“定期更換密碼”是最愚蠢的密碼規(guī)則?

“人的因素”是網(wǎng)絡(luò)安全最重要的環(huán)節(jié),NIST密碼新規(guī)的提出代表了一個重要的網(wǎng)絡(luò)安全趨勢——有效的安全管理需要更多地依賴技術(shù)創(chuàng)新和用戶友好的安全設(shè)計(jì),而不是機(jī)械地強(qiáng)制用戶遵循陳規(guī)陋習(xí)。

本文來自GoUpSec。

微信圖片_20240927140151.png

數(shù)十年來,消費(fèi)者和企業(yè)員工經(jīng)常被灌輸一些“強(qiáng)密碼規(guī)則”,例如定期更換密碼,在密碼中使用特殊字符等。雖然近年來此類密碼規(guī)則的有效性遭到安全專家的廣泛質(zhì)疑,但是新一代密碼規(guī)則(例如用長度換強(qiáng)度、非必要不更新等)由于企業(yè)界的強(qiáng)大慣性和阻力(例如大多數(shù)互聯(lián)網(wǎng)服務(wù)和企業(yè)系統(tǒng)都不支持64位長密碼)而難以普及推廣。

近日,美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)發(fā)布了最新的數(shù)字身份指南草案(SP800-63-4第二版),徹底顛覆了人們對密碼安全的認(rèn)知。指南提議取消一些最流行的,同時也是“最荒謬”的常識性做法,例如:

  • 強(qiáng)制用戶定期更改密碼
  • 強(qiáng)制或限制用特定字符
  • 強(qiáng)制要求混合多種類型字符
  • 使用安全問題作為驗(yàn)證手段

破除密碼安全的陳規(guī)陋習(xí)

在數(shù)字時代,密碼是保護(hù)用戶隱私和數(shù)據(jù)安全的關(guān)鍵要素。然而,NIST指出,許多傳統(tǒng)密碼管理規(guī)則不僅沒有增強(qiáng)安全性,反而適得其反。最典型的例子是強(qiáng)制用戶定期更改密碼的要求。

幾十年前,密碼安全性認(rèn)知尚未普及,人們往往選擇容易被破解的常見詞匯或簡單字符組合,因此定期更改密碼被認(rèn)為是防止被盜用的一種策略。但是,隨著密碼管理技術(shù)的進(jìn)步和隨機(jī)生成密碼的普及,強(qiáng)制更改密碼的做法不僅增加了用戶的負(fù)擔(dān),還可能導(dǎo)致密碼復(fù)雜性下降。

NIST給驗(yàn)證服務(wù)和管理者的“顛覆性”密碼建議如下:

  • 密碼長度至少為8個字符,建議不少于15個字符。
  • 應(yīng)允許最大密碼長度至少為64個字符。
  • 應(yīng)該接受所有打印ASCII(RFC20)字符,或在密碼中添加空格字符。
  • 應(yīng)接受密碼中的Unicode(ISO/ISC 10646)字符。評估密碼長度時,每個Unicode代碼點(diǎn)應(yīng)計(jì)為一個字符。
  • 不得對密碼施加其他組合要求(例如,要求混合不同類型的字符)。
  • 不得要求用戶定期更改密碼,除非有證據(jù)表明賬戶被盜用。
  • 不得允許訂閱者存儲未經(jīng)身份驗(yàn)證的用戶可訪問的提示。
  • 不得提示訂閱者在選擇密碼時使用基于知識的身份驗(yàn)證(KBA)(例如“您的第一只寵物的名字是什么?”)或安全問題。
  • 驗(yàn)證者應(yīng)當(dāng)完整驗(yàn)證所提交的密碼(即,不要截?cái)嗨?。

特殊字符與安全問題是一對“臥龍鳳雛”

NIST還質(zhì)疑另一項(xiàng)廣受詬病的規(guī)則——要求密碼必須包含大小寫字母、數(shù)字和特殊字符。NIST認(rèn)為,在密碼足夠長且復(fù)雜的情況下,這類字符組合規(guī)則并沒有實(shí)質(zhì)上的安全提升作用,反而會導(dǎo)致用戶選擇更容易記憶且相對脆弱的密碼。

許多用戶為了滿足這些復(fù)雜的規(guī)則,往往傾向于使用重復(fù)的字符或常見組合,如“Password123!”之類的“偽強(qiáng)密碼”。

同樣,NIST建議廢除使用安全問題(如“你的第一只寵物叫什么?”)作為密碼驗(yàn)證手段。研究表明,安全問題容易被破解或通過社交工程攻擊獲取答案,難以真正保障用戶隱私(有時反而會導(dǎo)致隱私泄漏)。

用長度換取強(qiáng)度

NIST在新指南中建議,密碼驗(yàn)證系統(tǒng)應(yīng)接受至少64個字符長度的密碼,并支持所有ASCII字符和Unicode字符的使用。這意味著用戶不僅可以設(shè)置更長的密碼(例如:wo xihuan chi gobelieve baozi),還可以使用更廣泛的字符集,進(jìn)一步增強(qiáng)密碼的復(fù)雜性與安全性。

同時,NIST強(qiáng)調(diào),密碼驗(yàn)證應(yīng)當(dāng)檢查用戶輸入的完整密碼,而非截?cái)嗵幚?,確保密碼的每一個字符都被考慮在內(nèi)。

密碼安全新趨勢:回歸常識與用戶體驗(yàn)

NIST的最新指南草案不僅在技術(shù)層面上進(jìn)行了優(yōu)化,更重要的是,它體現(xiàn)了密碼安全領(lǐng)域的一種回歸——回歸常識、回歸用戶體驗(yàn)。正如NIST在聲明中指出的,許多密碼管理規(guī)則之所以存在,是因?yàn)樵缙诰W(wǎng)絡(luò)安全認(rèn)知不足,然而,隨著技術(shù)的進(jìn)步和攻擊手段的復(fù)雜化,許多看似“安全”的做法其實(shí)已經(jīng)不再適用,甚至成為了安全隱患的源頭。

以密碼長度為例,NIST建議的8-15字符的最低密碼長度既確保了密碼的基本安全性,又避免了過度復(fù)雜的字符組合規(guī)則,讓用戶可以在增強(qiáng)安全性的同時減少記憶負(fù)擔(dān)。這一理念與近年來密碼管理軟件(如密碼管理器)和生物識別技術(shù)的普及相呼應(yīng),進(jìn)一步提升了整體用戶體驗(yàn)。

未來展望:安全管理需要以人為本

盡管近年來不少專家一再批評現(xiàn)行密碼規(guī)則的弊端,但銀行、互聯(lián)網(wǎng)平臺和政府機(jī)構(gòu)大多依然固守這些過時、無效甚至有害的規(guī)則。NIST(美國國家標(biāo)準(zhǔn)與技術(shù)研究院)發(fā)布的新指南草案盡管并不具備強(qiáng)制性,但被業(yè)界廣泛看作是終結(jié)“無效”密碼規(guī)則的一個標(biāo)志性歷史事件,也是全球密碼安全標(biāo)準(zhǔn)演進(jìn)的重要一環(huán),有望在更廣泛的領(lǐng)域內(nèi)被采納和應(yīng)用,帶動密碼安全領(lǐng)域的深層變革。

未來,隨著量子計(jì)算等新技術(shù)的發(fā)展,密碼學(xué)的基礎(chǔ)原理也可能發(fā)生變革。目前來看,這一提議對于密碼管理和用戶安全的提升是顯而易見的,但其最終效果仍有待觀察和驗(yàn)證。

“人的因素”是網(wǎng)絡(luò)安全最重要的環(huán)節(jié),NIST密碼新規(guī)的提出代表了一個重要的網(wǎng)絡(luò)安全趨勢——有效的安全管理需要更多地依賴技術(shù)創(chuàng)新和用戶友好的安全設(shè)計(jì),而不是機(jī)械地強(qiáng)制用戶遵循陳規(guī)陋習(xí)。

參考鏈接:

https://pages.nist.gov/800-63-4/sp800-63b.html

THEEND

最新評論(評論僅代表用戶觀點(diǎn))

更多
暫無評論