信息化觀察網(wǎng)

下述觀點(diǎn)可能會(huì)顛覆關(guān)于密碼衛(wèi)生最佳實(shí)踐的共同信念。

無可否認(rèn)，在互聯(lián)網(wǎng)安全問題日益明顯的今天，人們越來越期盼一種無需密碼、安全便捷的方式。甚至安全專家長期以來也一直堅(jiān)持“消滅密碼”的觀點(diǎn)，他們對這種世界上最古老的身份驗(yàn)證技術(shù)所存在的種種問題感到頭疼。但事實(shí)上，密碼不僅是有效的，而且仍然是企業(yè)設(shè)置中的主要登錄憑據(jù)。數(shù)據(jù)顯示，全球大約70%的組織仍在依賴“以密碼為中心”的身份驗(yàn)證方法。

雖然組織絕對應(yīng)該嘗試提高多因素身份驗(yàn)證(MFA)和無密碼身份驗(yàn)證器在其系統(tǒng)中的滲透率，但與此同時(shí)，他們也應(yīng)該盡其所能提高現(xiàn)有憑證系統(tǒng)的安全性。值得注意的一件事是，過去幾年的許多新研究和指導(dǎo)方案已經(jīng)修改了行業(yè)關(guān)于密碼最佳實(shí)踐的共識(shí)。

例如，美國國家標(biāo)準(zhǔn)與技術(shù)局（NIST）《數(shù)字身份指南》（特別出版物800-63B）的最新版本在多個(gè)方面挑戰(zhàn)了有關(guān)密碼衛(wèi)生的傳統(tǒng)認(rèn)知。新版指南修改了密碼安全建議，不再要求定期修改密碼。原因是多項(xiàng)研究顯示，頻繁的更改密碼沒有預(yù)想的效果，事與愿違，達(dá)不到保護(hù)密碼安全的目的。NIST的最新推薦是在用戶想要修改的時(shí)候去修改密碼，或者是有入侵的跡象時(shí)應(yīng)立即修改密碼。

NIST也不再要求密碼混合大寫字母、字符和數(shù)字，因?yàn)檠芯匡@示此類的要求并不能帶來強(qiáng)密碼。NIST認(rèn)為，如果用戶想要使用繪文字作為密碼，那么就應(yīng)該允許用戶使用。NIST認(rèn)為最重要的是儲(chǔ)存的密碼必須鹽化哈希MAC處理。

以下是網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者應(yīng)該知道的有關(guān)密碼的一些最新的非常規(guī)認(rèn)知：

1.密碼并非一無是處

密碼和密碼策略一直存在可用性和安全性的爭議，雖然非議不斷，但它們?nèi)匀皇瞧髽I(yè)內(nèi)外的主要身份驗(yàn)證方式，原因就在于它們非常易于使用。

著名安全專家兼數(shù)據(jù)泄露自查網(wǎng)站Have I Being Pwned的創(chuàng)始人Troy Hunt解釋稱，

“我們需要更多地贊揚(yáng)傳統(tǒng)意義上的密碼做得非常好，而想要讓密碼比其他任何事物都做得更好的關(guān)鍵在于，每個(gè)人都直到如何正確地使用它們。”

一個(gè)適當(dāng)?shù)皿w的密碼總比“無密碼”要好。升級到完全無密碼的身份驗(yàn)證在很長一段時(shí)間內(nèi)可能都得不到許多系統(tǒng)的認(rèn)可——鑒于成本、復(fù)雜性和可用性等諸多因素。盡管如此，組織仍然應(yīng)該盡可能爭取多因素身份驗(yàn)證（MFA）在系統(tǒng)內(nèi)的采用率。據(jù)Microsoft研究人員稱，它提供的保護(hù)要比單獨(dú)的密碼多99.9%。

2.復(fù)雜性規(guī)則沒有你想象的那么重要

下述觀點(diǎn)可能會(huì)顛覆關(guān)于密碼衛(wèi)生最佳實(shí)踐的共同信念。

無可否認(rèn)，在互聯(lián)網(wǎng)安全問題日益明顯的今天，人們越來越期盼一種無需密碼、安全便捷的方式。甚至安全專家長期以來也一直堅(jiān)持“消滅密碼”的觀點(diǎn)，他們對這種世界上最古老的身份驗(yàn)證技術(shù)所存在的種種問題感到頭疼。但事實(shí)上，密碼不僅是有效的，而且仍然是企業(yè)設(shè)置中的主要登錄憑據(jù)。數(shù)據(jù)顯示，全球大約70%的組織仍在依賴“以密碼為中心”的身份驗(yàn)證方法。

雖然組織絕對應(yīng)該嘗試提高多因素身份驗(yàn)證(MFA)和無密碼身份驗(yàn)證器在其系統(tǒng)中的滲透率，但與此同時(shí)，他們也應(yīng)該盡其所能提高現(xiàn)有憑證系統(tǒng)的安全性。值得注意的一件事是，過去幾年的許多新研究和指導(dǎo)方案已經(jīng)修改了行業(yè)關(guān)于密碼最佳實(shí)踐的共識(shí)。

例如，美國國家標(biāo)準(zhǔn)與技術(shù)局（NIST）《數(shù)字身份指南》（特別出版物800-63B）的最新版本在多個(gè)方面挑戰(zhàn)了有關(guān)密碼衛(wèi)生的傳統(tǒng)認(rèn)知。新版指南修改了密碼安全建議，不再要求定期修改密碼。原因是多項(xiàng)研究顯示，頻繁的更改密碼沒有預(yù)想的效果，事與愿違，達(dá)不到保護(hù)密碼安全的目的。NIST的最新推薦是在用戶想要修改的時(shí)候去修改密碼，或者是有入侵的跡象時(shí)應(yīng)立即修改密碼。

