Ira+Winkler
编译 杨勇
虽然人们对NIST更简单的密码指南表示欢迎,但更容易并不意味着更好。本文介绍了创建公司密码策略时需要考虑的问题。
国家标准与技术研究所(NIST)密码指南的修订姗姗来迟。老指南建议定期修改数字、字母和特殊字符组合构成的密码,而安全专家批评了这一老指南。
当我阅读新指南时,我感到惊讶的是它并没有考虑非常常见的攻击问题。简而言之,NIST的指南使那些只依賴于密码急需身份验证的人更容易受到攻击,而大多数账户似乎都是这样。
NIST文档的大部分重点不是密码,而是其他身份验证机制,例如令牌身份验证等。作为唯一身份验证手段的密码只能用于低级别帐户。这通常是基于风险的决策,尽管现实情况是大多数帐户都依赖于仅密码的身份验证手段。
密码强度
关于密码,不变的要求是,不允许使用容易猜到的密码,例如字典单词。他们确实指出,对于试图暴力破解密码尝试登录的人,应锁定这些人,限制他们的访问速率。然而,这也是最烦人的密码安全特性之一,会频繁地锁定合法用户,而不是阻止攻击。
每个人都欢迎的主要变化是,只要密码不是容易被猜到的单词,就不再要求含有特殊字符。新指南还建议,不再需要定期更改密码。
这看起来很好,因为您不必频繁的更改密码。虽然我不会为缺少特殊字符而感到惋惜,但在没有额外身份验证机制的情况下,我确实认为应该定期修改密码。
密码破解
那么,这一新指南在多大程度上适合您公司的密码政策呢?为回答这个问题,让我们先看看帐户通常是怎样被攻破的。大多数身份验证攻击都源于网络钓鱼攻击或者重新使用被盗的密码文件。来自雅虎的凭据黑客和类似的网站都会在暗网上发布账户凭据信息。然后罪犯分子拿着这些凭据,如果凭据与企业账户绑定,他们会尝试在银行网站上或者公司中使用这些凭据。无论是通过网络钓鱼还是被盗帐户,被盗密码的强度或者构成都无关紧要。
新指南有可能使密码破解工具更容易破解被盗的密码文件。Bill Burr是NIST指南的第一作者,他指出,相对于一个没有特殊字符的20字符的密码,能够更快地破解有特殊字符的8字符密码,但是新指南中没有任何内容要求密码长度超过8个字符。
实用密码策略
下面是我建议的实现实用密码策略的合理可行的方法:
● 所有账户都采用多重身份验证
● 要建立密码安全意识,不鼓励重用密码或者把密码写下来,教育员工保护好多重身份验证设备和密码。
● 允许用户使用他们选择的任何密码。
如果不采用多重身份验证,则:
● 继续执行定期更改密码的政策
● 实施NIST指南,防止出现可能被猜到的密码。
● 实施密码登录速率限制
● 开展加强密码意识的活动,重点是怎样创建强而且不容易忘记的密码,禁止密码重用,保护密码,防止网络钓鱼。
● 如果您不想使用具有特殊字符的密码,那么应把密码设置的较长,以实现同样级别的安全性。
密码重置
虽然我觉得强制更改密码很烦人,但直到密码被盗了才去更改密码会更无知。例如,您不一定知道有人在手游Pokemon Go账户上使用他们的企业凭据,而实际上很多人都这样做。
如果该网站被入侵,员工在网站上重用了公司密码,那么您的公司就很容易被攻破。即使员工没有使用您公司的电子邮件地址,如果在帐户中重用了密码,您的公司在面临有针对性的攻击时,仍然很容易被攻破。如果您不强制定期更改密码,那么只要员工有一个有效的企业帐户,那么您的公司还是容易受到攻击。
多重身份验证的案例
大幅度降低这些攻击风险的解决方案是采用多重身份验证。NIST文档除了密码还建议了其他的身份验证方案,媒体和读者都去关注不用更改或者创建复杂密码了,而没有注意到这一消息。
现实情况是,出于种种原因,大多数企业不愿意采用更昂贵或者技术上非常复杂的身份验证工具。即使是安全专业人士似乎也相信,这些工具的存在会让他们更不安全。如果人们真的完全遵循NIST指南,实际上会更安全。这包括找到并采用一些罕见词,以减少弱密码。
Ira Winkler——专栏作家是Secure Mentem总裁,也是新书《高级持久安全》的作者。可以通过securementem.com联系到他。
原文网址:
http://www.csoonline.com/article/3220498/security/how-safe-are-your-passwords-real-life-rules-for-businesses-to-live-by.html