密码很短，因此容易破解，但长字过于复杂，易于重复使用。密码设置标准应该是什么？
密码
美国国家标准与技术研究院（NIST）在其《数字身份指南》特刊800-63-3中发布的反向密码政策建议引起了很大争议。虽然它包含许多优秀的，无争议的身份验证信息，但很多人认为这些新建议完全是错误的。
在讨论NIST密码策略之前，让我们回顾一下通常考虑的最佳密码策略建议。
尽可能使用多重身份验证（MFA）；
如果您不能使用MFA，请尽可能使用密码管理器，尤其是当人们为每个安全领域创建唯一的，长的随机密码时；
如果密码管理器不可用，请使用长而简单的密码作为密码；
在所有情况下，请勿使用通用密码（例如“password”或“qwerty”），并且不要在不同的站点使用相同的密码。
这些建议的总体问题是MFA和密码管理器不适用于所有站点和设备。这意味着您必须使用一些密码。如果您的密码管理器选择仅适用于您的某些设备而不适用于其他设备的随机，长而复杂的密码，则表示您需要记住或记录长而复杂的密码。为这个场合做好准备。
为什么NIST改变了密码策略？
所以，你必须设置自己的密码。如果您使用长密码，则有可能会重复使用它们，或者只是在不同的站点进行一些小的更改。如果我们都开始使用长而简单的密码，大多数人可能会使用简单的英文单词。就像我们今天遇到的密码复杂性一样，——复杂密码实际上并不复杂（因为大多数人使用相同的32个字符），我们可能会创建更容易被黑客猜测的密码。我们创建的密码从密码错误（例如“密码”）更改为“ThisIsMyPassword”或类似密码。
NIST认为，重复使用和不太复杂的密码会带来很大的风险，并且他们的指南都可以避免这两种风险。微软研究院首席研究员Cormac Herley说：
我们知道，面对后者（复杂性），人们只会做出简单的替换。包含6个小写字母的20个密码列表，约占所有帐户的3％。一列列出了20个密码，由8个字母组成（复数），约占2％。不用担心GPU和脱机攻击，这些密码甚至无法阻止那些随意的在线猜测攻击。如果您使用简单的，非迭代的salt-to-salt存储密码，我们知道没有任何东西可以保证用户选择的密码可以抵御脱机攻击。如果必须使用16位密码，则某些密码将非常常见，至少对攻击者来说是足够的。防止离线猜测的方法是确保文件不会泄露，使用迭代或内存硬哈希，并且有方法可以监视和修复它们。
有争议的NIST转变
几十年来，已建立的密码策略需要长期，复杂的密码和定期更改的密码。因此，应该讨论密码应该修改多长时间，多长时间以及修改密码的时间，而不是讨论基本原则。
2017年6月发布的NIST密码策略的最终版本推翻了长期存在的全球密码原则。 NIST现在意味着可以使用更短且更简单的密码，除非密码被泄露，否则永远不会更改密码。
NIST的新密码策略基于大多数密码过去泄露的方式。在最初几十年的黑客行为中，大多数密码都是通过密码猜测或破解泄露的（例如，将非透明形式转换为明文形式）。在这种类型的攻击环境中，使用长而复杂的密码是有意义的。
今天，大多数密码都被大量入侵底层密码存储数据库和社交工程所破坏。互联网上有数以亿计的登录/密码组合，任何人都可以轻松访问或购买。这种类型的入侵并不关心密码的长度或复杂性。此外，长度和复杂性要求增加了用户在其他站点上使用相同密码的可能性。一项研究表明，普通用户有6到7个密码，将在100多个网站上重复使用。这是灾难的根本原因。 NIST表示，考虑到不断变化的战场，遵循旧的建议将使您更有可能因这些决定而遭受损失。
这种变化是如此之大，几乎所有的计算机专家都拒绝相信，因此拒绝遵循新的指导方针。更重要的是，计算机安全法规或指导机构（PCI-DSS，HIPAA SOX等）也不例外，没有组织计划更新其密码策略。
关于这个密码辩论
