下述觀點可能會顛覆關(guān)于密碼衛(wèi)生最佳實踐的共同信念�����。
無可否認���,在互聯(lián)網(wǎng)安全問題日益明顯的今天,人們越來越期盼一種無需密碼����、安全便捷的方式�。甚至安全專家長期以來也一直堅持“消滅密碼”的觀點,他們對這種世界上最古老的身份驗證技術(shù)所存在的種種問題感到頭疼����。但事實上,密碼不僅是有效的����,而且仍然是企業(yè)設(shè)置中的主要登錄憑據(jù)。數(shù)據(jù)顯示���,全球大約70%的組織仍在依賴“以密碼為中心”的身份驗證方法����。
雖然組織絕對應(yīng)該嘗試提高多因素身份驗證 (MFA) 和無密碼身份驗證器在其系統(tǒng)中的滲透率,但與此同時��,他們也應(yīng)該盡其所能提高現(xiàn)有憑證系統(tǒng)的安全性�。值得注意的一件事是,過去幾年的許多新研究和指導(dǎo)方案已經(jīng)修改了行業(yè)關(guān)于密碼最佳實踐的共識����。
例如,美國國家標準與技術(shù)局(NIST)《數(shù)字身份指南》(特別出版物 800-63B)的最新版本在多個方面挑戰(zhàn)了有關(guān)密碼衛(wèi)生的傳統(tǒng)認知���。新版指南修改了密碼安全建議�,不再要求定期修改密碼����。原因是多項研究顯示,頻繁的更改密碼沒有預(yù)想的效果�����,事與愿違,達不到保護密碼安全的目的����。NIST 的最新推薦是在用戶想要修改的時候去修改密碼,或者是有入侵的跡象時應(yīng)立即修改密碼����。
NIST 也不再要求密碼混合大寫字母、字符和數(shù)字�����,因為研究顯示此類的要求并不能帶來強密碼����。NIST 認為,如果用戶想要使用繪文字作為密碼�����,那么就應(yīng)該允許用戶使用�����。NIST認為最重要的是儲存的密碼必須鹽化哈希MAC處理���。
以下是網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者應(yīng)該知道的有關(guān)密碼的一些最新的非常規(guī)認知:
1. 密碼并非一無是處
密碼和密碼策略一直存在可用性和安全性的爭議�����,雖然非議不斷�����,但它們?nèi)匀皇瞧髽I(yè)內(nèi)外的主要身份驗證方式��,原因就在于它們非常易于使用���。
著名安全專家兼數(shù)據(jù)泄露自查網(wǎng)站Have I Being Pwned的創(chuàng)始人Troy Hunt解釋稱,
“我們需要更多地贊揚傳統(tǒng)意義上的密碼做得非常好�����,而想要讓密碼比其他任何事物都做得更好的關(guān)鍵在于����,每個人都直到如何正確地使用它們�!
一個適當(dāng)?shù)皿w的密碼總比“無密碼”要好。升級到完全無密碼的身份驗證在很長一段時間內(nèi)可能都得不到許多系統(tǒng)的認可——鑒于成本�����、復(fù)雜性和可用性等諸多因素。盡管如此���,組織仍然應(yīng)該盡可能爭取多因素身份驗證(MFA)在系統(tǒng)內(nèi)的采用率�����。據(jù)Microsoft 研究人員稱��,它提供的保護要比單獨的密碼多99.9%����。
2. 復(fù)雜性規(guī)則沒有你想象的那么重要
傳統(tǒng)的觀點是����,必須使用一定數(shù)量的大寫、小寫���、數(shù)字和符號等的組合規(guī)則來控制密碼的復(fù)雜性�����。但最近的研究表明,這樣做的效果甚微。原因不僅在于密碼隨機化(也稱為密碼熵)對破解機制無效��,這種密碼對于破解密碼工具來說�,只需要增加一些代碼即可破解;而且人們會忘記這種復(fù)雜的隨機字符串,并最終采用非常好預(yù)測的組合(如p4$$w0rd!)將系統(tǒng)置于危險之中��。如果是這樣的話����,對于任何人而言,根據(jù)這種規(guī)則的密碼強度幾乎與弱密碼相差無幾���,收效甚微����。
