多年来E最佳实践, 在安全密码策略方面,大多数审计人员要求IT部门遵守的规则包括以下内容:
1 -密码至少8个字符,必须包含复杂度(至少使用一个数字), 1个大写字符, 和1个特殊字符)
2 -密码应每90天更换一次
包含对重用的限制,通常在允许重用之前更改6个密码
上述建议主要基于美国国家标准与APP客户端研究所(NIST)多年前发布的一套原始指南,直到最近它们仍然是黄金标准.
鉴于过去几年发生的数千起数据泄露事件,NIST开始审查他们的建议,并于2017年6月通过NIST特别出版物800-63B -数字身份指南发布了更新的建议.
NIST在此文档中总结了密码长度, 不复杂, 密码强度的主要因素是什么. 他们发现,当被迫增加密码复杂性或频繁更改密码时,用户倾向于以非常可预测的方式行事.
如果我的原始密码是“password”,以适应复杂性要求,大多数用户会简单地将其更改为“Password1”!当需要更改密码时,他们会简单地将其更改为“Password2”!”、“Password3!”等.
恶意攻击者知道这种行为,他们对密码的字典攻击包括所有这些最常用作密码的常见字典单词的明显可预测变体.
如果我们强迫用户创建更复杂的密码或频繁更改密码,他们往往只是简单地把密码写在电脑附近的某个地方.
为了避免所有这些问题,并增加密码选择过程的长度,新的建议建议让用户专注于密码短语而不是密码, 让他们的密码更像句子,而不是字典里的单词. 这将有助于挫败简单的暴力破解字典攻击. 然后,用户可以在这些阶段中添加一些合理的复杂性组件,以增加密码短语的强度.
尽管仍有一些行业讨论正在进行,但NIST关于密码的新指南现在看起来是这样的:
最少1 - 8个字符,最少64个字符或更多的最大密码短语长度
简化复杂性需求, 但允许所有ASCII字符, 密码中的表情符号和空格
3 -取消强制期限的密码修改. 只有在有证据或怀疑被入侵时才更改密码.
4 -禁用常用密码和简单的字典单词密码
在合理的情况下使用多因素认证来保护最敏感的系统
所有的供应商都需要一段时间才能在他们的软件中考虑到这些新的建议,我也知道审计人员需要一段时间才能跟上所有这些建议. 自2017年6月以来,我一直与你们中的一些人一起进行审计工作,审查请求仍在使用旧的指导方针,所以现在我们需要讨论这两套规则.
但我相信这些新的推荐确实解决了我们的用户(和我们)多年来对旧推荐所表达的许多担忧. 如果正确实施,我认为新的建议将以一种积极的方式推进密码安全,直到有人想出更好的方法,完全消除“记忆的秘密”.
虽然您需要一段时间才能完全更改组织的密码策略,但开始讨论这些新建议并开始在可能的时间和地点实施它们并不会很快.
对于那些想做一些轻松阅读的人,可以找到完整的NIST文档 在这里.
关于密码强度的大部分讨论都在文档末尾的附录中.
与往常一样,请继续关注更多内容,因为关于该主题的讨论将继续发展.
最近的评论