NIST出台密码安全新标准:不再强制用户定期修改密码和使用复杂字符密码

简介: 本文讲的是NIST出台密码安全新标准:不再强制用户定期修改密码和使用复杂字符密码,美国国家标准和技术协会(NIST)发布了《数字身份验证指南(DAG)》的最新草案,该草案对以前的密码安全设置以及公司在制定相关安全政策时的许多标准和做法都进行了修改和调整。
本文讲的是 NIST出台密码安全新标准:不再强制用户定期修改密码和使用复杂字符密码

NIST出台密码安全新标准:不再强制用户定期修改密码和使用复杂字符密码

美国国家标准和技术协会(NIST)发布了《数字身份验证指南(DAG)》的最新草案,该草案对以前的密码安全设置以及公司在制定相关安全政策时的许多标准和做法都进行了修改和调整。

在新版的密码安全保护方面,该指南不再要求用户定期修改密码。因为经过调查,频繁的更改密码并没有达到保护密码安全的预期目的。

NIST最新建议

1. 在用户想要修改的时候再去修改,

2. 用户发现自己的设备有被攻击的迹象时应立即修改密码,

3. 用户在设置密码的时候没有必要混合大写字母、字符和数字,因为研究显示这样并不能让密码的安全性提高,反而会让用户容易忘记密码,

4. 公司应该允许用户使用emoji(表情符号)来进行加密设置,

5. 最保险的加密办法应该是加盐算法+哈希算法+ MAC算法,

6. 提高用户密码强度的最佳方式就是合理地选择密码字典,并尽量避免直接使用用户名、生日、连续数字这样的简易密码,

7.根据已知的受损凭据列表定期检查用户凭据。

对于以上这些安全建议,NIST起草标准的作者之一保罗•格拉西(Paul Grassi)表示,这些建议都还在征求意见阶段,并不是强制性的,预计草案会在今年年中通过。

CSO的反应

用户通常会通过用特殊字符替换阿尔法符号来对密码进行组合,但是对于黑客来说,他们已经对用户的这种密码设置技巧非常了解了,所以对密码的真实熵来说,安全性就降低了很多。每个人都知道用感叹号代替的是1,或者I,或是密码的最后一个字符,$代替的是S或5。如果我们使用这些众所周知的技巧,那密码几乎没有任何安全性可言。

在新的密码要求方面,保罗•格拉西表示NIST很高兴能为用户提供密码设置方面的建议。从根本上说,新的修订草案能让用户对密码的设置强度有一个更客观地理解。另外,NIST还为安全代理商提供了很多安全保护方面地选择,让他们能够利用用户可能已经拥有的工具,如智能手机,认证应用程序或安全密钥等来提高用户的安全体验。

Nok Nok Labs首席执行官Phil Dunkelberger表示:“用户名和密码的复杂性要求所带来的安全并不如我们一般所认为的那样高而且还用增加使用的方便性,我们很高兴看到像NIST这样的国家组织对其做出客观地说明。”

 Dunkelberger还表示:“绝大多数安全专家都承认,这些草案对用户的密码管理方面的认知做了一次很好的教育,让用户的整体安全性得到提高。我们很高兴看到像NIST这样的国家组织推荐更新并改变不再适用的密码保护。”

用户的反应

SecuredTouch的联合创始人兼首席产品官Ran Shulkind表示“新的密码指南很有意义,人们不得不重新审视以前的密码管理认识误区以及使用特殊字符的结果反而会使安全性降低。在网络威胁日益增加的今天,密码保护比以前都要重要的多,而NIST提出的建议显然给了我们用户很大的帮助。” 

多因子认证(MFA)在某些行业已经开始被采用, Shulkind说:“MFA让安全性提高了一个新的层次,包括你所知道的东西(密码),你所拥有的东西(令牌或短信),或你所指定的东西(指纹或行为)。”

多因子认证是一种我们在许多网银应用中经常使用的一种提升安全的方法,它是在用户名或口令之外额外增加的一种认证措施,因此能够提升用户账户的安全性。如果对某个账户启用了AWS MFA,那么用户在输入该账户用户名和口令之后还需要输入由MFA设备生成的6位数字。这个6位数字可以是通过专门的物理设备生成,也可以是一个虚拟的设备,也就是支持TOTP标准的应用程序。

