NIST密碼安全指南:如果您使用密碼管理器,您應該處於良好狀態
美國國家標準與技術研究院(NIST)是美國商務部的一個聯邦機構,這意味著雖然它沒有任何監管職能,但它僱用了大量應該知道他們的東西的人。再談。多年來,NIST一直在討論安全在線身份驗證和密碼問題。正如組織的名字所暗示的那樣,它的目標是使技術世界標準化,雖然它並沒有完全統一每個人的看法,但它的指導方針在一定程度上影響了我們對什麼是什麼和什麼不是好密碼的想法。
我們是否應該繼續聽取有關在線身份驗證的所有內容?
Table of Contents
NIST的密碼指南並不完美
您最近面臨的挑戰是創建許多人所說的強密碼。我們談論的是一個包含大寫和小寫字母,數字和特殊字符的長(超過12個字符)密碼。我們一次又一次地討論了這可能會有多麼令人沮喪,特別是當密碼要求不夠清晰時。我們認為我們甚至不需要提到記住複雜的字母,數字和特殊字符的問題。
然而,在2003年,NIST表示這是創建密碼的唯一安全方式,供應商開始試圖強迫人們關注密碼,這種情況一直持續到今天。沒有標準。每個開發人員都會自己決定複雜用戶的密碼是多少,但可以說幾乎每個人都有一些要求。結果?嗯,整個推動更複雜的密碼已經使管理它們的任務幾乎不可能。
用戶一直在努力解決這些需求。有些人只是在“密碼”的末尾添加了“123!@”,這完全違背了要求數字和特殊字符的目的。其他人將它們寫在便利貼上,將它們粘在監視器上,最終丟失。但是,對於大多數人來說 ,解決方案很明確 - 創建一個或兩個相當複雜的密碼並將其用於多個帳戶。
總而言之,NIST舊密碼指南帶來的不便是巨大的,並且其好處值得懷疑。這就是為什麼,大約一年半以前,NIST用新的替換它們。
NIST改變了主意
我們只能想像整件事情有點令人尷尬。美國國家標準與技術研究院2003年指南的作者之一比爾·伯爾(Bill Burr)甚至為讓人們解決所有這些挫敗感而道歉 。問題是,他的舊建議顯然是適得其反,必須採取一些措施。
2017年夏天,不同的專家團隊發布了NIST的新密碼指南。該研究所現在不太重視複雜性,而是專注於長度. 根據該文件(由於美國政府關閉,在撰寫本文時資源不可用,但您可以在此處找到存檔版本),“ 密碼長度已被發現是表徵密碼強度的主要因素。 ”它然後聲明雖然引入額外的字符集會使密碼更複雜,因此理論上更難猜測,用戶對此類需求的反應(即“Password123!@”)的可預測性會降低其對整體密碼安全性的影響。
NIST目前對供應商的建議是設置一個最小密碼長度要求,該要求應基於威脅模型。網站和應用程序還應將其最大長度限制設置為不少於64個符號,並且它們應允許密碼中的所有類型的字符(包括空格)。
該研究所現在試圖說服他們避免不良密碼,而不是試圖鼓勵用戶創建好的密碼(顯然最後一次無法正常工作)。 NIST的文件說供應商應該禁止容易猜測的詞典單詞,甚至建議他們應該檢查用戶試圖創建的密碼,以防止在數據洩露期間洩露的密碼數據庫。在NIST發布其指南後,著名的HaveIBeenPwned服務的運營商Troy Hunt建立了一個免費工具,可以對數以億計的暴露密碼執行此類檢查。
NIST最新密碼指南中較有爭議的一點是,應該徹底廢除密碼過期策略。該研究所的專家認為,如果沒有理由相信密碼以任何方式受到損害,那麼即使它已有幾年的歷史,也沒有理由改變它。不是每個人都同意這種觀點,但同樣,它背後的邏輯非常明確:用戶不願意每隔幾個月記住一個全新的密碼(理想情況下,這個密碼很長很複雜),這就是為什麼他們只是將“1”或“2”放在舊的末尾。如果雇主和供應商決定留意這一特定的建議,他們將使密碼管理只是一點點苦差事。這給我們帶來了一個非常重要的結論。
即使使用NIST的新指南,用戶仍然會遇到困難
新規則使安全管理密碼的繁瑣任務變得更加容易。但是,它們並不容易,而且這是一個相當重要的事情。
關於創建長密碼而不是更短但更複雜的密碼的建議源於XKCD的一個相當著名的webcomic 。你不能爭辯說它有很大的意義:數學說“correcthorsebatterystaple”具有比“Tr0ub4dor&3”更高的熵,毫無疑問它更容易記住。問題是,如今,你有幾十個,如果不是數百個在線賬戶,如果你想避免密碼重用, 那麼你需要記住幾十個,甚至幾百個隨機的四字組合。對於大多數人來說,這是一個很高的要求。
事實上,公平地說,沒有額外的幫助,管理大量密碼短語或多或少與管理大量密碼一樣難. 那麼唯一合理的解決方案就是密碼管理器。
我們自己的Cyclonis密碼管理器可能正是您所需要的。它可以在一個中央保管庫中存儲和加密您的登錄憑據以及其他敏感信息,並且只需一個主密碼即可隨時使用它。使用內置密碼生成器,您將能夠在幾秒鐘內創建長而復雜的密碼。 Cyclonis密碼管理器允許您為所有帳戶使用強大,唯一的密碼,但最重要的是,它可以幫助您實現,而不會造成任何不便。要了解有關其工作原理的更多信息,請單擊此處 。
