密碼安全國際新標：不再強制用戶定期修改密碼和使用複雜字元密碼

美國國家標準和技術協會（NIST）發布了《數字身份驗證指南（DAG）》的最新草案，該草案對以前的密碼安全設置以及公司在制定相關安全政策時的許多標準和做法都進行了修改和調整。

在新版的密碼安全保護方面，該指南不再要求用戶定期修改密碼。因為經過調查，頻繁的更改密碼並沒有達到保護密碼安全的預期目的。

NIST最新建議

1. 在用戶想要修改的時候再去修改，

2. 用戶發現自己的設備有被攻擊的跡象時應立即修改密碼，

3.用戶在設置密碼的時候沒有必要混合大寫字母、字元和數字，因為研究顯示這樣並不能讓密碼的安全性提高，反而會讓用戶容易忘記密碼，

4. 公司應該允許用戶使用emoji（表情符號）來進行加密設置，

5.最保險的加密辦法應該是加鹽演算法+哈希演算法+ MAC演算法，

6.提高用戶密碼強度的最佳方式就是合理地選擇密碼字典，並盡量避免直接使用用戶名、生日、連續數字這樣的簡易密碼，

7.根據已知的受損憑據列表定期檢查用戶憑據。

對於以上這些安全建議，NIST起草標準的作者之一保羅?格拉西（Paul Grassi）表示，這些建議都還在徵求意見階段，並不是強制性的，預計草案會在今年年中通過。

CSO的反應

用戶通常會通過用特殊字元替換阿爾法符號來對密碼進行組合，但是對於黑客來說，他們已經對用戶的這種密碼設置技巧非常了解了，所以對密碼的真實熵來說，安全性就降低了很多。每個人都知道用感嘆號代替的是1，或者I，或是密碼的最後一個字元，$代替的是S或5。如果我們使用這些眾所周知的技巧，那密碼幾乎沒有任何安全性可言。

在新的密碼要求方面，保羅?格拉西表示NIST很高興能為用戶提供密碼設置方面的建議。從根本上說，新的修訂草案能讓用戶對密碼的設置強度有一個更客觀地理解。另外，NIST還為安全代理商提供了很多安全保護方面地選擇，讓他們能夠利用用戶可能已經擁有的工具，如智能手機，認證應用程序或安全密鑰等來提高用戶的安全體驗。

Nok Nok Labs首席執行官Phil Dunkelberger表示：「用戶名和密碼的複雜性要求所帶來的安全並不如我們一般所認為的那樣高而且還用增加使用的方便性，我們很高興看到像NIST這樣的國家組織對其做出客觀地說明。」

Dunkelberger還表示：「絕大多數安全專家都承認，這些草案對用戶的密碼管理方面的認知做了一次很好的教育，讓用戶的整體安全性得到提高。我們很高興看到像NIST這樣的國家組織推薦更新並改變不再適用的密碼保護。」

用戶的反應

SecuredTouch的聯合創始人兼首席產品官Ran Shulkind表示「新的密碼指南很有意義，人們不得不重新審視以前的密碼管理認識誤區以及使用特殊字元的結果反而會使安全性降低。在網路威脅日益增加的今天，密碼保護比以前都要重要的多，而NIST提出的建議顯然給了我們用戶很大的幫助。」

多因子認證（MFA）在某些行業已經開始被採用， Shulkind說：「MFA讓安全性提高了一個新的層次，包括你所知道的東西（密碼），你所擁有的東西（令牌或簡訊），或你所指定的東西（指紋或行為）。」

多因子認證是一種我們在許多網銀應用中經常使用的一種提升安全的方法，它是在用戶名或口令之外額外增加的一種認證措施，因此能夠提升用戶賬戶的安全性。如果對某個賬戶啟用了AWS MFA，那麼用戶在輸入該賬戶用戶名和口令之後還需要輸入由MFA設備生成的6位數字。這個6位數字可以是通過專門的物理設備生成，也可以是一個虛擬的設備，也就是支持TOTP標準的應用程序。

但Shulkind接著說「MFA的使用雖然增加了安全性，卻降低了用戶體驗，這就是為什麼各個安全公司還在努力尋找更加友好的用戶安全策略，例如通過行為生物識別的方式既可以提高安全性又有非常好的用戶體驗。」

Cybric的聯合創始人兼首席信息官Mike Kail表示：「行為生物識別技術可以根據用戶與設備的物理交互（手指壓力，打字速度，手指大小）進行分析和驗證，最終完全代替目前的密碼保護方式。」

他說：「我認為新建議中的更新是正確的，特別是密碼頻繁修改的變更。」

Mike Kail希望看到更多的關於密碼保護方面的改進策略例如要求Cloud IdP / SSO這樣的提供商也加入到監控異常活動中來，他還建議向用戶提供密碼管理工具。

Exabeam威脅研究總監Barry Shteiman表示：「這是NIST標準的非常積極的變化，黑客使用受損的憑據資料庫，並重新驗證身份驗證機制已經變得非常普遍了，特別是有些信息已經被出售或在線發布。」

密碼保護策略

Absolute的全球安全策略師Richard Henderson認為：「這一改變也使得字典密碼和彩虹表攻擊的威力大幅下降。 在這份草案出來之前，我們在創建和使用密碼方面的標準已經非常混亂了。我們可以看到目前很多網站的密碼保護政策都各不一樣且都非常糟糕，有的甚至仍然存儲密碼的明文，另外用戶的密碼設置習慣也導致了廣泛的密碼重用或弱密碼。」

Henderson還認為：「NIST草案中最重要的建議是不斷掃描和獲取已知的易受攻擊和被盜密碼列表進行比較研究。除了把密碼重用的風險降到最低和避免弱密碼之外，還可以提醒企業潛在的密碼安全風險。如果像247KangarooKiwi！這樣的密碼出現在一個受損的列表中，那這很可能是用戶使用的密碼，可以查看他們的供應商或工作端點設備，並尋找妥協的保護措施。」

Henderson還表示：「NIST的建議是使用完整的ASCII和Unicode的互轉，因為這樣做可以增加暴力破解的難度。」

本文翻譯自http://www.csoonline.com/article/3195181/data-protection/vendors-approve-of-nist-password-draft.html

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！