许多人都是NIST的忠实支持者，因为新NIST政策的讨论和发展是一群专注，发人深省的研究人员，他们希望提高计算机安全性。 NIST之前的决定背后的数据通常令人信服。所以没有理由只是因为每个人的直觉都不想接受新的建议，而是反对NIST。每个人都应该以数据为导向。Kevin Mitnick使用强有力的论据证明使用短密码很容易被黑客入侵。从那以后，他提出了更多的证据和案例研究来支持他的观点，认为每个人不仅应该遵循旧的建议，还要确保密码更长（至少12到16个字符）。
不要遵循NIST的新密码建议
深入研究NIST新密码策略决策背后的数据，您会发现这些数据不能支持新的结论。一些数据可以支持新策略，但不像它曾经想象的那样令人信服。最重要的是，NIST的建议是基于一种新的，不断发展的密码攻击方法，其中密码（或其哈希）只能从之前的权限提升攻击中窃取。此类攻击仍然有效，但远程攻击者可以轻松获取您的密码而无需任何事先许可攻击。
例如，向您发送带有恶意链接的邮件，如果您打开此链接，您将泄露您的密码或密码哈希。在某些情况下，只需在预览模式下打开电子邮件就足够了。微软已发布补丁以防止密码泄露，但很少有人使用它或使用任何其他防止密码泄露的防御措施。大多数公司都容易受到此类攻击。
以最新的Adobe Acrobat漏洞为例，该漏洞已于2月25日修复.Adobe Acrobat文档可能包含SMB链接，该链接在用户打开PDF文档时自动启用。此漏洞未触发Acrobat的正常消息警报，要求用户批准读取的URL。与前面讨论的漏洞一样，此漏洞可能会泄露用户的NT哈希值。任何合理的人都应该知道允许UNC路径访问的任何其他形式的文件可能具有传染性并显示用户的密码哈希。
有多少潜在受害者可能会点击电子邮件中的恶意链接？相当多的人。社交工程和网络钓鱼多年来一直是大量恶意数据泄露的原因，这种情况在短期内不太可能发生变化。大多数计算机安全报告表明，70％到90％的恶意数据泄露是由社交工程和网络钓鱼引起的。这种类型的攻击是头号威胁。只要此级别的成功率与通过非特权升级攻击远程窃取密码哈希的能力相结合，就有理由相信除了使用长而复杂的密码之外，没有人可以推荐其他方法来抵御这种风险。
八个字符是不够的
NIST推广的最短可接受密码长度（8个字符）不再适用。随着时间的推移，密码破解程序变得越来越快。直到最近，一个8个字符的复杂密码被认为是非常不安全的，但大多数组织都这样做了。这个假设最近被打破了。开源密码哈希工具HashCat宣布任何8个字符的NT密码哈希都可以在2.5小时内破解成明文。祝8个字符密码保护环境的公司好运。
Mitnick经常成功破解12到16个字符的超复杂密码，而且他没有世界上最快的密码破解设备。那么密码有多长时间了？
答案是尽可能长的，但实际情况是，对于大多数企业网络而言，包含您的财务或个人信息的仅限密码的网站无法得到保护。使用密码，但不要将其用于您真正需要保护或关注的内容。使用MFA保护对您真正有价值的任何东西，至少在我们找到更好，更强大，更流畅的身份验证方法之前。
你什么时候更改密码？
NIST认为，只有在您认为自己的密码受到损害时才需要更改密码，而不是每隔45到90天定期更改密码，例如过去的最佳做法。这个建议的问题是您可能不知道您的密码是否已被泄露或是否已被泄露。
如果您一直在使用密码管理器，则可以检查用户实时创建和使用的每个密码，处理已知的密码泄漏并发现密码泄漏。
不要完全忽视NIST
NIST的密码政策，但其身份指南是可靠的。他们鼓励管理员和用户从简单的登录密码转向更强大的身份验证方法。他们不鼓励将SMS信息用作强身份验证，并建议采用更复杂的方法。他们还为不同的场景推荐不同的身份验证方法，这是有道理的。

• 上一篇: 蓝盟IT外包，元宇宙：四梁八柱是什么
  下一篇: SD-WAN：组织需要权衡的10个基本考虑因素

• 分享到：