imitieren.
Anstatt die Komplexität nur anhand der Länge und des Zeichensatzes zu schätzen, schätzt er die Komplexität anhand einer Vielzahl von Faktoren, darunter Tastaturlayout, Wiederholungen, Häufigkeit von Wörtern in Sprachen, Zeichensubstitutionen und Brute-Force. So erkennt es „C@rol1n@“ als einfache Ersetzung eines gebräuchlichen Wortes und stuft es als viel erratbarer ein als „redandcold“, eine einfache Kombination aus drei Wörtern, die der Dienst zulässt. Dies scheint ein wenig kontraintuitiv zu sein, aber selbst diese kurzen Passwörter sind so stark wie viele der Passwörter, die unsere Wähler heute verwenden.
Der Dienst wird das übermittelte Passwort auch mit einer Liste bekannter, gefährdeter Passwörter aus öffentlichen Passwort-Verletzungen vergleichen. Zusätzlich wird verlangt, dass sich das neue Passwort signifikant von der Zusammensetzung des vorherigen Passworts unterscheidet.
Die Anforderungen variieren je nach Anwendung
Zuletzt möchte ich noch anmerken, dass ein „starkes“ oder „sehr starkes“ Passwort, das vom Onyen-Dienst zugelassen wird, möglicherweise nicht stark genug ist, um es in anderen Kontexten zu verwenden. Wenn Sie zum Beispiel eine Datei verschlüsseln und auf einem Speichersystem ablegen, auf das jeder an der Universität zugreifen kann, kann diese Datei ohne Einschränkungen kopiert und offline geknackt werden. Dies ist auch vergleichbar mit einem lokalen Passwort auf einem Computerserver, das Tausende von (SSH-, RDP- oder Web-) Anmeldungen pro Stunde ohne jegliche Ratenbegrenzung oder Überwachung erlaubt. Für diese Verwendungszwecke und auch für Dienstkonten empfehlen wir ein langes Passwort, das gemäß dem kürzlich überarbeiteten Passwords, Pass-phrases and Other Authentication Methods Standard mindestens 17 Zeichen lang ist.