Suunnittele salasanakäytäntösi
Saat tietoa siitä, kuinka luoda salasanojen käytäntöjä tuotteille, jotka ovat vaatimustenmukaisia, turvallisia ja käyttäjäystävällisiä. Logto varmistaa todennusprosessisi turvallisuuden.
Product & Design
Suojaako salasanasi todella sinua?
Tuotteessasi on todennäköistä, että joudut tukeutumaan klassiseen todennusmenetelmään – salasanoihin. Vaikka salasanoja ei korvata kokonaan, ne ovat alttiimpia hyökkäyksille verrattuna vaihtoehtoisiin todennusmenetelmiin. Ovatko salasanakäytäntösi todella turvallisia ja vaatimustenmukaisia? Vaikka tunnetkin erilaisia salasanakäytäntötekniikoita, onko niiden kerrostaminen todella tehokasta?
Käsittelemme salasanojen käytäntöjen suunnittelun ja konfiguraation monimutkaisuutta tekemällä perusteellista tutkimusta NIST-määrityksistä, tarkastelemalla johtavien tuotteiden salasanakäytäntöjä ja varmistamalla tasapainoinen käyttäjäkokemus. Korostamalla salasanavaatimusten merkitystä pyrimme vapauttamaan sinut salasanastrategiaan liittyvistä haasteista ja tarjoamaan kattavan prosessin tilin turvallisuuden varmistamiseksi yhdistämällä salasanat saumattomasti muihin monivaiheisen todennuksen (MFA) todentamistekijöihin.
Millaisia salasanoja käyttäjät tarvitsevat?
Tuotesuunnittelijat usein pohtivat, ovatko heidän tuotteensa tarpeeksi turvallisia, mikä johtaa tiukkojen ja monimutkaisten salasanakäytäntöjen käyttöönottoon. Esimerkiksi vaatimalla yhdistelmä isoja ja pieniä kirjaimia, numeroita ja jopa erikoismerkkejä, tai vaatimalla säännöllisiä salasananmuutoksia työntekijöiltä.
Kun käyttäjille esitetään tällaisia salasanavaatimuksia, he valittavat nopeasti: "Miksi sen täytyy olla niin monimutkaista? Salasanojeni muistaminen tuntuu kokopäivätyöltä!" Tämä saa tuotepäälliköt raapimaan päätään miettien, onko monimutkaisempi salasanakäytäntö välttämättä parempi. Tiedetään salasanakäytännön komponentit, jotta voimme selvittää sen.
Seuraavassa osiossa perehdymme salasanakäytäntöjen vivahteisiin, saavutamme tasapainon turvallisuuden ja käyttömukavuuden välillä ja tutkimme, kuinka määritellä oikeat salasanavaatimukset ja tarjota dataan perustuvia oivalluksia lähestymistapamme tueksi.
Salasanatekijöiden tarkistuslista
Ensiksi, analysoituamme lukuisia tuotteita ja NIST-määrityksiä, olemme koonneet kattavan luettelon salasanatekijöistä ja suunnittelusuosituksista.
Olemme karkeasti luokitelleet ne kolmeen ryhmään:
- Salasanan asettamisvaatimukset: Käyttäjän asettamien salasanojen vähimmäisvaatimukset.
- Salasanojen turvallisuuden valvonta: Nopea toiminta ja palaute, kun salasanojen riskejä havaitaan.
- Salasanan käyttäjäkokemus: Käyttäjän syöttökokemuksen parantaminen salasanan luomisen ja validoinnin aikana.
