美国政府要求政府项目承包商满足DFARS密码要求。不遵守要求的承包商可能会受到巨额罚款和集体诉讼。政府合同对任何组织都非常有吸引力,科技公司最近为国防部的JEDI计划展开激烈竞争就证明了这一点,该计划拥有超过100亿美元的资金。与政府机构合作的组织必须遵守一套安全标准和规范,其中最关键的是美国国家科学技术研究院(NIST)在安全领域制定的标准和规范,包括识别、认证、信息存储和处理,和更多。DoD希望与之合作的组织还必须遵守《国防联邦采购法规补充条款》(DFARS),这是一套适用于美国民用和国防实体的标准。便利性和安全性多年来,安全专家一直建议使用由小写字母、大写字母、数字和符号组成的长而复杂的密码(要求用户输入类似!V4Dv$hJUF2g%J的内容)。此外,这还不够,要求用户为每个账户设计唯一的密码,并每隔几个月更换一次。事实上,复杂的密码很难记住,以至于大多数用户都找不到合适的解决方案。许多人将密码存储在文本文件中,或者跨帐户重复使用相同的密码。考虑到这些因素,NIST放宽了对密码的要求。复杂的密码不需要定期更改,NIST建议使用8到64个字符的密码,并在怀疑它们被泄露时更改它们。在更改新密码之前,还要对照已泄露的密码列表检查它,例如我是否被盗用过。NIST认为,密码的复杂性已达到极限,计算机每年都在变得更快、更强大。密码存储和管理一旦组织解决了密码的复杂性,密码存储就变成了一个更大的问题。在将密码存储在服务器上之前,必须对其进行哈希处理。事实上,明文密码存储比简单密码更糟糕。今天,大多数组织都能够保证存储密码的哈希值。但这还不够,还必须控制对这些密码的访问,确保未经授权的人员无法访问这些密码。例如,Facebook的纯文本密码存储可供员工搜索。组织面临的另一个挑战是检测和阻止恶意访问尝试。必须检测并阻止多次失败的访问尝试。多重身份验证显然,仅凭密码不足以保护用户。简而言之,MFA通过要求用户提供他们知道的东西(如密码)、他们拥有的东西(如移动应用程序或安全密钥)或他们拥有的东西(如生物识别)来对用户进行身份验证。DFARS对某些类型的多因素身份验证进行认证,包括安全存储在端点(例如钥匙链、TPM或TEE)上的证书。此外,必须严格保护密钥,以防止未经授权的密钥泄露。最后,组织必须确保密钥不能在多个设备之间传递。但是,使用多重身份验证也会遇到问题,许多用户在每次访问帐户时都会遇到输入密码的问题。在登录过程中输入额外的一次性密码或生成物理密钥的麻烦通常令人反感,用户更愿意完全禁用多因素身份验证。为政府合同做好准备CISO和IT安全团队的最终目标是最大限度地提高安全性,同时保持员工的可访问性和易用性。当增加遵守严格的网络安全和隐私法的需要时,实现这一点可能会更加困难和昂贵。用户身份验证的挑战可能恰恰表明了便利性和安全性之间的冲突。幸运的是,今天的解决方案为所有数字资产提供了更好的安全性、更容易的合规性和更高的用户满意度,帮助组织为各种场景做好准备。
