不要强迫用户使用复杂的密码刘涛策划|YunZhao在计算机的早期,如果你不是坐在终端前,计算机和用户是相互隔离的,存储非常昂贵。因为只要这两个原则成立,将熵塞进短密码的唯一方法就是让它更复杂。这就是密码复杂性规则的诞生方式。此外,为了让密码更难破解,需要定期更改密码,使其成为一个更难破解的移动目标。但我们不再生活在那个世界里了。计算机现在已连接,我们几乎永久连接到我们的系统。存储也越来越便宜。所以现在有一个更好的方法来增加密码的熵:让它们更长。这更好的原因是人们不能很好地处理复杂的密码。这使它们更难记住和打字。没有任何熵级别不能通过增加密码长度来实现,这意味着没有理由使用复杂性规则。如果您不喜欢10个字符的密码的熵,没关系,我们可以将其设置为12个,但不要使其复杂化。同样,13、14等也可以。此外,与密码复杂性相比,熵随着密码长度的增加而增加得更快。此外,使用长密码还有一个额外的好处,那就是大多数常用词都很短。所以,如果要填长密码,就得把单词组合起来(至少是英文的),这样密码才能抵抗字典攻击。这甚至不需要用户自己做,因为用户创建密码更容易。有一种比定期重置密码更好的方法来防止暴力攻击:当一段时间内登录失败次数过多时通知用户和管理员。您还可以限制一定时间内登录失败的次数。也就是说,没有必要定期重置密码,因为我们不再是离线计算的早期阶段。密码管理器和多重身份验证技术更有意义。密码管理器使用户可以轻松管理密码并选择随机密码。在实施这些操作的同时,应同时为用户提供所需的培训。下表及其设置的变量假定:每秒无限计数。用户和管理员不会收到暴力破解尝试的通知。尽管密码散列是免费提供的,但它们所属的系统以某种方式同步,没有人注意到这个错误。花5年时间破解密码是不安全的。MFA(Multi-FactorAuthentication)不被使用比51、2300万年要好得多,因为人类活了几个世纪,重置密码消磨时间。有人闯入系统并获取了所有密码哈希值。密码的复杂性和重置不会导致选择预期的随机密码,它会导致用户重复使用有限数量的不同密码,仅更改数字和日期等可预测的字符串,以便用户可以在需要时登录并工作。它使密码更易于预测,并且经常离线使用。这使得系统的安全性更加糟糕!许多专业人士在2017年《NIST800–63》(数字身份指南)发布之前就已经意识到了这一点,而在这项新技术标准发布后,他们也找不到任何借口。遗憾的是,一些合规机制(如PCI-DSS)仍然需要定期重置密码,我希望将来它们会更新并需要管理员多因素身份验证。传统很难改变!(注:Reddit用户表示,使用“补偿控制”MFA,无需复杂规则和密码重置即可实现PCI-DSS认证)密码复杂性规则和定期密码重置使情况变得更糟。是时候停止这种疯狂了。那么,您如何理解您的工作是帮助用户提高安全性,而不是帮助用户遵守想象中的、无根据的规则?登录尝试次数过多促进密码管理器和多因素身份验证的使用停止传播有关密码复杂性和重置的不良建议。原文链接:https://medium.com/the-ciso-den/when-will-cybersecurity-professionals-stop-hurting-both-their-users-and-security-d9931e6a1150