| Luettelo | Tekijät | Analyysi (Katso https://pages.nist.gov/800-63-3/sp800-63b.html#sec5 ) |
|---|---|---|
| Salasanan asettamisvaatimukset | Pituus | Salasanan pituuden lisääminen on tehokkaampaa salasanamurtoyritysten torjumiseksi kuin monimutkaisuus. NIST suosittelee vähintään 8 merkkiä pitkäksi, mutta pidemmät salasanat tulisi sallia. |
| Merkkityypit | Salasanat voivat tukea erilaisia merkkityyppejä, mukaan lukien isot kirjaimet, pienet kirjaimet, numerot, symbolit ja Unicode (myös välilyönnit tulisi sallia). | |
| Salasanakäytännöt EIVÄT SAA kehottaa käyttäjiä muistamaan tiettyjä tietotyyppejä, sillä tämän on todettu lisäävän monimutkaisuutta ilman, että se tehokkaasti lisää turvallisuutta. https://www.notion.so/General-f14f0fb677af44cb840821776831a021?pvs=21 | ||
| Alhaisen turvallisuuden lauseet | On suositeltavaa kehottaa käyttäjiä vaihtamaan salasanansa, kun he käyttävät helposti arvattavissa tai rikottavissa olevia kuvioita, kuten toistuvat tai peräkkäiset merkit, yleiset sanat, käyttäjän tiedot tai tuotteen kontekstitiedot. | |
| Murtunut salasana | Uudet käyttäjien salasanat tulee tarkistaa vuodettujen salasanojen luetteloa vastaan varmistaakseen, ettei niitä ole vaarannettu. | |
| Salasanojen turvallisuuden valvonta | Salasanan vahvistusnopeuden rajoitus | Rajoita peräkkäisten väärien salasanayritysten määrää. Kun tämä raja saavutetaan, toteuta turvatoimia, kuten valmistaudu monivaiheiseen todennukseen (MFA), lähetä push-ilmoituksia, määrää jäähtymisaikoja tai keskeytä tili tilapäisesti. |
| Pakota vaihtamaan salasana | Salasanojen EI TULE vaatia vaihdettavan mielivaltaisesti. Kuitenkin, todentajien TULEE pakottaa salasanan vaihto, jos on näyttöä vaarantuneesta todennustiivisteestä. | |
| Salasanahistoria | Pidä kirjaa aiemmista salasanoista, joita ei voi käyttää uudelleen. Liiallisia rajoituksia salasanan uudelleenkäyttöön ei suositella, koska käyttäjät saattavat kiertää tämän säännön pienillä muutoksilla. | |
| Tyhjennä istunto salasanan vaihtamisen jälkeen | Salli käyttäjien valita, kirjautuaanko ulos muilta laitteilta salasanan vaihdon jälkeen. | |
| Salasanan syöttökokemus | Salasanan voimakkuusmittarit | Tarjoa ohjausta käyttäjille vahvojen muistettujen salaisuuksien valitsemiseksi. |
| Salasanakehotus | Vältä näyttämästä salasanojen vihjeitä, sillä ne lisäävät luvattoman pääsyn riskiä. | |
| Kopioi ja liitä salasana | Salli "liitä"-toiminnon käyttö, joka helpottaa salasananhallintaohjelmien käyttöä. | |
| Näytä salasana | Tarjoa mahdollisuus näyttää syötetty salasana sen sijaan, että esitetään joukko pisteitä tai tähtiä, kunnes se lähetetään. |
Työkalu salasanakokemuksesi konfigurointiin
Ehkä olet kärsimätön käymään läpi jokaista kohtaa tarkistuslistassa. Jos suunnittelisimme tehokkaan salasanatyökalun, joka käsittää kaikki nämä konfiguraatio-optiot, se saattaisi muodostua kehittäjille päänvaivaksi, jopa monimutkaisemmiksi kuin monimutkaiset salasanakäytännöt itse. Siksi yksinkertaistamme salasanatekijät kolmeen vaiheeseen.
Vaihe 1: Hylkää tarpeettomat säännöt
Kuten taulukossa mainitaan, jotkut vanhentuneet salasanasäännöt saattavat vaikuttaa parantavan turvallisuutta, mutta ne tarjoavat vähän vastineeksi ja usein aiheuttavat käyttäjille turhautumista ja sekaannusta.
