“定期更換密碼”是最愚蠢的密碼規(guī)則?

“人的因素”是網(wǎng)絡安全最重要的環(huán)節(jié),NIST密碼新規(guī)的提出代表了一個重要的網(wǎng)絡安全趨勢——有效的安全管理需要更多地依賴技術創(chuàng)新和用戶友好的安全設計,而不是機械地強制用戶遵循陳規(guī)陋習。

本文來自GoUpSec。

微信圖片_20240927140151.png

數(shù)十年來,消費者和企業(yè)員工經常被灌輸一些“強密碼規(guī)則”,例如定期更換密碼,在密碼中使用特殊字符等。雖然近年來此類密碼規(guī)則的有效性遭到安全專家的廣泛質疑,但是新一代密碼規(guī)則(例如用長度換強度、非必要不更新等)由于企業(yè)界的強大慣性和阻力(例如大多數(shù)互聯(lián)網(wǎng)服務和企業(yè)系統(tǒng)都不支持64位長密碼)而難以普及推廣。

近日,美國國家標準與技術研究院(NIST)發(fā)布了最新的數(shù)字身份指南草案(SP800-63-4第二版),徹底顛覆了人們對密碼安全的認知。指南提議取消一些最流行的,同時也是“最荒謬”的常識性做法,例如:

  • 強制用戶定期更改密碼
  • 強制或限制用特定字符
  • 強制要求混合多種類型字符
  • 使用安全問題作為驗證手段

破除密碼安全的陳規(guī)陋習

在數(shù)字時代,密碼是保護用戶隱私和數(shù)據(jù)安全的關鍵要素。然而,NIST指出,許多傳統(tǒng)密碼管理規(guī)則不僅沒有增強安全性,反而適得其反。最典型的例子是強制用戶定期更改密碼的要求。

幾十年前,密碼安全性認知尚未普及,人們往往選擇容易被破解的常見詞匯或簡單字符組合,因此定期更改密碼被認為是防止被盜用的一種策略。但是,隨著密碼管理技術的進步和隨機生成密碼的普及,強制更改密碼的做法不僅增加了用戶的負擔,還可能導致密碼復雜性下降。

NIST給驗證服務和管理者的“顛覆性”密碼建議如下:

  • 密碼長度至少為8個字符,建議不少于15個字符。
  • 應允許最大密碼長度至少為64個字符。
  • 應該接受所有打印ASCII(RFC20)字符,或在密碼中添加空格字符。
  • 應接受密碼中的Unicode(ISO/ISC 10646)字符。評估密碼長度時,每個Unicode代碼點應計為一個字符。
  • 不得對密碼施加其他組合要求(例如,要求混合不同類型的字符)。
  • 不得要求用戶定期更改密碼,除非有證據(jù)表明賬戶被盜用。
  • 不得允許訂閱者存儲未經身份驗證的用戶可訪問的提示。
  • 不得提示訂閱者在選擇密碼時使用基于知識的身份驗證(KBA)(例如“您的第一只寵物的名字是什么?”)或安全問題。
  • 驗證者應當完整驗證所提交的密碼(即,不要截斷它)。

特殊字符與安全問題是一對“臥龍鳳雛”

NIST還質疑另一項廣受詬病的規(guī)則——要求密碼必須包含大小寫字母、數(shù)字和特殊字符。NIST認為,在密碼足夠長且復雜的情況下,這類字符組合規(guī)則并沒有實質上的安全提升作用,反而會導致用戶選擇更容易記憶且相對脆弱的密碼。

許多用戶為了滿足這些復雜的規(guī)則,往往傾向于使用重復的字符或常見組合,如“Password123!”之類的“偽強密碼”。

同樣,NIST建議廢除使用安全問題(如“你的第一只寵物叫什么?”)作為密碼驗證手段。研究表明,安全問題容易被破解或通過社交工程攻擊獲取答案,難以真正保障用戶隱私(有時反而會導致隱私泄漏)。

用長度換取強度

NIST在新指南中建議,密碼驗證系統(tǒng)應接受至少64個字符長度的密碼,并支持所有ASCII字符和Unicode字符的使用。這意味著用戶不僅可以設置更長的密碼(例如:wo xihuan chi gobelieve baozi),還可以使用更廣泛的字符集,進一步增強密碼的復雜性與安全性。

同時,NIST強調,密碼驗證應當檢查用戶輸入的完整密碼,而非截斷處理,確保密碼的每一個字符都被考慮在內。

密碼安全新趨勢:回歸常識與用戶體驗

NIST的最新指南草案不僅在技術層面上進行了優(yōu)化,更重要的是,它體現(xiàn)了密碼安全領域的一種回歸——回歸常識、回歸用戶體驗。正如NIST在聲明中指出的,許多密碼管理規(guī)則之所以存在,是因為早期網(wǎng)絡安全認知不足,然而,隨著技術的進步和攻擊手段的復雜化,許多看似“安全”的做法其實已經不再適用,甚至成為了安全隱患的源頭。

以密碼長度為例,NIST建議的8-15字符的最低密碼長度既確保了密碼的基本安全性,又避免了過度復雜的字符組合規(guī)則,讓用戶可以在增強安全性的同時減少記憶負擔。這一理念與近年來密碼管理軟件(如密碼管理器)和生物識別技術的普及相呼應,進一步提升了整體用戶體驗。

未來展望:安全管理需要以人為本

盡管近年來不少專家一再批評現(xiàn)行密碼規(guī)則的弊端,但銀行、互聯(lián)網(wǎng)平臺和政府機構大多依然固守這些過時、無效甚至有害的規(guī)則。NIST(美國國家標準與技術研究院)發(fā)布的新指南草案盡管并不具備強制性,但被業(yè)界廣泛看作是終結“無效”密碼規(guī)則的一個標志性歷史事件,也是全球密碼安全標準演進的重要一環(huán),有望在更廣泛的領域內被采納和應用,帶動密碼安全領域的深層變革。

未來,隨著量子計算等新技術的發(fā)展,密碼學的基礎原理也可能發(fā)生變革。目前來看,這一提議對于密碼管理和用戶安全的提升是顯而易見的,但其最終效果仍有待觀察和驗證。

“人的因素”是網(wǎng)絡安全最重要的環(huán)節(jié),NIST密碼新規(guī)的提出代表了一個重要的網(wǎng)絡安全趨勢——有效的安全管理需要更多地依賴技術創(chuàng)新和用戶友好的安全設計,而不是機械地強制用戶遵循陳規(guī)陋習。

參考鏈接:

https://pages.nist.gov/800-63-4/sp800-63b.html

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論

本月熱門