但Shulkind接着说“MFA的使用虽然增加了安全性,却降低了用户体验,这就是为什么各个安全公司还在努力寻找更加友好的用户安全策略,例如通过行为生物识别的方式既可以提高安全性又有非常好的用户体验。”

Cybric的联合创始人兼首席信息官Mike Kail表示:“行为生物识别技术可以根据用户与设备的物理交互(手指压力,打字速度,手指大小)进行分析和验证,最终完全代替目前的密码保护方式。”

他说:“我认为新建议中的更新是正确的,特别是密码频繁修改的变更。”

Mike Kail希望看到更多的关于密码保护方面的改进策略例如要求Cloud IdP / SSO这样的提供商也加入到监控异常活动中来,他还建议向用户提供密码管理工具。

Exabeam威胁研究总监Barry Shteiman表示:“这是NIST标准的非常积极的变化,黑客使用受损的凭据数据库,并重新验证身份验证机制已经变得非常普遍了,特别是有些信息已经被出售或在线发布。”

密码保护策略

Absolute的全球安全策略师Richard Henderson认为:“这一改变也使得字典密码和彩虹表攻击的威力大幅下降。 在这份草案出来之前,我们在创建和使用密码方面的标准已经非常混乱了。我们可以看到目前很多网站的密码保护政策都各不一样且都非常糟糕,有的甚至仍然存储密码的明文,另外用户的密码设置习惯也导致了广泛的密码重用或弱密码。”

Henderson还认为:“NIST草案中最重要的建议是不断扫描和获取已知的易受攻击和被盗密码列表进行比较研究。除了把密码重用的风险降到最低和避免弱密码之外,还可以提醒企业潜在的密码安全风险。如果像247KangarooKiwi!这样的密码出现在一个受损的列表中,那这很可能是用户使用的密码,可以查看他们的供应商或工作端点设备,并寻找妥协的保护措施。”

Henderson还表示:“NIST的建议是使用完整的ASCII和Unicode的互转,因为这样做可以增加暴力破解的难度。”




原文发布时间为:2017年5月18日
本文作者:xiaohui 
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

目录
相关文章
|
3月前
|
存储 安全 网络安全
网络安全之强密码策略
【8月更文挑战第12天】
172 1
|
3月前
|
存储 安全 数据安全/隐私保护
强密码策略之提高多账户安全性
【8月更文挑战第14天】
66 2
|
5月前
|
SQL 安全 应用服务中间件
技术心得记录:弱口令漏洞详解
技术心得记录:弱口令漏洞详解
|
存储 算法 安全
网络安全实验一 Window本地破解用户口令
网络安全实验一 Window本地破解用户口令
255 0
|
网络安全 数据安全/隐私保护 计算机视觉
《网络安全0-100》口令系统
《网络安全0-100》口令系统
131 0
|
安全 数据安全/隐私保护
锁群管理系统v2.0存在弱口令漏洞
锁群管理系统v2.0存在弱口令漏洞
锁群管理系统v2.0存在弱口令漏洞
|
存储 运维 负载均衡
常见网络安全设备默认口令
常见网络安全设备默认口令
1107 0
|
安全 Ubuntu 程序员
3 种生成高强度密码的方法
在生活中,我们需要用到大量的密码,这些密码最好不要统一,否则万一泄漏的话,所有账号都暴露在风险之下。而在工作中,我们同样也需要用到大量密码,比如批量添加用户,批量设置服务器密码等。
635 0
|
存储 负载均衡 安全
二十多天后密码法正式施行 必备功课做完了吗?
距离2020年1月1日《中华人民共和国密码法》(简称“密码法”)正式施行,还剩28天。密码法都做了哪些规定,与我们个人和企业有什么关系,在新法正式施行前我们应该怎么做好准备?今天我们就来聊一聊密码法相关的那些事。
3689 0
二十多天后密码法正式施行 必备功课做完了吗?
|
安全 数据库 数据安全/隐私保护
黑客组织Anonymous发布9万个军方密码信息
黑客组织Anonymous在网上张贴了多达90000个军方的E-mail地址和密码,当地时间本周一被他们称为Military Meltdown Monday,许多包含敏感军事数据的大型数据库的登录信息被泄露,受影响机构包括海豹突击队,海军陆战队,国土安全部,美国国务院和美国中央司令部。
938 0