最近发布了国家标准和技术研究所(NIST)的数字身份指南的草案,已由供应商批准。准则草案修改密码安全建议并更改许多标准和最佳实践安全专业人员在构成其公司的政策时使用。
新的框架建议:
- 删除定期密码更改要求
密码的创始人Mike Wilson表示,已经有多项研究表明需要频繁的密码更改,以实际上对良好的密码安全性进行讨价还价。NIST表示,建议此指南,因为当用户想要更改时,应更改密码,或者如果有违规指示。
- 抛开算法的复杂性
没有更多的任意密码复杂性要求,需要大写字母,符号和数字的混合物。与频繁的密码更改一样,它已被反复显示,这些类型的限制通常会导致密码更糟糕,Wilson添加。nist说,如果用户想要一个只是表情符号的密码,他们应该被允许。值得注意的是存储要求非常重要。腌制,散列,MAC,即如果通过对手获得密码文件,则离线攻击非常难以完成。
- 要求根据常用密码或被破解的密码列表筛选新密码
他说,颠倒用户密码强度的最佳方法之一是将它们屏蔽字典密码列表和已知受损密码。NIST添加了字典单词,用户名,重复或顺序模式所有应拒绝。
"All three of these recommendations are things we have been advising for some time now and there are now password strength meters that screen for compromised credentials, not just commonly used passwords,” Wilson said. "While it wasn’t explicitly mentioned in the new NIST framework, we contend that another important security practice is periodically checking your user credentials against a list of known compromised credentials."
NIST的Paul Grassi是该报告的作者之一,指出,许多上述指南现在只有强烈的建议,并非强制性。公众评论期于5月1日结束,现在草案通过内部审查流程进行。预计将于夏季早期完成。
“当技术,文化和用户偏好允许这些要求更广泛地接受,我们期待在不久的将来期待一天。也就是说,我们在空间中审查了很多研究,并确定了构成和到期对安全性很少,而绝对损害用户体验。糟糕的用户体验是我们思想中的脆弱性,“他说。“我们需要技术支持这一点(并非所有密码商店),所以我们不想创建代理商因技术限制而没有机会的要求。”
用户通常通过代替AlphaS的特殊字符来找到一种方法,如组成规则所示的限制。因为坏人已经知道了所有的技巧,所以,如果没有,这是非常少的,如果没有,那么对密码的真正熵表示。“每个人都知道感叹号是一个1,或者是一个密码的最后一个字符。$是s或5.如果我们使用这些众所周知的技巧,我们并没有欺骗任何对手。我们只是愚弄将密码存储到思考用户的数据库。“
在对密码的新要求方面,他说NIST很高兴引入密码存储要求,这使得离线攻击更加困难。他从根本上说,新的修订是一个更好的工作识别密码有一个有效的角色播放,如果做得右。“但我们提供了一系列新选项,使机构能够利用用户可能已经拥有的工具,例如智能手机或身份验证应用程序或安全密钥。这使得机构通过不必发出物理设备来节省资金,而是通过接受已拥有的强大验证者来提高其安全姿势。“
Nok Nok Labs的首席执行官Phil Dunkelberger表示,用户名和密码范式越过它的到期日期。增加密码复杂性要求并要求频繁的复位仅增加边际安全性,同时显着降低可用性。
菲尔·邓克尔伯格,Nok Nok Labs的首席执行官
“大多数安全专业人士将承认,虽然此类政策在纸上看起来很好看,但他们对最终用户的认知负荷,通过在跨地网站和其他措施中重复密码,以应对整体安全性的措施。我们很高兴看到NIST这样的国家组织推荐更新并改为不再有效的范例,“他说。
用户反应
SecuredTouch的联合创始人兼首席产品官Ran Shulkind说,新的密码指南很有意义。“人们需要管理的密码数量和‘特殊字符’最终使事情变得不那么安全。然而,密码实际上变得比以前重要得多了。威胁持续增加,用户厌倦了输入用户名、密码和其他识别代码——不管结构如何。”
多因素认证(MFA)在某些行业成为授权,并在其他行业中自愿采用。它增加了另一层安全性,包括你知道的东西(密码),你有什么东西(令牌或短信),或者你是某种东西(指纹或行为),Shulkind说。
“归根结底,这一切都是为了平衡安全和用户体验。虽然MFA确实增强了安全性,但它会阻止用户使用应用程序或执行事务。这就是为什么组织机构正在寻找更人性化的组件,比如行为生物识别技术,以减少摩擦,允许更顺畅的设备交互和更高的风险交易,”他说。
Cybric联合创始人兼首席信息官迈克·凯尔(Mike Kail)表示,行为生物识别技术根据用户与设备的物理互动(手指压力、打字速度、手指大小)分析和认证,最终将彻底淘汰对密码的需求。
他说:“我认为新框架的更新是朝着正确的战术方向迈出的一步,特别是密码轮换更改要求。”
他希望了解更多的战略方法,例如需要云IDP / SSO提供者和监控异常活动。他还提到为用户提供密码管理工具。
巴里·什特曼,威胁研究主任exabeam他说,这是NIST标准的一个非常积极的变化。“凭据填塞(使用被破解的凭据数据库,并对身份验证机制重放它们)已经变得非常普遍,特别是当被破解的信息被出售或有时在网上发布时。”
Absolute全球安全策略师理查德•亨德森(Richard Henderson)认为,这一变化也使得字典攻击和彩虹攻击在测试证书方面的作用降低。“遗憾的是,多年来,在创建和使用密码方面,我们经历了越来越多令人困惑和矛盾的建议,这导致了普通互联网用户的混乱和混淆。”
“When you add to this the simple notion that there are still a lot of sites out there with terrible password policies or even worse, still storing passwords in plaintext, are we really surprised that people’s habits lead to widespread password reuse or weak passwords?,” Henderson pondered.
