每周科技小闻-修改安全密码定义的建议

2017年12月7日,
每周科技小闻-修改安全密码定义的建议

多年来,届e最佳实践, 大多数审计员要求IT部门在密码安全策略方面遵守的规则包括:

1 -密码至少8个字符,必须包含复杂度(至少使用1个数字), 1个大写字符, 和1个特殊字符)

 

2 -密码应每90天更换一次

3 -包含重复使用的限制,通常是在重复使用之前更改6个密码

上述建议主要是基于国家标准与og体育app官网研究所(NIST)多年前发布的一套原始指南,直到最近它们仍是黄金标准.

鉴于过去几年发生的数千起数据泄露事件,NIST开始审查他们的建议,并于2017年6月通过NIST特别出版物800-63B -数字身份指南发布了更新的建议.

在这个文档中,NIST总结了密码长度, 不复杂, 密码强度的主要因素是什么.   他们发现,当用户被迫增加密码复杂度或频繁更改密码时,他们往往会以非常可预测的方式行事.

如果我的原始密码是“password”以适应复杂度要求,大多数用户会简单地将其更改为“Password1”!当需要更改密码时,他们会简单地将其更改为“Password2”!”、“Password3!”等.

这些恶意行为者知道这种行为,他们对密码的字典攻击包括所有这些常见字典单词的明显可预测变体,这些单词最常被用作密码.

如果我们强迫用户创建更复杂的密码或者频繁地更改密码,他们会把密码写在电脑附近.

为了避免所有这些问题,并增加密码选择过程的长度,新的建议建议用户关注密码短语,而不是密码, 让他们的密码更像句子而不是字典中的单词.   这将有助于钝化简单的蛮力字典攻击.   然后,用户可以在这些阶段中添加一些合理的复杂性组件,以增加密码短语的强度.

尽管业界仍在讨论NIST关于密码的新指南,现在看起来是这样的:

最少1 - 8个字符,最大口令长度至少为64个字符或以上

2 -简化复杂性要求, 但允许所有ASCII字符, 密码中的表情符号和空格

3 -取消强制周期修改密码.   只有在有证据或怀疑密码已泄露时才更改密码.

4 -禁止常用密码和简单的字典单词密码

5 -在合理的情况下使用多因素认证,以保护最敏感的系统

所有的供应商在他们的软件中考虑这些新的建议将需要一段时间,我也知道审计员需要一段时间来了解所有这些.   自2017年6月以来,我与你们中的一些人就审计工作进行了合作,审查请求仍然使用旧的指导方针,所以目前我们需要对这两套规则进行讨论.

但我相信这些新的建议确实解决了我们的用户(和我们)多年来对旧建议表达的许多担忧.  如果正确实施,我认为新的建议将会以积极的方式推进密码安全,直到有人想出更好的方法,完全消除“记忆的秘密”.

虽然你需要一段时间才能完全改变你的组织的密码策略,但现在开始讨论这些新的建议并开始在你可以的时间和地点实施它们还为时过早.

对于那些想要做一些轻松阅读,完整的NIST文件可以找到 在这里.

关于密码强度的大部分讨论都在本文档末尾的附录中.

一如既往,我们将继续关注更多关于这个话题的讨论.