NIST也不再要求密碼混合大寫字母、字符和數(shù)字，因?yàn)檠芯匡@示此類的要求并不能帶來強(qiáng)密碼。NIST認(rèn)為，如果用戶想要使用繪文字作為密碼，那么就應(yīng)該允許用戶使用。NIST認(rèn)為最重要的是儲(chǔ)存的密碼必須鹽化哈希MAC處理。

以下是網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者應(yīng)該知道的有關(guān)密碼的一些最新的非常規(guī)認(rèn)知：

1.密碼并非一無是處

密碼和密碼策略一直存在可用性和安全性的爭議，雖然非議不斷，但它們?nèi)匀皇瞧髽I(yè)內(nèi)外的主要身份驗(yàn)證方式，原因就在于它們非常易于使用。

著名安全專家兼數(shù)據(jù)泄露自查網(wǎng)站Have I Being Pwned的創(chuàng)始人Troy Hunt解釋稱，

“我們需要更多地贊揚(yáng)傳統(tǒng)意義上的密碼做得非常好，而想要讓密碼比其他任何事物都做得更好的關(guān)鍵在于，每個(gè)人都直到如何正確地使用它們。”

一個(gè)適當(dāng)?shù)皿w的密碼總比“無密碼”要好。升級到完全無密碼的身份驗(yàn)證在很長一段時(shí)間內(nèi)可能都得不到許多系統(tǒng)的認(rèn)可——鑒于成本、復(fù)雜性和可用性等諸多因素。盡管如此，組織仍然應(yīng)該盡可能爭取多因素身份驗(yàn)證（MFA）在系統(tǒng)內(nèi)的采用率。據(jù)Microsoft研究人員稱，它提供的保護(hù)要比單獨(dú)的密碼多99.9%。

2.復(fù)雜性規(guī)則沒有你想象的那么重要

過去，定期更新密碼是企業(yè)組織可以想到用于應(yīng)對暗網(wǎng)上被盜密碼浪潮的最佳方式。但如今，這種共識(shí)已經(jīng)發(fā)生了變化。如果沒有理由懷疑密碼被盜，那么要求用戶每6個(gè)月更改一次密碼是不必要的麻煩事。同時(shí)，如果有跡象表明憑據(jù)已經(jīng)在某人的密碼轉(zhuǎn)儲(chǔ)中，那么最好立即更改它。

因此，2021年良好的密碼衛(wèi)生不僅需要在設(shè)置新憑據(jù)之前檢查被盜密碼語料庫，還應(yīng)該包括對現(xiàn)有密碼的定期檢查。當(dāng)憑據(jù)被標(biāo)記時(shí)，應(yīng)鼓勵(lì)或要求用戶立即更改其密碼。

5.放寬密碼長度限制

傳統(tǒng)觀點(diǎn)和NIST指南都表示，密碼的絕對最小長度應(yīng)該是八個(gè)字符。但是NIST進(jìn)一步指出，管理員應(yīng)該嘗試允許用戶“在合理范圍內(nèi)設(shè)置盡可能長的密碼”。這是因?yàn)樵絹碓蕉嗟难芯勘砻?，雖然密碼熵并非應(yīng)對破解的絕佳策略，但是超長的密碼顯然更有效。

不幸的是，許多登錄系統(tǒng)都對最大密碼長度設(shè)置了上限。很長一段時(shí)間內(nèi)，Windows不允許密碼超過14個(gè)字符。但在去年，情況發(fā)生了變化。如今，微軟已經(jīng)推出了新的安全設(shè)置，以鼓勵(lì)需要更長密碼的密碼策略的流行，允許管理員放寬長度限制，以便用戶最多可以使用128個(gè)字符來制作更長的密碼短語。

6.讓用戶剪切和粘貼密碼

NIST最新指南不要求使用密碼管理器，但其他NIST文檔確實(shí)鼓勵(lì)使用這些工具，并建議組織設(shè)計(jì)其登錄流程以方便使用密碼管理器。關(guān)鍵推動(dòng)因素之一是允許登錄輸入使用粘貼功能，以便用戶可以輕松地從他們的密碼庫中剪切和粘貼憑據(jù)。

7.停止使用安全問題進(jìn)行重置

驗(yàn)證自助服務(wù)密碼重置和密碼故障排除最普遍的機(jī)制之一，就是關(guān)于個(gè)人信息（例如母親的姓氏或父親的名字等）的安全問題列表。

NIST已經(jīng)非常明確地指出了這些標(biāo)識(shí)符的脆弱性，要知道暗網(wǎng)上可是充斥著從以往的數(shù)據(jù)泄露事件中竊取的此類個(gè)人信息數(shù)據(jù)。組織應(yīng)該轉(zhuǎn)為使用帶外數(shù)據(jù)（out-of-band data）等方式。

所謂帶外數(shù)據(jù)，有時(shí)也稱為加速數(shù)據(jù)（expedited data），是指連接雙方中的一方發(fā)生重要事情，想要迅速地通知對方。這種通知在已經(jīng)排隊(duì)等待發(fā)送的任何“普通”（有時(shí)稱為“帶內(nèi)”）數(shù)據(jù)之前發(fā)送。帶外數(shù)據(jù)設(shè)計(jì)為比普通數(shù)據(jù)有更高的優(yōu)先級。