他说,最重要的建议是不断扫描和吸收已知的易受攻击和被盗密码列表,以进行比较。“除了可以最大限度地降低重复使用密码和创建较弱的密码的风险,它还可以提醒公司有用户可能被破解。”如果密码是247KangarooKiwi!如果你的用户使用的密码出现在某个被泄露的列表中,这将是一个非常大的危险信号,需要查看他们的公司或工作终端设备,寻找被泄露的证据。”
他说,NIST的建议也很好,因为它增加了使用暴牙迫使尝试破坏攻击者的钥匙空间。
荷马的安全研究经理特洛伊·吉尔,记得经常听到密码死亡。“过去十年来的新认证技术已经走了很长的路。然而,与实现密码的大多数服务的在线服务中的大规模激增导致有点密码临界质量,“他说。
他指出,这些建议也在很大程度上与英国NCSC去年提出的指导方针一致。
“在一个完美的世界里,要求每隔几个月更换一次密码将是一个很棒的主意。但作为人类,我们的“湿件”有内在的局限性,这可能会阻止我们大多数人做我们知道最安全的事情。相反,我们用满足最低要求、最容易管理的东西代替。”“让我们面对现实吧,如今人们需要记住的独特密码数量惊人,其中大多数需要频繁修改,也需要记住。
他说,这种不断流失不可避免地导致用户实现常见,可预测的密码,在不安全的位置记录它们,在多个在线帐户中重用密码,并仅使用先前密码的略有变化。他同意30/60/90天密码更改是适得其反的。
他希望看到一个更“事件驱动”方法,以便在需要密码重置时,而不是例行计划。例如,如果组织在所有泄露泄露时,那么在电路板上需要密码更改将是合适的。保证密码更改的其他事件将包括从未识别设备或意外位置登录的特定用户。“投资能够更轻松地检测这些类型的事件可以建立更强大的安全姿势,”他说。
吉尔说,确实,对算法复杂度要求更高的尝试通常会得到非常可预测的结果。就像NIST在其指导原则中使用的密码“password”演变为“password1”和“password1!”的例子。
“虽然最后一次迭代在技术上可能更复杂,但它本质上和最初的迭代一样脆弱,因为它既被广泛使用,又在计算上可以预测。我还希望‘密码’一词能被‘密码短语’代替,因为冗长的密码短语更容易记住,也更难以在暴力攻击中破解,”他说。
他说,使用普通密码和受损密码的列表可以很简单,可以实现明显的改进。组织还应重点关注监控Web位置的一些努力,其中包含任何用户/客户的列表可能会出现破坏密码。
Gemalto的产品管理主任Eric Avigdor指出,密码一直是一种弱安全工具,传统智慧一直是消费者应该创建他们经常更新的复杂密码。
“现实是,无论他们如何变化或它们是多么困难,人们通常只有一个或两个密码的变体都会疲软。男人在中间或者浏览器黑客的人可以拍摄你的密码,即使它是非常冗长和复杂的 - IT管理员可以看到您的密码,您的银行可以看到您的密码,“他说。
他表示,指导方针认识到解决密码问题的方法是接受密码弱并在其他互补因素中添加了可靠的认证因素,无论是移动还是硬件OTP令牌以及基于PKI的USB令牌或智能卡。
Avigdor提到了更多依赖于使用智能卡的PKI令牌的使用。除了智能卡的所有者之外,这涉及进入从未向任何人透露的引脚。
这个故事,“NIST密码草案的供应商批准”最初发布CSO 。