下述观点可能会颠覆关于密码卫生最佳实践的共同信念。
无可否认,在互联网安全问题日益明显的今天,人们越来越期盼一种无需密码、安全便捷的方式。甚至安全专家长期以来也一直坚持“消灭密码”的观点,他们对这种世界上最古老的身份验证技术所存在的种种问题感到头疼。但事实上,密码不仅是有效的,而且仍然是企业设置中的主要登录凭据。数据显示,全球大约70%的组织仍在依赖“以密码为中心”的身份验证方法。
虽然组织绝对应该尝试提高多因素身份验证 (MFA) 和无密码身份验证器在其系统中的渗透率,但与此同时,他们也应该尽其所能提高现有凭证系统的安全性。值得注意的一件事是,过去几年的许多新研究和指导方案已经修改了行业关于密码最佳实践的共识。
例如,美国国家标准与技术局(NIST)《数字身份指南》(特别出版物 800-63B)的最新版本在多个方面挑战了有关密码卫生的传统认知。新版指南修改了密码安全建议,不再要求定期修改密码。原因是多项研究显示,频繁的更改密码没有预想的效果,事与愿违,达不到保护密码安全的目的。NIST 的最新推荐是在用户想要修改的时候去修改密码,或者是有入侵的迹象时应立即修改密码。
NIST 也不再要求密码混合大写字母、字符和数字,因为研究显示此类的要求并不能带来强密码。NIST 认为,如果用户想要使用绘文字作为密码,那么就应该允许用户使用。NIST认为最重要的是储存的密码必须盐化哈希MAC处理。
以下是网络安全领导者应该知道的有关密码的一些最新的非常规认知:
1. 密码并非一无是处
密码和密码策略一直存在可用性和安全性的争议,虽然非议不断,但它们仍然是企业内外的主要身份验证方式,原因就在于它们非常易于使用。
著名安全专家兼数据泄露自查网站Have I Being Pwned的创始人Troy Hunt解释称,
“我们需要更多地赞扬传统意义上的密码做得非常好,而想要让密码比其他任何事物都做得更好的关键在于,每个人都直到如何正确地使用它们。”
一个适当得体的密码总比“无密码”要好。升级到完全无密码的身份验证在很长一段时间内可能都得不到许多系统的认可——鉴于成本、复杂性和可用性等诸多因素。尽管如此,组织仍然应该尽可能争取多因素身份验证(MFA)在系统内的采用率。据Microsoft 研究人员称,它提供的保护要比单独的密码多99.9%。
2. 复杂性规则没有你想象的那么重要
传统的观点是,必须使用一定数量的大写、小写、数字和符号等的组合规则来控制密码的复杂性。但最近的研究表明,这样做的效果甚微。原因不仅在于密码随机化(也称为密码熵)对破解机制无效,这种密码对于破解密码工具来说,只需要增加一些代码即可破解;而且人们会忘记这种复杂的随机字符串,并最终采用非常好预测的组合(如p4$$w0rd!)将系统置于危险之中。如果是这样的话,对于任何人而言,根据这种规则的密码强度几乎与弱密码相差无几,收效甚微。
3. 筛选新密码是必须的
根据NIST《数字身份指南》(特别出版物 800-63B)所言,最好的方法不在于使用复杂性规则,而是在允许它们过关之前在几个重要方面筛选新密码。传统的观点仍然认为,对于包含字典单词、重复或连续字符以及上下文特定的单词(例如所登录服务名称或用户名的派生词)的新密码和重置密码都应该列入黑名单。但在此之上,最新的最佳实践还利用了可以将潜在的新密码与先前泄露的凭据的已知语料库进行比较的机制,利用诸如Have I Being Pwned之类的数据库来执行此操作。
4. 放弃定期重置
过去,定期更新密码是企业组织可以想到用于应对暗网上被盗密码浪潮的最佳方式。但如今,这种共识已经发生了变化。如果没有理由怀疑密码被盗,那么要求用户每6个月更改一次密码是不必要的麻烦事。同时,如果有迹象表明凭据已经在某人的密码转储中,那么最好立即更改它。
因此,2021年良好的密码卫生不仅需要在设置新凭据之前检查被盗密码语料库,还应该包括对现有密码的定期检查。当凭据被标记时,应鼓励或要求用户立即更改其密码。
5. 放宽密码长度限制
传统观点和NIST指南都表示,密码的绝对最小长度应该是八个字符。但是NIST进一步指出,管理员应该尝试允许用户“在合理范围内设置尽可能长的密码”。这是因为越来越多的研究表明,虽然密码熵并非应对破解的绝佳策略,但是超长的密码显然更有效。
不幸的是,许多登录系统都对最大密码长度设置了上限。很长一段时间内,Windows 不允许密码超过14个字符。但在去年,情况发生了变化。如今,微软已经推出了新的安全设置,以鼓励需要更长密码的密码策略的流行,允许管理员放宽长度限制,以便用户最多可以使用 128 个字符来制作更长的密码短语。
6. 让用户剪切和粘贴密码
NIST最新指南不要求使用密码管理器,但其他NIST文档确实鼓励使用这些工具,并建议组织设计其登录流程以方便使用密码管理器。关键推动因素之一是允许登录输入使用粘贴功能,以便用户可以轻松地从他们的密码库中剪切和粘贴凭据。
7. 停止使用安全问题进行重置
验证自助服务密码重置和密码故障排除最普遍的机制之一,就是关于个人信息(例如母亲的姓氏或父亲的名字等)的安全问题列表。
NIST已经非常明确地指出了这些标识符的脆弱性,要知道暗网上可是充斥着从以往的数据泄露事件中窃取的此类个人信息数据。组织应该转为使用带外数据(out-of-band data)等方式。
所谓带外数据,有时也称为加速数据(expedited data), 是指连接双方中的一方发生重要事情,想要迅速地通知对方。这种通知在已经排队等待发送的任何“普通”(有时称为“带内”)数据之前发送。带外数据设计为比普通数据有更高的优先级。