kebijakan sandi yang dapat digunakan dan aman yang didukung oleh sains
Keamanan

kebijakan sandi yang dapat digunakan dan aman yang didukung oleh sains


Kredit: CC0

Setelah hampir satu dekade melakukan studi, kelompok penelitian kata sandi di CyLab Security and Privacy Institute Carnegie Mellon telah mengembangkan kebijakan untuk membuat kata sandi yang menjaga keseimbangan antara keamanan dan kegunaan — yang didukung oleh sains.

Lupakan semua aturan tentang huruf besar dan kecil, angka dan simbol; kata sandi Anda hanya perlu setidaknya 12 karakter, dan harus lulus uji kekuatan waktu nyata yang dikembangkan oleh para peneliti.

Studi ini akan dipresentasikan pada Konferensi ACM tentang Keamanan Komputer dan Komunikasi bulan depan, yang akan diadakan secara virtual.

“Kebijakan yang kami kembangkan memungkinkan pengguna membuat sandi yang lebih mudah diingat dan lebih aman terhadap penyerang yang canggih,” kata Lorrie Cranor, direktur CyLab dan profesor di Institute for Software Research (ISR) dan departemen Engineering and Public Kebijakan (EPP). “Menariknya, data kami menunjukkan bahwa mensyaratkan lebih banyak kelas karakter — huruf besar, simbol, dan angka — tidak meningkatkan kekuatan sandi sebanyak persyaratan lainnya dan cenderung berdampak negatif pada kegunaan sandi.”

Pada tahun 2016, para peneliti mengembangkan pengukur kekuatan sandi yang didukung oleh jaringan saraf tiruan yang ukurannya relatif kecil — beberapa ratus kilobyte, yang cukup kecil untuk dienkode ke dalam browser web. Pengukur kekuatan memberi pengguna skor kekuatan dan menawarkan saran dalam waktu nyata. Lihat demo meteran.

“Ini adalah semacam pengubah permainan,” kata Lujo Bauer, seorang profesor di bidang teknik listrik dan komputer (ECE) dan ISR, “… karena tidak ada pengukur sandi lain hingga saat itu yang menawarkan umpan balik yang akurat, berdasarkan data, dan waktu nyata tentang cara buat sandi lebih kuat. “

Dilengkapi dengan pengukur kata sandi yang canggih ini, para peneliti kemudian mendekati kebijakan kata sandi dari perspektif yang sama sekali baru: dengan gagasan bahwa kata sandi harus mencapai skor ambang tertentu pada pengukur kata sandi mereka. Perspektif baru ini mengarahkan para peneliti untuk menemukan ambang batas antara kekuatan dan panjang kata sandi — yang menyebabkan pengguna membuat kata sandi yang lebih kuat dan lebih berguna daripada yang mereka lakukan menurut kebijakan kata sandi umum.

Untuk mencapai penemuan ini, para peneliti melakukan eksperimen online, mengevaluasi kombinasi persyaratan panjang minimum, persyaratan kelas karakter, persyaratan kekuatan minimum, dan daftar blokir sandi — daftar kata-kata yang tidak boleh digunakan dalam sandi karena kata sandi tersebut. penggunaan umum.

Dalam eksperimen online, peserta studi diminta untuk membuat dan mengingat kata sandi di bawah kebijakan kata sandi yang ditetapkan secara acak. Pertama, peserta berperan sebagai seseorang yang penyedia emailnya telah dilanggar dan perlu membuat sandi baru sesuai dengan kebijakan yang ditetapkan. Kemudian, beberapa hari kemudian, mereka diminta untuk mengingat kata sandi mereka sebagai cara untuk mengukur kegunaan kebijakan kata sandi.

“Kami menemukan bahwa diperlukan kebijakan kedua kekuatan minimum dan panjang minimum 12 karakter mencapai keseimbangan yang baik antara keamanan dan kegunaan, “kata Nicolas Christin, seorang profesor di ISR ​​dan EPP.

Meskipun daftar blokir dan kebijakan kekuatan minimum dapat memberikan hasil yang serupa, kebijakan kekuatan minimum dikonfigurasi secara fleksibel ke tingkat keamanan yang diinginkan, dan lebih mudah diterapkan bersamaan dengan umpan balik persyaratan waktu nyata dalam pengaturan keamanan tinggi.

“Sekarang kami memberikan panduan konkret tentang kebijakan sandi, kami optimis bahwa perusahaan dan organisasi dapat mengadopsi rekomendasi kami,” kata Joshua Tan, peneliti postdoctoral di ISR ​​dan CyLab.


Peneliti mengungkap pengukur kata sandi baru yang akan mengubah cara pengguna membuat kata sandi


Informasi lebih lanjut:
Konferensi ACM tentang Komputer dan Keamanan Komunikasi, www.andrew.cmu.edu/user/nicola… asi / Tan-CCS20.pdf

Disediakan oleh Universitas Carnegie Mellon

Kutipan: Akhirnya: kebijakan kata sandi yang dapat digunakan dan aman yang didukung oleh sains (2020, 21 Oktober) diambil pada 27 November 2020 dari https://techxplore.com/news/2020-10-usable-password-policy-science.html

Dokumen ini memiliki hak cipta. Selain dari transaksi yang adil untuk tujuan studi atau penelitian pribadi, tidak ada bagian yang boleh direproduksi tanpa izin tertulis. Konten disediakan untuk tujuan informasi saja.


Halaman Ini Di Persembahkan Oleh : SGP Prize