密码很短,因此容易破解,但长密码太复杂且易于重复使用?合适的密码设置标准应该是什么?美国国家标准与技术研究院(NationalInstitutesofStandardsandTechnology,NIST)在他们的《数字身份指南》特刊800-63-3中发表了反向密码策略推荐,引起了不小的争议。尽管它包含很多好的、无争议的认证信息,但许多人认为这些新提议完全是错误的。在讨论NIST密码策略之前,让我们回顾一下通常被认为是好的密码策略建议。尽可能使用多重身份验证(MFA);如果MFA不可用,请尽可能使用密码管理器,尤其是当人们为每个安全领域创建唯一的、长的、随机的密码时;如果不使用密码管理器,则使用长而简单的密码作为密码;在任何情况下,都不要使用通用密码(例如“password”或“qwerty”),也不要在不同的网站上使用相同的密码。这些建议的总体问题是MFA和密码管理器并不适用于所有站点和设备。这意味着您必须使用一些密码。如果您的密码管理器选择了随机的、长而复杂的密码,这些密码只在您的某些设备上有效,而在其他设备上不起作用,这意味着您需要记住或记录那些又长又复杂的密码,以备不时之需。为什么NIST改变了它的密码策略所以,无论如何你都必须设置自己的密码。如果您使用长密码,您可能会重复使用它们或只是在不同的站点进行微小的更改。如果我们都开始使用长而简单的密码,我们中的大多数人可能会使用简单的英语单词。就像我们今天遇到的密码复杂性问题-实际上并不复杂的复杂密码(因为大多数人使用相同的32个字符),我们可能会创建更容易被黑客猜到的密码。我们创建的密码从像“Password”这样的错误密码变成了“ThisIsMyPassword”或类似的密码。NIST认为密码重用和复杂密码存在重大风险,其指南力图避免这两种情况。有争议的NIST转变几十年来,已建立的密码策略要求使用长而复杂的密码并定期更改密码。因此,谈论应该更改密码的时间、复杂程度和频率,而不是基本原理。2017年6月发布的NIST密码政策的最终版本推翻了世界各地长期存在的密码原则。现在,NIST表示可以使用更短、更简单的密码,并且除非密码被泄露,否则永远不要更改密码。NIST的新密码政策是基于过去大多数密码的泄露方式。在最初几十年的黑客活动中,大部分密码都是通过密码猜测或破解(如将非明文形式转换为密码明文形式)而泄露的。在这种威胁环境中,使用长而复杂的密码是有意义的。今天,由于底层密码存储数据库和社会工程的大规模破坏,大多数密码都被泄露了。互联网上有数以亿计的登录名/密码组合,任何人都可以轻松访问或购买。这种类型的威胁不关心密码的长度或复杂性。此外,长度和复杂性要求增加了用户在其他站点上使用相同密码的可能性。一项研究表明,普通用户有6或7个密码,他们在100多个网站上重复使用这些密码。这是灾难的根源。鉴于战场瞬息万变,NIST表示遵循旧的建议将使您更有可能在这些决定中失败。变化如此之大,几乎所有的计算机专家都拒绝相信,因此拒绝遵循新的指导方针。此外,计算机安全法规或指导机构(PCI-DSS、HIPAASOX等)也不例外,都没有计划更新其密码政策。这场密码辩论中的很多人都是NIST的忠实支持者,因为讨论和制定NIST新政策的是一群敬业、有思想、希望提高计算机安全性的研究人员。NIST先前决策背后的数据通常很有说服力。所以没有理由仅仅因为每个人的直觉都不想接受新的建议就反对NIST。我们应该是数据驱动的。KevinMitnick用强有力的论据证明使用短密码很容易被黑客攻击。此后,他拿出更多的证据和案例来支持他的观点,即大家不仅要遵循老规矩,还要确保密码更长(至少12到16个字符)。不要遵循NIST的新密码建议深入研究NIST新密码政策决策背后的数据,您会发现这些数据不支持新的结论。有一些数据支持新战略,但并不像过去认为的那样令人信服。例如,向您发送一封带有恶意链接的电子邮件,如果点击该链接,将泄露您的密码或密码哈希值。在某些情况下,只需以预览模式打开电子邮件就足够了。微软发布了防止密码泄露的补丁,但几乎没有人使用它或任何其他可以防止密码泄露的防御措施。大多数公司都容易受到这些类型的威胁。以2月25日修补的Adob??eAcrobat漏洞为例。AdobeAcrobat文档可能包含一个SMB链接,当用户打开PDF文档时该链接会自动启用。这个错误没有触发Acrobat的正常消息警告,要求用户批准URL阅读。与前面讨论的漏洞一样,这个漏洞可能会泄露用户的NT哈希。任何有理智的人都应该知道,允许UNC路径访问的任何其他形式的文件都可能具有传染性,并会泄露用户的密码哈希值。有多少潜在受害者可能会点击电子邮件中的恶意链接?非常多。多年来,社会工程和网络钓鱼一直是许多成功的恶意数据泄露事件的罪魁祸首,而且这种情况不太可能很快改变。大多数计算机安全报告称,70%到90%的恶意数据泄露是由社会工程和网络钓鱼引起的。可以合理地认为,除了使用长而复杂的密码之外,没有人可以推荐任何其他方法来防范这种风险。八个字符不够NIST提倡的最小可接受密码长度(8个字符)不再适用。随着时间的推移,密码破解程序变得更快更好。直到最近,8个字符的复杂密码还被认为是非常不安全的,但大多数组织都接受它。这个假设最近被打破了。开源密码哈希破解工具HashCat宣布可以在2.5小时内将任意8位NT密码哈希破解成明文。祝使用8位密码保护环境的企业好运。米特尼克经常成功破解12到16个字符长的超复杂密码,而且他没有世界上最快的密码破解设备。那么密码多长才够长呢?答案是越长越好,但现实情况是,对于大多数公司网络而言,单靠密码并不能保护包含您的财务或个人信息的网站。使用密码,但不要将它们用于您真正需要保护或关心的事情。至少在我们找到更好、更强大、更顺畅的身份验证方法之前,请使用MFA来保护对您真正有价值的任何东西。您什么时候更改密码?NIST认为,只有在您认为密码已被泄露时才需要更改密码,而不是像过去那样定期更改密码,例如每45到90天更改一次。此建议的问题在于您很可能不知道您的密码已被泄露或何时被泄露。如果您一直在使用密码管理器,您可以实时检查用户创建和使用的每个密码,防止已知的密码泄露并检测密码泄露。不要完全忽视NISTNIST的密码政策,但它的身份准则是可靠的。他们鼓励管理员和用户从简单的登录密码转向更强大的身份验证方法。他们不鼓励使用SMS消息作为强身份验证,并推荐更复杂的方法。他们还针对不同的场景推荐了不同的认证方式,非常有意义。【本文为专栏作者“李少鹏”原创文章,转载请通过平安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
