Ira+Winkler

編譯 楊勇

雖然人們對NIST更簡單的密碼指南表示歡迎，但更容易并不意味著更好。本文介紹了創(chuàng)建公司密碼策略時需要考慮的問題。

國家標準與技術研究所（NIST）密碼指南的修訂姍姍來遲。老指南建議定期修改數字、字母和特殊字符組合構成的密碼，而安全專家批評了這一老指南。

當我閱讀新指南時，我感到驚訝的是它并沒有考慮非常常見的攻擊問題。簡而言之，NIST的指南使那些只依賴于密碼急需身份驗證的人更容易受到攻擊，而大多數賬戶似乎都是這樣。

NIST文檔的大部分重點不是密碼，而是其他身份驗證機制，例如令牌身份驗證等。作為唯一身份驗證手段的密碼只能用于低級別帳戶。這通常是基于風險的決策，盡管現實情況是大多數帳戶都依賴于僅密碼的身份驗證手段。

密碼強度

關于密碼，不變的要求是，不允許使用容易猜到的密碼，例如字典單詞。他們確實指出，對于試圖暴力破解密碼嘗試登錄的人，應鎖定這些人，限制他們的訪問速率。然而，這也是最煩人的密碼安全特性之一，會頻繁地鎖定合法用戶，而不是阻止攻擊。

每個人都歡迎的主要變化是，只要密碼不是容易被猜到的單詞，就不再要求含有特殊字符。新指南還建議，不再需要定期更改密碼。

這看起來很好，因為您不必頻繁的更改密碼。雖然我不會為缺少特殊字符而感到惋惜，但在沒有額外身份驗證機制的情況下，我確實認為應該定期修改密碼。

密碼破解

那么，這一新指南在多大程度上適合您公司的密碼政策呢？為回答這個問題，讓我們先看看帳戶通常是怎樣被攻破的。大多數身份驗證攻擊都源于網絡釣魚攻擊或者重新使用被盜的密碼文件。來自雅虎的憑據黑客和類似的網站都會在暗網上發(fā)布賬戶憑據信息。然后罪犯分子拿著這些憑據，如果憑據與企業(yè)賬戶綁定，他們會嘗試在銀行網站上或者公司中使用這些憑據。無論是通過網絡釣魚還是被盜帳戶，被盜密碼的強度或者構成都無關緊要。

新指南有可能使密碼破解工具更容易破解被盜的密碼文件。Bill Burr是NIST指南的第一作者，他指出，相對于一個沒有特殊字符的20字符的密碼，能夠更快地破解有特殊字符的8字符密碼，但是新指南中沒有任何內容要求密碼長度超過8個字符。

實用密碼策略

下面是我建議的實現實用密碼策略的合理可行的方法：

● 所有賬戶都采用多重身份驗證

● 要建立密碼安全意識，不鼓勵重用密碼或者把密碼寫下來，教育員工保護好多重身份驗證設備和密碼。

● 允許用戶使用他們選擇的任何密碼。

如果不采用多重身份驗證，則：

● 繼續(xù)執(zhí)行定期更改密碼的政策

● 實施NIST指南，防止出現可能被猜到的密碼。

● 實施密碼登錄速率限制

● 開展加強密碼意識的活動，重點是怎樣創(chuàng)建強而且不容易忘記的密碼，禁止密碼重用，保護密碼，防止網絡釣魚。

● 如果您不想使用具有特殊字符的密碼，那么應把密碼設置的較長，以實現同樣級別的安全性。

密碼重置

雖然我覺得強制更改密碼很煩人，但直到密碼被盜了才去更改密碼會更無知。例如，您不一定知道有人在手游Pokemon Go賬戶上使用他們的企業(yè)憑據，而實際上很多人都這樣做。

如果該網站被入侵，員工在網站上重用了公司密碼，那么您的公司就很容易被攻破。即使員工沒有使用您公司的電子郵件地址，如果在帳戶中重用了密碼，您的公司在面臨有針對性的攻擊時，仍然很容易被攻破。如果您不強制定期更改密碼，那么只要員工有一個有效的企業(yè)帳戶，那么您的公司還是容易受到攻擊。

多重身份驗證的案例

大幅度降低這些攻擊風險的解決方案是采用多重身份驗證。NIST文檔除了密碼還建議了其他的身份驗證方案，媒體和讀者都去關注不用更改或者創(chuàng)建復雜密碼了，而沒有注意到這一消息。

現實情況是，出于種種原因，大多數企業(yè)不愿意采用更昂貴或者技術上非常復雜的身份驗證工具。即使是安全專業(yè)人士似乎也相信，這些工具的存在會讓他們更不安全。如果人們真的完全遵循NIST指南，實際上會更安全。這包括找到并采用一些罕見詞，以減少弱密碼。

Ira Winkler——專欄作家是Secure Mentem總裁，也是新書《高級持久安全》的作者。可以通過securementem.com聯(lián)系到他。

原文網址：

http：//www.csoonline.com/article/3220498/security/how-safe-are-your-passwords-real-life-rules-for-businesses-to-live-by.html