2018年04月19日
密碼最佳實踐是眾所周知的,但它們真的是最好的嗎?在過去的幾十年中,大多數(shù)公司已經實施了他們認為是基本密碼標準的內容。這些通常包括:
確保由數(shù)字,字母(大寫和小寫)字符以及特殊符號和類似字符組成的復雜密碼
強制用戶定期更改密碼
要求用戶先前未使用的新密碼
這些準則已被廣泛接受,因此我們看到支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS)中的要求規(guī)定密碼應每90天更換一次。
但是,像所有成熟的技術政策一樣,重要的是不時退縮,并評估該政策在不斷變化的環(huán)境中是否有意義。這正是美國國家標準與技術研究院(NIST)為密碼準則所做的。我們應該忘記幾十年來我們已經習以為常的最佳實踐,并將新常態(tài)應用于密碼管理實踐。讓我們來看看一些常用的密碼安全實踐,并與NIST的更新建議進行比較。
情結不一定強
我們似乎永遠不得不選擇包含數(shù)字字符,大小寫字母和特殊字符變體的密碼,以使密碼復雜化。但是,NIST已經聲明這不會導致更強的密碼,并且這種做法應該被替代為對密碼選擇更加動態(tài)的支持。 NIST建議組織通過檢查選擇的密碼來防止已知泄露的泄露數(shù)據(jù)和已知的弱密碼,從而支持用戶選擇更好的密碼。很難說這個練習是不可能的,因為互聯(lián)網上有大量違反的數(shù)據(jù)。諸如HashCat和類似的密碼測試工具等工具的可用性使得密碼選擇的質量檢查相當容易。
越長越好,并允許剪切和粘貼
我們都遇到過例子,你的密碼長度不能超過8或10個字符。這可以在全球一些較大的組織中看到,毫無疑問,因為遺留系統(tǒng)的限制。NIST對密碼長度的建議很明確。它表明應該允許至少64個字符的密碼。此外,應確保用戶可以粘貼到密碼數(shù)據(jù)輸入字段中,鼓勵和支持使用密碼管理器。奇怪的是,一些網站目前阻止用戶將他們的密碼粘貼到表單字段中,從而破壞了密碼管理器的自動使用。
密碼提示
恢復忘記密碼的流行趨勢是允許用戶重置密碼,如果他們成功回答提示問題,如他們的第一輛汽車或他們最喜歡的老師的問題。提示問題的質量通??赡軙钊藵M意。不良的水平加上現(xiàn)在在社交媒體上分享的所有個人數(shù)據(jù)削弱了密碼提示的使用。NIST建議我們停止使用提示問題作為幫助用戶恢復帳戶訪問的手段。
定期更改
除了NIST的建議之外,國內知名黑客安全組織東方聯(lián)盟研究人員也曾表示:不建議常改密碼,即在黑客擁有您不知情的情況下獲得信息的情況下,定期更改您的密碼。反對這種做法的論點在于選擇密碼序列或模式的人性特征,以減輕記憶密碼的工作量。因此,用戶傾向于在當前密碼末尾添加數(shù)字或其他增量字符,并在每次被迫更改密碼時增加該字符數(shù)。這使得密碼較弱,東方聯(lián)盟不推薦這種做法。
執(zhí)行密碼測試
如果您不能在用戶生成或更改其密碼時執(zhí)行內嵌密碼檢查,請務必提供非常規(guī)密碼強度檢查。運行Hashcat等工具并識別弱密碼,并為用戶更改所有弱密碼。停止強制定期更改密碼,當用戶懷疑自己的密碼不再是秘密時,應該更改密碼。在正常情況下,密碼不應再經常更改。
江蘇國駿信息科技有限公司在信息網絡安全、運維平臺建設、動漫設計、軟件研發(fā)、數(shù)據(jù)中心領域具備十多年的行業(yè)沉淀。公司遵循信息安全整體性的IATF模型,從“人員素養(yǎng)”、“制度流程”、“技術產品”三個視角提供全面、可信的方案,業(yè)務涵蓋咨詢、評估、規(guī)劃、管控、建設、培訓等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務商。