Het NIST-standaardvoorstel streeft ernaar verouderde authenticatievereisten, zoals het gedwongen opnieuw instellen van wachtwoorden, te elimineren

Wat is vervelender dan regelmatig uw wachtwoord wijzigen? Als u bijvoorbeeld voor een Amerikaans bedrijf werkt, eist het bedrijf dat u uw wachtwoord elke drie maanden wijzigt. Daarnaast regelen ze ook wat uw wachtwoord wel en niet mag bevatten. De normtoezichthouder heeft inmiddels verklaard dat de meeste voucherregels achterhaald en onnodig zijn.

Het National Institute of Standards and Technology (NIST) heeft een nieuwe referentiestandaard voorgesteld die het hoopt over te nemen. Een tweede concept van speciale publicatie 800-63-4 is op de NIST-website geplaatst, in afwachting van publieke feedback over het voorgestelde wachtwoord en de authenticatierichtlijnen.

Het standaardoverzicht is beknopt en to the point, maar gaat in tegen de vervelende cryptografieregimes die door veel bedrijven en instellingen worden gehanteerd. Enkele voorbeelden zijn onder meer het forceren van wachtwoordresets, het beperken van het tekengebruik, het vereisen van specifieke tekencombinaties en het gebruik van beveiligingsvragen. Deze eisen zijn grotendeels onnodig. Ze zijn een verouderd overblijfsel uit een tijd waarin internet nieuw was en de meeste mensen de juiste veiligheidshygiëne niet begrepen.

Zoals Microsoft in zijn Security Baseline 2019 aangeeft, bevorderen veel van deze regels in feite slechte beveiligingsgewoonten. Door werknemers bijvoorbeeld te verplichten hun wachtwoorden vaak te wijzigen, worden ze aangemoedigd om zwakkere wachtwoorden te gebruiken die gemakkelijker te onthouden of te maken zijn, en daarom gemakkelijker te kraken. De Amerikaanse Federal Trade Commission is het daarmee eens.

Hetzelfde geldt voor regels die specifieke tekens vereisen, zoals 'Wachtwoorden moeten minimaal acht tekens bevatten, waaronder minimaal één hoofdletter en kleine letter, één speciaal symbool (zoals leestekens) en minimaal één cijfer.' Deze strikte beperkingen leiden er vaak toe dat mensen wachtwoorden zoals BigToe@1 gebruiken (een voormalige collega gebruikte dit wachtwoord ook daadwerkelijk).

Hoewel iedereen vrij is om SP800-63-4 te lezen en erop te reageren, is het een uitdaging om te lezen vanwege al het bureaucratische jargon en de lange uitleg. De organisatie acht het noodzakelijk om een ​​sectie te hebben waarin de betekenis wordt gedefinieerd van "zal, zal niet", "zal", "mag niet" en andere eenvoudige termen. Het document komt in essentie neer op negen eisen en aanbevelingen.

Wachtwoordvalidator of verificatieserviceprovider:

Wachtwoorden moeten minimaal 8 tekens bevatten, maar minimaal 15 tekens.

Er moet een maximale wachtwoordlengte van minimaal 64 tekens worden toegestaan.

In wachtwoorden moeten alle ASCII-tekens en spaties zijn toegestaan.

Unicode-tekens in wachtwoorden moeten worden geaccepteerd. Bij het evalueren van de wachtwoordlengte moet elk Unicode-codepunt als één teken worden geteld.

Er mogen geen andere samenstellingsregels aan wachtwoorden worden opgelegd (zoals het vereisen van een combinatie van verschillende tekentypen).

Gebruikers mogen niet verplicht worden hun wachtwoorden regelmatig te wijzigen. Als er echter aanwijzingen zijn dat de validator is gecompromitteerd, moet de verifier een wachtwoordwijziging afdwingen.

Het mag gebruikers niet worden toegestaan ​​fooien op te slaan die toegankelijk zijn voor niet-gecertificeerde aanvragers.

Gebruikers mogen niet worden gevraagd om op kennis gebaseerde authenticatie (KBA) (zoals "Wat was de naam van uw eerste huisdier?") of beveiligingsvragen te gebruiken bij het selecteren van een wachtwoord.

Het volledige ingediende wachtwoord moet worden geverifieerd (dat wil zeggen dat het wachtwoord niet wordt afgekapt).

Regel acht is volkomen logisch gezien de wilde veronderstelling dat een hacker op geen enkele manier de mascotte of meisjesnaam van de middelbare school van het doelwit zou weten of achterhalen. Regel zeven lijkt echter een “tegenstrijdigheid met zichzelf” te zijn. U ziet de wachtwoordprompt alleen als u bent geverifieerd, maar als u uw wachtwoord niet meer weet zonder de wachtwoordprompt, kunt u zich niet verifiëren. Voor het overige lijken deze richtlijnen op gezond verstand te berusten, wat naar mijn mening over het algemeen ontbreekt.

NIST beheert de standaarden binnen de overheid en heeft geen handhavingsbevoegdheid ten aanzien van particuliere bedrijven. Het zorgt er bijvoorbeeld voor dat alle brandkranen gestandaardiseerde armaturen gebruiken en overal dezelfde hoeveelheid water leveren, terwijl ook de onderhoudsnormen worden gewaarborgd.

Over het algemeen kunnen alleen overheidsinstanties en bedrijven of organisaties die rechtstreeks met de overheid te maken hebben, aan deze regels voldoen. De IRS moet bijvoorbeeld NIST-richtlijnen overnemen, maar Meta kan deze negeren. Toch sijpelen veel NIST-standaarden door naar particuliere organisaties in sectoren waar de regels van toepassing zijn. Het NIST Cybersecurity Framework is een goed voorbeeld.