Ira+Winkler

編譯 楊勇

雖然人們對NIST更簡單的密碼指南表示歡迎，但更容易并不意味著更好。本文介紹了創(chuàng)建公司密碼策略時需要考慮的問題。

國家標準與技術(shù)研究所（NIST）密碼指南的修訂姍姍來遲。老指南建議定期修改數(shù)字、字母和特殊字符組合構(gòu)成的密碼，而安全專家批評了這一老指南。

當我閱讀新指南時，我感到驚訝的是它并沒有考慮非常常見的攻擊問題。簡而言之，NIST的指南使那些只依賴于密碼急需身份驗證的人更容易受到攻擊，而大多數(shù)賬戶似乎都是這樣。

NIST文檔的大部分重點不是密碼，而是其他身份驗證機制，例如令牌身份驗證等。作為唯一身份驗證手段的密碼只能用于低級別帳戶。這通常是基于風險的決策，盡管現(xiàn)實情況是大多數(shù)帳戶都依賴于僅密碼的身份驗證手段。

密碼強度

關(guān)于密碼，不變的要求是，不允許使用容易猜到的密碼，例如字典單詞。他們確實指出，對于試圖暴力破解密碼嘗試登錄的人，應鎖定這些人，限制他們的訪問速率。然而，這也是最煩人的密碼安全特性之一，會頻繁地鎖定合法用戶，而不是阻止攻擊。

每個人都歡迎的主要變化是，只要密碼不是容易被猜到的單詞，就不再要求含有特殊字符。新指南還建議，不再需要定期更改密碼。

這看起來很好，因為您不必頻繁的更改密碼。雖然我不會為缺少特殊字符而感到惋惜，但在沒有額外身份驗證機制的情況下，我確實認為應該定期修改密碼。

密碼破解

那么，這一新指南在多大程度上適合您公司的密碼政策呢？為回答這個問題，讓我們先看看帳戶通常是怎樣被攻破的。大多數(shù)身份驗證攻擊都源于網(wǎng)絡釣魚攻擊或者重新使用被盜的密碼文件。來自雅虎的憑據(jù)黑客和類似的網(wǎng)站都會在暗網(wǎng)上發(fā)布賬戶憑據(jù)信息。然后罪犯分子拿著這些憑據(jù)，如果憑據(jù)與企業(yè)賬戶綁定，他們會嘗試在銀行網(wǎng)站上或者公司中使用這些憑據(jù)。無論是通過網(wǎng)絡釣魚還是被盜帳戶，被盜密碼的強度或者構(gòu)成都無關(guān)緊要。

新指南有可能使密碼破解工具更容易破解被盜的密碼文件。Bill Burr是NIST指南的第一作者，他指出，相對于一個沒有特殊字符的20字符的密碼，能夠更快地破解有特殊字符的8字符密碼，但是新指南中沒有任何內(nèi)容要求密碼長度超過8個字符。

實用密碼策略

下面是我建議的實現(xiàn)實用密碼策略的合理可行的方法：

● 所有賬戶都采用多重身份驗證

● 要建立密碼安全意識，不鼓勵重用密碼或者把密碼寫下來，教育員工保護好多重身份驗證設備和密碼。

● 允許用戶使用他們選擇的任何密碼。

如果不采用多重身份驗證，則：

● 繼續(xù)執(zhí)行定期更改密碼的政策

● 實施NIST指南，防止出現(xiàn)可能被猜到的密碼。

● 實施密碼登錄速率限制

● 開展加強密碼意識的活動，重點是怎樣創(chuàng)建強而且不容易忘記的密碼，禁止密碼重用，保護密碼，防止網(wǎng)絡釣魚。

● 如果您不想使用具有特殊字符的密碼，那么應把密碼設置的較長，以實現(xiàn)同樣級別的安全性。

密碼重置

雖然我覺得強制更改密碼很煩人，但直到密碼被盜了才去更改密碼會更無知。例如，您不一定知道有人在手游Pokemon Go賬戶上使用他們的企業(yè)憑據(jù)，而實際上很多人都這樣做。

如果該網(wǎng)站被入侵，員工在網(wǎng)站上重用了公司密碼，那么您的公司就很容易被攻破。即使員工沒有使用您公司的電子郵件地址，如果在帳戶中重用了密碼，您的公司在面臨有針對性的攻擊時，仍然很容易被攻破。如果您不強制定期更改密碼，那么只要員工有一個有效的企業(yè)帳戶，那么您的公司還是容易受到攻擊。

多重身份驗證的案例

大幅度降低這些攻擊風險的解決方案是采用多重身份驗證。NIST文檔除了密碼還建議了其他的身份驗證方案，媒體和讀者都去關(guān)注不用更改或者創(chuàng)建復雜密碼了，而沒有注意到這一消息。

現(xiàn)實情況是，出于種種原因，大多數(shù)企業(yè)不愿意采用更昂貴或者技術(shù)上非常復雜的身份驗證工具。即使是安全專業(yè)人士似乎也相信，這些工具的存在會讓他們更不安全。如果人們真的完全遵循NIST指南，實際上會更安全。這包括找到并采用一些罕見詞，以減少弱密碼。

Ira Winkler——專欄作家是Secure Mentem總裁，也是新書《高級持久安全》的作者?？梢酝ㄟ^securementem.com聯(lián)系到他。

原文網(wǎng)址：

http：//www.csoonline.com/article/3220498/security/how-safe-are-your-passwords-real-life-rules-for-businesses-to-live-by.html