3. 篩選新密碼是必須的
根據(jù)NIST《數(shù)字身份指南》(特別出版物 800-63B)所言�,最好的方法不在于使用復(fù)雜性規(guī)則,而是在允許它們過關(guān)之前在幾個重要方面篩選新密碼��。傳統(tǒng)的觀點仍然認為��,對于包含字典單詞�����、重復(fù)或連續(xù)字符以及上下文特定的單詞(例如所登錄服務(wù)名稱或用戶名的派生詞)的新密碼和重置密碼都應(yīng)該列入黑名單。但在此之上�,最新的最佳實踐還利用了可以將潛在的新密碼與先前泄露的憑據(jù)的已知語料庫進行比較的機制,利用諸如Have I Being Pwned之類的數(shù)據(jù)庫來執(zhí)行此操作���。
4. 放棄定期重置
過去�����,定期更新密碼是企業(yè)組織可以想到用于應(yīng)對暗網(wǎng)上被盜密碼浪潮的最佳方式��。但如今���,這種共識已經(jīng)發(fā)生了變化。如果沒有理由懷疑密碼被盜����,那么要求用戶每6個月更改一次密碼是不必要的麻煩事。同時����,如果有跡象表明憑據(jù)已經(jīng)在某人的密碼轉(zhuǎn)儲中,那么最好立即更改它����。
因此�,2021年良好的密碼衛(wèi)生不僅需要在設(shè)置新憑據(jù)之前檢查被盜密碼語料庫��,還應(yīng)該包括對現(xiàn)有密碼的定期檢查��。當(dāng)憑據(jù)被標記時�,應(yīng)鼓勵或要求用戶立即更改其密碼��。
5. 放寬密碼長度限制
傳統(tǒng)觀點和NIST指南都表示��,密碼的絕對最小長度應(yīng)該是八個字符�。但是NIST進一步指出,管理員應(yīng)該嘗試允許用戶“在合理范圍內(nèi)設(shè)置盡可能長的密碼”����。這是因為越來越多的研究表明,雖然密碼熵并非應(yīng)對破解的絕佳策略���,但是超長的密碼顯然更有效����。
不幸的是���,許多登錄系統(tǒng)都對最大密碼長度設(shè)置了上限�����。很長一段時間內(nèi)��,Windows 不允許密碼超過14個字符��。但在去年�����,情況發(fā)生了變化�。如今,微軟已經(jīng)推出了新的安全設(shè)置����,以鼓勵需要更長密碼的密碼策略的流行,允許管理員放寬長度限制����,以便用戶最多可以使用 128 個字符來制作更長的密碼短語。
6. 讓用戶剪切和粘貼密碼
NIST最新指南不要求使用密碼管理器����,但其他NIST文檔確實鼓勵使用這些工具,并建議組織設(shè)計其登錄流程以方便使用密碼管理器。關(guān)鍵推動因素之一是允許登錄輸入使用粘貼功能�����,以便用戶可以輕松地從他們的密碼庫中剪切和粘貼憑據(jù)���。
7. 停止使用安全問題進行重置
驗證自助服務(wù)密碼重置和密碼故障排除最普遍的機制之一,就是關(guān)于個人信息(例如母親的姓氏或父親的名字等)的安全問題列表�。
NIST已經(jīng)非常明確地指出了這些標識符的脆弱性,要知道暗網(wǎng)上可是充斥著從以往的數(shù)據(jù)泄露事件中竊取的此類個人信息數(shù)據(jù)�。組織應(yīng)該轉(zhuǎn)為使用帶外數(shù)據(jù)(out-of-band data)等方式。
所謂帶外數(shù)據(jù)���,有時也稱為加速數(shù)據(jù)(expedited data)�, 是指連接雙方中的一方發(fā)生重要事情�,想要迅速地通知對方。這種通知在已經(jīng)排隊等待發(fā)送的任何“普通”(有時稱為“帶內(nèi)”)數(shù)據(jù)之前發(fā)送��。帶外數(shù)據(jù)設(shè)計為比普通數(shù)據(jù)有更高的優(yōu)先級�。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
