NIST (अमेरिकी National Institute of Standards and Technology), पासवर्ड में खास character composition की अनिवार्यता पर रोक

 (mastodon.social)
26 पॉइंट द्वारा GN⁺ 2024-09-26 | 14 टिप्पणियां | WhatsApp पर शेयर करें
  • NIST जल्द ही "विभिन्न character styles से बने पासवर्ड की अनिवार्य शर्त" और "समय-समय पर पासवर्ड बदलने की अनिवार्यता" को "प्रतिबंधित" करने वाला है। इन्हें cyber security की कमजोरी माना गया है

पासवर्ड आवश्यकताएँ

  • verifier और CSP को यह सुनिश्चित करना चाहिए कि पासवर्ड की लंबाई कम से कम 8 characters हो, और 15 या उससे अधिक characters की माँग करना बेहतर है SHALL
  • verifier और CSP को अधिकतम पासवर्ड लंबाई कम से कम 64 characters तक अनुमति देनी चाहिए SHOULD
  • verifier और CSP को पासवर्ड में सभी ASCII printable characters और space characters की अनुमति देनी चाहिए SHOULD
  • verifier और CSP को पासवर्ड में Unicode characters की अनुमति देनी चाहिए। पासवर्ड की लंबाई का आकलन करते समय हर Unicode code point को एक character के रूप में गिना जाना चाहिए SHOULD
  • verifier और CSP को पासवर्ड पर अन्य composition rules (जैसे अलग-अलग character types के मिश्रण की अनिवार्यता) नहीं थोपने चाहिए SHALL NOT
  • verifier और CSP को users से नियमित रूप से पासवर्ड बदलने की माँग नहीं करनी चाहिए SHALL NOT। लेकिन यदि authenticator के compromise का प्रमाण हो, तो verifier को बदलाव अनिवार्य करना चाहिए SHALL
  • verifier और CSP को subscriber को ऐसे hints सहेजने की अनुमति नहीं देनी चाहिए जिन तक unauthenticated claimant पहुँच सके SHALL NOT
  • verifier और CSP को subscriber को पासवर्ड चुनते समय knowledge-based authentication (KBA) या security questions इस्तेमाल करने के लिए prompt नहीं करना चाहिए SHALL NOT
  • verifier को submitted password को पूरा का पूरा validate करना चाहिए (यानी उसे truncate नहीं करना चाहिए) SHALL

अन्य उल्लेख

  • मौजूदा नियमों की समस्या: पहले Unicode characters कुछ platforms पर ठीक से store नहीं हो पाते थे। लेकिन अब Unicode अधिक entropy देता है
  • नई आवश्यकताएँ: नई NIST guideline में arbitrary Unicode को अनुमति देने की शर्त शामिल होने वाली है। यह internationalization (i18n) का दावा करने वाले software के लिए अनिवार्य है
  • पासवर्ड composition rules: NIST ने पासवर्ड composition rules को "recommended नहीं" से बदलकर "allowed नहीं" कर दिया है। यह security को मजबूत करने की दिशा में एक अहम कदम है
  • industry standards से टकराव: कुछ industry standards (जैसे PCI, ISO 27001:2022) में अब भी NIST से टकराने वाली आवश्यकताएँ हैं। इससे कंपनियों के लिए नए NIST नियमों का पालन करना कठिन हो जाता है
  • password manager का उपयोग: password manager सिर्फ websites ही नहीं, बल्कि कई तरह के systems में भी उपयोगी हैं। hardware token या biometric authentication के जरिए master password दर्ज करने के तरीके भी मौजूद हैं
  • पासवर्ड लंबाई सीमा: पासवर्ड लंबाई सीमा authentication system में resource exhaustion रोकने के लिए होती है। लेकिन बहुत छोटी सीमा security पर गंभीर प्रतिबंध लगा सकती है

GN⁺ की संक्षिप्त समीक्षा

  • NIST के नए पासवर्ड नियम पुराने, अनावश्यक और हानिकारक security requirements हटाकर सुरक्षा को मजबूत करते हैं
  • Unicode पासवर्ड की अनुमति international users के लिए बहुत मददगार होगी
  • कुछ industry standards से टकराव के कारण कंपनियों के लिए नए नियम अपनाना मुश्किल हो सकता है
  • password manager कई तरह के systems में उपयोगी हैं, और hardware token के जरिए सुरक्षा और मजबूत की जा सकती है
  • पासवर्ड लंबाई सीमा resource exhaustion रोकने के लिए होती है, लेकिन बहुत छोटी सीमा security समस्याएँ पैदा कर सकती है

