Колко трудна трябва да е една парола според указанията на ICO?

Британският надзорен орган за защита на данните (ICO) публикува допълнения в указанията за прилагане на GDPR за използваните пароли в онлайн услугите. GDPR не казва нищо конкретно за паролите, но от администраторите се изисква да обработват личните данни сигурно чрез подходящи технически и организационни мерки.

В указанията се казва, че паролите са често използвано средство за защита на достъпа до системи, които обработват лични данни. При преценката коя защита да се избере трябва да се вземат предвид технологичното развитие и разходите за внедряване, но самите мерки трябва да осигурят съответно ниво на сигурност на защитата на данните и вредата, която би могла да бъде причинена от неоторизиран достъп.

Удостоверяването и оторизирането на индивида, който се опитва да получи достъп, става по три основни начина – проверка за:

  • нещо, което индивидът има (например смарткарта);
  • нещо, което индивидът е (това обикновено е биометрична мярка, като пръстов отпечатък); или
  • нещо, което индивидът знае.

Най-често се използваният начин е нещо, което се знае. В повечето случаи нещо, което се знае, се приема за парола.

Паролите остават най-популярният начин, по който хората се удостоверяват при ползване на онлайн услугите. Какви изисквания трябва да зададем за потребителските пароли? Има три общи изисквания за всяка система за пароли, която ще трябва да имате предвид:

  • дължина – трябва да зададете подходяща минимална дължина на паролата (това трябва да бъде не по-малко от 10 знака), но не и максимална дължина;
  • специални символи – трябва да позволите използването на специални символи, ако трябва да забраните някои специални символи (или интервали), уверете се, че това е изяснено, преди потребителят да създаде паролата си; и
  • забранени пароли – не позволявайте на потребителите си да използват всеизвестна, слаба парола. Обяснете на потребителите, защо паролата е отхвърлена.

SecLists и haveibeenpwned’s  са достъпни онлайн, както и  NIST Bad Passwords.

Освен посочените по-горе три изисквания, не поставяйте ограничения как потребителите трябва да създават парола, се казва в указанията. Проучванията  показват, че това ще накара хората да използват повторно пароли в различни профили, да създават слаби пароли или да забравят паролите си.

Техниките за разпознаване на поведението на обикновените потребители се развиват и можете да ги използвате, за да разработите подход, въз основа на  оценка на риска, за проверка на опит за достъп. Например, ако даден потребител се регистрира от ново устройство или IP адрес, може да помислите да поискате двуфакторно удостоверяване и да информирате потребителя по друг начин за опита за вход. Важно е обаче да се помни, че събирането на допълнителни данни от потребителите, с цел защита, може само по себе си да представлява обработка на лични данни и трябва да е в съответствие с GDPR. Това не означава, че не можете да обработвате тези данни, но трябва да сте сигурни, че сте взели предвид защитата на данните, се казва в документа.

Можете да споделите: