在全球远程办公的大潮中,一些企业的安全漏洞被放大。全球数据泄露事件的频率和规模正以肉眼可见的速度逐年增加。如果说身份和访问管理是数据安全的“重灾区”,那么“弱密码”无疑是“震中”。据平安牛CSO社区部分央企安全负责人介绍,密码相关的安全加固措施是疫情期间最重要的安全工作之一。根据Verizon的《数据违规调查报告》,81%的黑客相关违规行为使用的是被盗密码或弱密码,只需一名员工的弱密码即可攻破戒备森严、成本高昂的企业网络安全防御系统。事实上,虽然零信任和多因素认证是当今企业网络安全的热门话题,但持久化的弱密码仍然是企业网络安全的最大弱点之一。最近的一项Centrify调查显示,受访者在接受调查的1,000名IT决策者中,有74%的入侵事件涉及特权帐户访问。而今年的RSAC2020现场调查数据显示:近四分之一的受访者(23%)使用相同的工作和个人账户密码,这违反了行业最佳实践,超过五分之一的受访者(21%)仍在手机上存储密码phones,computers,orprinteddocumentsalsoagainstindustrybestpractices请注意,以上调查是针对安全行业人士进行的,普通企业员工的密码违规行为比上述数据严重得多!弱密码黑洞如今,普通消费者至少使用20个帐户。二十个不同的账户,二十个不同的密码,延伸出一系列的安全问题和安全风险(上图),即使是安全专家,也会犯在不同账户中重复使用密码的简单错误。密码安全已成为在线账户安全的主要关注点,导致数据泄露、账户接管、欺诈性金融交易、敏感数据泄露、个人数据滥用等。截至今天(2020年),最大的数据泄露主要来自配置不当的系统,包括弱身份验证。总而言之,尽管业界不懈努力,但密码安全性差的现状仍未得到解决。问题很明显,但我们有解决办法吗?对于弱密码问题,很多企业采取强制频繁更改密码、使用单点登录(SSO)、将特权凭证存储在密码库等措施,但企业要注意:弱加密问题不能被一种或多种技术解决方案(如IAM和PAM)或规则根除。有必要参考并制定一套完整的密码指南,以应对消费者、供应商和企业自身的数字身份管理挑战。下面,安全牛针对当前远程办公的“安全痛点”,老生常谈,聚焦新版NIST密码指南,和大家一起回顾过去,学习密码安全:NIST的十三条密码指南NISTSP800-63是美国国家技术研究标准的新修订版(2020年3月更新),由美国国家技术研究院(NIST)发布的2017年数字身份验证指南,提供了密码安全要求方面的指南。尽管SP800-63是一份长达79页的冗长文档,但本文的主要重点是第5节“身份验证器和身份验证器要求”,其中列出了许多关于如何处理身份验证要求的具体指南。简而言之,它是一些密码管理最佳实践的汇编,包括存储、使用和颁发。那么,NIST800-63到底在谈论什么?NIST800-63的意义是什么?它与之前发布的密码安全准则有何不同?如果您赶时间,可以花一点时间了解最新版本的NIST密码指南快速列表:(1)不再需要定期重置密码(2)定义的最少密码字符数–8(用户生成)(3)密码中定义的字符至少为64+(4)允许ASCII可打印字符,包括空格和表情符号(5)定义的最少密码字符–6(系统生成)(6)密码恢复避免密码提示/安全问题(7)限制密码复杂性要求(8)鼓励2FA/MFA并避免2FA中的SMS验证(9)避免暴露以下来源的密码:以前暴露的违规帐户字典词包含重复或连续字符的密码上下文特定的词,例如服务名称、用户名及其名称派生(10)将失败的登录尝试次数限制在一定数量,比如10(11)不要截断密码并始终将它们存储在单向哈希中(12)引导用户使用ind评估密码强度icator显示(13)传递盐分通过简化和单向散列法安全地存储密码,以防止密码猜测攻击NIST800-63有哪些主要更新?尝试逐步淘汰过时的密码实践指南(例如定期更改密码)提供有关2FA/MFA使用的良好建议建议增加旧/错误密码的过时要求。强调密码字符数/长度(最小和最大)的重要性。明确定义密码重置的原因。明确定义最佳密码盐存储方式。NIST的密码“新政”:1.不再定期重置密码一些服务提供商(如网上银行)和企业强制用户定期(如30-90天)更改密码。但问题是,如果密码强度高且未被泄露,为什么我们必须更改密码。此外,当我们按规定的时间间隔定期更改密码时,我们往往会引入较弱的密码。例如,您之前的密码是“[Pr3ttyMeLikesD!$n3y]”。这个密码看起来很强,但遗憾的是,在公开的密码泄露检测工具中,这个密码的检测结果是“阳性”。虽然已经泄露,但这样一个“漂亮”的密码用户却舍不得扔掉。因此,在原密码末尾加上一个或几个数字是很常见的,比如“[Pr3ttyMeLikesD!$n3y]9”,这样就可以满足提供商的密码修改要求。错误的!如果您的原始密码已被泄露,并且可以通过有针对性的攻击与其关联,攻击者就可以轻松“猜出”您的“新密码”。这就是为什么NIST的新密码指南强调避免任何类型的暴力破解周期密码,因为这会进一步削弱密码过程。2.密码长度更重要众所周知,新的NIST规则强调了密码长度的重要性,但关键问题是如何设置一个合理的最大和最小密码长度范围。过去,密码长度受到限制以满足存储需求。但是现在,随着散列值的存储,大小限制已经非常宽松,允许使用强而复杂的密码。密码是“password”还是“Itw@asAN!c3P@$$sword4ALL”,两者存储密码所需的存储空间几乎没有区别,这将由服务提供商使用的哈希算法决定。根据新的NIST指南,用户创建的密码应至少包含8个字符,最大长度可超过64个字符。这意味着需要大大放宽在线服务提供商常见的20-32个字符的密码长度限制。但这又引出了另一个问题:如果密码是由服务/系统创建的(比如初始密码和默认密码),密码的字符数(长度)有什么要求?幸运的是,新规范中系统创建的密码的最小值减少到6个字符。这个6位字符的密码可以在员工初次入职时设置。此后,将要求用户强制执行首次登录密码更改。传统上,密码长度一直保持在少量字符以适应存储需求。与最初起草的时间框架相比,目前的存储成本要低得多。存储被认为是因为密码之前以明文形式存储,因此导致包括但不限于a、b、c的许多数据泄露。3、哪些字符可以作为密码字符?答案很简单。允许所有可打印的ASCII字符集。简而言之,请允许使用标准键盘创建的任何内容,甚至包括空格作为密码的一部分!嗯,[!@#$%&*();',。/<>之类的特殊字符呢?:]?再次!创建密码时,不应限制特殊字符。表情符号呢?😍也允许使用表情符号😍有效密码Emoji4.安全问题不安全,避免密码提示/安全问题在很多场景下,我们习惯在找回密码和识别时输入“真心话大冒险”之类的“安全问题”。例如,你的父母在哪里坠入爱河?你在哪里出世?你的狗迷路时几岁?你最讨厌的高中老师的名字?这是新的NIST法规中的严格禁忌。原因是这些问题/答案很容易猜到。尤其对于针对性攻击者而言,在个人隐私泄露极其丰富、社会工程学攻击猖獗的今天,这些问题的答案将不难找到。NIST不再允许在密码管理过程中出现此类提示或线索。5.限制密码复杂度要求如前所述,新的NIST密码规范极大地扩展了密码可使用的字符类型,强调了密码长度的重要性,并提出取消密码复杂度的强制性要求。此外,还建议服务商取消以往不合理的强制性密码复杂度要求,例如以下常见规范:“您的密码只能包含字母数字字符。还应包含字母、数字和特殊字符”根据以上规则,“Password!23”是可接受的密码,但它是最弱的密码之一。6.鼓励2FA/MFA,避免短信验证过去几年,随着数据泄露的频率和规模不断增长(下图),越来越多的用户名和密码被曝光,甚至在网络黑市上交易。攻击者通过泄露的数据获取用户登录密码变得越来越容易。因此,建议在传统的用户名/密码组合之外添加额外的身份验证层,例如双因素身份验证(2FA)或多因素身份验证(MFA)。但早期基于SMS的双因素身份验证越来越容易受到SIM交换和相关攻击的影响,因此建议避免使用基于SMS的身份验证令牌。另一种方法是使用验证器。第一步是用户名/密码组合。用于身份验证的下一步令牌将由应用程序(软件/硬件)创建。安全社区强烈建议使用2FA或MFA,因为它已被证明可以击败几乎所有针对用户的基本密码攻击。7.限制失败的登录尝试假设有人试图登录您的帐户。第一步也是最简单的一步是猜测您的用户名和密码组合。如果用户名和密码很容易被猜到,则该帐户很容易受到威胁。为避免这种情况,系统应该对失败登录的次数实施限制。例如,在第五次登录尝试失败后,系统可以逐渐增加登录间隔,并且随着每次登录失败,延迟可能成倍增加,使攻击者更难成功。考虑到所有这些,NIST建议为登录次数定义一个特定的上限,以通过几乎消除未经授权的登录尝试来帮助保护此类帐户的安全。8.不要截断密码早些年,程序员通常将较大的密码截断为最多8-20个字符,以尽量减少存储需求。但现在,密码存储仅限于哈希,存储设备的成本也大幅下降。此外,密码的哈希值会因字符而异,每次更改(包括截断)都会对所述密码的强度产生重大影响。考虑到这一点,NIST建议系统不应截断密码,而应仅存储其单向哈希值。这有助于提高密码强度。9.用密码强度指示器指导用户任何新密码的强度都应该借助密码强度指示器来可视化。由于当今大多数应用程序都可以在线访问,因此强烈建议显示一个可视的密码强度指示器。(上图)这种可视化的密码强度指示器可用于指导用户设置更强的密码。2020年NIST密码学要求的关键要素最后,我们将新的NIST密码学规范的关键要素总结如下:性非常糟糕。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此阅读更多作者好文