संबंधित पढ़ाई

14 टिप्पणियां

 
2024-09-26
[यह टिप्पणी छिपाई गई है.]
 
hided62 2024-09-26

जहाँ अधिकतम लंबाई कम होती है, वह थोड़ा अटपटा लगता है.
असल में पासवर्ड

joabaekban0212341234lunchspecial1servingcardyo

की तरह अगर 'पहले से मौजूद शब्दों' का संयोजन भी हो, तो जब कई शब्द लगातार जुड़े हों तो उसकी कठिनाई बहुत तेजी से बढ़ जाती है.
 
semjei 2024-09-27

हमारी कंपनी में भी इस साल की शुरुआत में दिशा-निर्देश बदल गए, और अब कोई भी 4 या उससे ज़्यादा English words की सूची वाला पासफ़्रेज़ रखना होता है.
इसलिए अब मैं हर सुबह कोई प्रेरक उद्धरण टाइप करके दिन की शुरुआत करता हूँ.
 
savvykang 2024-09-26

जिस Coupang की dev culture को फिर भी कुछ बेहतर माना जाता है, उसने भी बिना किसी visual feedback के चुपचाप password की लंबाई 16 characters तक सीमित कर दी। password बदलने का कोई email भी नहीं आया, और बिना किसी वजह के login नहीं हो रहा था, इसलिए मुझे लगा कि शायद मेरा account hack हो गया है।
 
galadbran 2024-09-28

लगता है डेवलपमेंट क्षेत्र के भीतर भी कई अलग-अलग क्षेत्र होते हैं। शायद security या accessibility ऐसे प्रतिनिधि क्षेत्र हैं जिन्हें ज़्यादा नहीं संभाला जाता। dark pattern पर जो मेहनत लगाई जाती है, उसका थोड़ा सा भी ...
 
savvykang 2024-09-28

अभी जाँच किया तो ऊपरी सीमा 20 अक्षरों तक समायोजित कर दी गई है। लेकिन अब भी साइन-अप वेबपेज पर पासवर्ड के बारे में किसी भी तरह के मार्गदर्शन संदेश या विज़ुअल फीडबैक के बिना पासवर्ड की लंबाई सीमित की जा रही है, और लॉगिन वेबपेज पर कोई सीमा ही नहीं है। दूसरी ओर, Android ऐप के पासवर्ड बदलने वाले पेज पर पासवर्ड नियम स्पष्ट रूप से दिए गए हैं। लगता है Android टीम और वेब फ्रंटएंड टीम के बीच तालमेल नहीं है.

मुझे लगता है कि यह siloization का एक सामान्य उदाहरण है.
 
unsure4000 2024-09-26

लगता है, यहाँ भी कुछ भी ठीक से पालन नहीं हो रहा...
 
bakyeono0 2024-09-26

अगर यह देख रहे UI से जुड़े लोग यहाँ हों, तो कृपया password input के समय स्क्रीन पर दिखने वाले virtual keyboard से input करना मजबूरी बनाने वाला UI भी हटा दीजिए।
शुरुआत में यह शायद password को keylogger से उजागर होने से बचाने के लिए आया होगा, लेकिन आजकल जगह-जगह लगे कैमरों में रिकॉर्ड होकर password के उजागर होने का जोखिम कहीं ज़्यादा बड़ा है।
हर बार इसे देखकर अजीब लगता है, और यह अभी तक बना हुआ है, यह भी हैरानी की बात है।
शायद यह keylogger की वजह से बनाया गया था, यह बात अब लोग भूल चुके हैं, और बस सब ऐसा करते हैं इसलिए उसी की नकल कर रहे हैं — ऐसा शक होता है.
 
lux1024 2024-09-28

क्योंकि यह सरकारी security guideline है। virtual keyboard जोड़ना चाहने वाली कोई भी कंपनी शायद ही होगी.