- Vältä rajoittamasta yhdistelmää merkkien, joita käyttäjien on käytettävä; rajoittamalla merkkityyppien määrää on riittävää. Esimerkiksi Facebook, Discord ja Stripe eivät vaadi tiettyä yhdistelmää merkkityypeistä ja Googlen salasanakäytäntö toteaa yksinkertaisesti että "Vähintään kaksi tyyppiä kirjaimia, numeroita, symboleita."
- Älä edellytä säännöllisiä salasanan vaihtoja, koska tämä asettaa käyttäjille tarpeettoman muistitaakan. Sen sijaan vaadi salasanan vaihtoa vain, kun on riski tunnusten vaarantumisesta.
- Valitse vain yksi salasanarajoitus, joko selvät vähimmäispituiset salasanavaatimukset tai salasanan voimakkuusmittarit käyttäjien väärinkäsitysten estämiseksi.
- Vältä liian monimutkaisten sääntöjen näyttämistä etukäteen ja estä käyttäjiä keskittymästä virheisiin, jotka eivät välttämättä tapahdu.
- Pidä salasanojen vihjeet poissa välttääksesi mahdollisten hyökkääjien etua.
Vaihe 2: Tarjoa mukauttamismahdollisuudet eri tuotteille
Tarjoamme joustavia konfiguraatio-optiot vähimmäissalasanakäytännöille, suositeltuja arvoja vähimmäisoppimiskäyrän vähentämiseksi kehittäjille ja tarjoamme valmiista kirjautumiskokemus. Nämä optiot sisältävät:
- Vähimmäispituus: Oletusarvo 8 merkkiä, vähintään 1.
- Vähintään vaaditut merkkityypit: Ei rajoitusta suositeltu, ts. asetuksena 1 neljästä.
- Salasanan rajoitus sanasto: Suositeltavaa-enabled kaikki rajoitukset. Käyttäjät eivät voi välttää käynnistämästä samaa sanastoa, mutta kolmen tai useamman ei-peräkkäisen merkin lisääminen on sallittua salasanan monimutkaisuuden lisäämiseksi. Tämä lisäys lisää salasanojen epäjärjestystä.
- Estä vaarantunut salasana: Käytä luotettavaa murtuneiden salasanojen tietokantaa tukeen ja estää käyttäjiä käyttämästä identtisiä salasanoja suoran hakemistoiskujen välttämiseksi.
Vaihe 3: Varmista turvallisuus kiinteillä arvoilla
Ei-mukautettavissa oleville parametreille olemme toteuttaneet varmuuslogiikan salasanaturvallisuuden varmistamiseksi. Jos sinulla on erityisiä mukautustarpeita, kerrothan meille.
- Salasanan vahvistusnopeuden rajoittaminen: Olemme rajoittaneet peräkkäisten väärien salasanavahvistusten määrää ja pysäytysajan jäähtymisen estämiseksi kirjautumiseen. Tämä suojaa jatkuvilta salasanahyökkäyksiltä. Lisäksi tarjoamme webhookin peräkkäisille epäonnistuneille salasanavahvistuksille, ja voit käyttää sitä sähköposti-ilmoitusten lähettämiseen tai käyttäjätilien keskeyttämiseen, jotka ovat vaarantumisen suuririskisissä tilanteissa.
- Oletuksena tyhjennämme muut laitteet istunnot salasanan nollaamisen ja tunnuksen päivittämisen jälkeen. Tämä ylimääräinen turvallisuustaso auttaa estämään luvaton pääsyn tilillesi, varmistaen, että tietosi pysyvät luottamuksellisina ja suojattuina.
Johtopäätös
Näillä kolmella suoraviivaisella askeleella voit yksinkertaistaa salasanakokemuksesi määrittämisprosessia, löytää oikean tasapainon turvallisuuden ja käyttömukavuuden välillä. Logto tekee turvallisen ja käyttäjäystävällisen todennusjärjestelmän perustamisesta helppoa tuotteellesi. Pysy kuulolla tulevasta MFA-ominaisuudestamme ja ota tuotteesi turvallisuus hallintaan kuten koskaan ennen.