本月初, 3月2日, 作为更新的数字识别指南文档或NIST出版物SP 800-63-3的最终版本的一部分,NIST正式对其密码建议进行了大量更改. 全文包括另外三个姊妹文件(800-63A、800-63B) & 800-63摄氏度)在这里:
http://csrc.nist.gov/publications/detail/sp/800-63/3/final
这是一份很难阅读的文件,并为系统设计师提供了很多信息, 代码编写人员和软件开发人员. 最受最终用户和系统管理员关注的更改如下:
- 将密码的最小长度增加到至少15个字符 -并允许多达64个字符. 密码长度比任何其他密码特征都更能使暴力破解密码攻击难以成功,因为密码中每增加一个字符,破解密码所需的资源就会增加. 该建议现在倾向于使用口令“短语”而不是口令“单词”,以便更容易记住一长串口令.
- 消除常规的定期密码修改要求 ——经过广泛的研究, NIST确定(联邦调查局也同意)90天或更短生命周期的密码存在更大的风险. 用户找到了“创造性”的方法来记录新密码, 通常, 事实证明,这对良好的密码安全性是适得其反的. 新的建议是,只有在有证据表明可能存在安全漏洞(凭据泄露)或其他用例需要更改密码时,才应该更改密码.
- 消除围绕密码复杂性的歌舞剧 -不再需要大写、小写、数字和特殊字符. 人类倾向于以可预测的模式添加这些角色,这对于坏人来说很容易猜到. So, 比如密码更改要求, 事实证明,这种过时的规则对防止密码泄露几乎没有作用,有时还会导致更糟糕的密码.
- 要求应用程序根据常用或泄露的密码列表筛选新密码 -这并不适合我们这些终端用户,但强烈推荐给所有应用程序开发人员和服务提供商. 这里的想法是防止允许用户选择已知的坏密码(如“12345678”或“Password”)或其他已知在野外被泄露的常用密码. 随着时间的推移,期望在应用程序级别看到更多的密码检查.
其中一些变化让很多人感到惊讶,看看其他实体如何迅速接受这些重要的推荐变化将是一件有趣的事情. 对我来说,这一切都很有意义. 它反映了我们在这个领域看到的关于密码的问题和反馈.
到目前为止,当我与APP客户端总监谈论这些变化时, 他们最关心的是审计人员,以及他们将以多快的速度调整现有的8字标准, 高度复杂的, 每90天改变一次规则.
NIST于3月2日正式发布了更新后的建议, 2020, 我希望标准能尽快改变.
Or, 如果您非常倾向于立即实现更新的最佳实践, 我认为,通过直接将他们指向相关的更新的NIST文档,可以很容易地证明这一行为的合理性. 我认为,保持最新的安全最佳实践是很难争辩的,这些实践是由负责此类事情的国家机构发布的,现在所有学校都被要求遵循其标准.
最近的评论