विभिन्न standard certifications में भी ऐसी कई चीज़ें हैं जहाँ virtual keyboard अनिवार्य होता है। इसमें उम्मीद से कहीं ज़्यादा detailed requirements होती हैं, और अगर आप इसे लागू करने के लिए किसी मौजूदा vendor के product (SDK) का इस्तेमाल नहीं करते, तो review में ज़्यादा समय लग सकता है या reject भी किया जा सकता है। सच कहूँ तो कभी-कभी यह security vendors का cartel जैसा भी लगता है।
 
2024-09-27
[यह टिप्पणी छिपाई गई है.]
 
bakyeono 2024-09-27

सिर्फ़ सरकारी संस्थान ही नहीं, बल्कि Naver और Coupang जैसी टेक-आधारित कंपनियाँ भी ऐसा कर रही हैं, इसलिए यह और भी ज़्यादा निराशाजनक है।
 
carnoxen 2024-09-27

क्या वहाँ वे सिर्फ इसलिए अनमने ढंग से उसका पालन कर रहे हैं क्योंकि सरकार ने उन्हें ऐसा करने का आदेश दिया है?
 
savvykang 2024-09-26

जिन साइटों में पासवर्ड की अधिकतम लंबाई लगभग 12 अक्षरों तक सीमित होती है या जो special symbols की अनुमति नहीं देतीं, उन्हें इस्तेमाल करने में हिचक होती है। यह इस बात के संकेतों में से एक लगता है कि वे security पर ध्यान नहीं देते।
 
GN⁺ 2024-09-26
Hacker News की राय

  • NIST 2017 से password composition rules को ढीला करने के लिए guidelines देता आ रहा है

    • "verifier को memorized passwords पर कोई अन्य composition rules लागू नहीं करने चाहिए"
    • "verifier को मनमाने ढंग से password बदलने की मांग नहीं करनी चाहिए"
    • "यदि authenticator के compromise होने के प्रमाण हों, तो बदलाव अनिवार्य किया जाना चाहिए"

  • NIST नीतियाँ तय नहीं करता, लेकिन कई दूसरी नीतियाँ NIST 800-63 का संदर्भ लेती हैं

  • वेबसाइट पर sign up करते समय "अच्छे password में a, b, c होना चाहिए" जैसे rules बहुत परेशान करने वाले थे

    • लगता है कि कई site developers को अच्छे password के बारे में ठीक से जानकारी नहीं है

  • NIST 'security questions' को भी प्रतिबंधित करता है (जैसे: "आपकी माँ का उपनाम क्या है?")

  • NIST ने कई दशकों तक password के बारे में गलत guidelines दीं और अब जाकर अधिक तर्कसंगत समाधान अपनाया है

    • पहले की गलत guidelines के आधार पर बहुत सा software बनाया गया, और इसे बदलने में लंबा समय लगेगा

  • bcrypt समस्या की वजह से शायद "submit किए गए पूरे password को verify किया जाना चाहिए" जैसी requirement आई है

  • NIST अधिकतम password length 64 characters सुझाता है (कई sites इसे 20 characters तक सीमित करती थीं, जिससे passphrase का उपयोग असंभव हो जाता था)

  • एक उपयोगकर्ता की कहानी:

    • उसकी पत्नी का बैंक पिछले महीने तक login के लिए numeric ID का उपयोग करता था
    • इस महीने से उसने username चुनना अनिवार्य कर दिया, और उसमें uppercase letters तथा numbers शामिल होने चाहिए थे
    • यह बैंक यूरोप का 8वां सबसे बड़ा बैंक है

  • इस पर बहस है कि specific characters की मांग entropy बढ़ाती है या घटाती है

    • specific characters की मांग करने से चुने जा सकने वाले characters की range घटती है, इसलिए entropy कम होती है
    • ज़्यादातर उपयोगकर्ता कमजोर passwords चुनते हैं, इसलिए specific characters की मांग entropy बढ़ा सकती है
    • लेकिन अधिकांश उपयोगकर्ता उन characters को आसानी से अनुमान लगाए जा सकने वाले स्थानों पर रखते हैं, इसलिए entropy फिर भी कम होगी

  • NIST के plaintext passwords को PAKE से बदलने और W3C के इसके लिए mechanism उपलब्ध कराने का इंतज़ार है

  • मूल लिंक: NIST SP 800-63b