美国国家标准与技术研究所 (NIST) 是一家为政府机构、标准组织和私营公司制定技术标准的联邦机构,该机构已提议禁止一些最令人烦恼和荒谬的密码要求。其中最主要的是:强制重置、要求或限制使用某些字符以及使用安全问题。
选择强密码并妥善保存是良好网络安全方案中最具挑战性的部分之一。更具挑战性的是遵守雇主、联邦机构和在线服务提供商制定的密码规则。这些规则表面上是为了加强安全卫生,但实际上却破坏了安全卫生。然而,匿名的规则制定者还是强加了这些要求。
请停止这种疯狂行为!
上周,NIST 发布了SP 800-63-4的第二份公开草案,这是其数字身份指南的最新版本。该文件大约有 35,000 个字,充斥着行话和官僚术语,几乎不可能从头到尾读完,也很难完全理解。它既规定了技术要求,也建议了最佳实践,以确定用于在线验证数字身份的方法的有效性。与联邦政府在线互动的组织必须遵守规定。
专门讨论密码的部分包含大量急需的常识性做法,这些做法挑战了常见的政策。例如:新规则禁止要求最终用户定期更改密码。这项要求是几十年前提出的,当时人们对密码安全性知之甚少,人们通常会选择常用名称、字典中的单词和其他容易猜到的秘密。
自那时起,大多数服务都要求使用由随机生成的字符或短语组成的强密码。如果选择得当,定期更改密码(通常每隔一到三个月)的要求实际上会降低安全性,因为增加的负担会激励人们使用更易于设置和记住的弱密码。
另一个弊大于利的要求是必须使用某些字符,例如至少一个数字、一个特殊字符以及一个大写字母和一个小写字母。当密码足够长且随机时,要求或限制使用某些字符没有任何好处。而且,密码组合规则实际上可能会导致人们选择较弱的密码。
最新的 NIST 指南指出:
- 验证者和 CSP 不得对密码和
- 验证者和 CSP 不得要求用户定期更改密码。但是,如果有证据表明验证者被盗用,则验证者应强制更改密码。
(“验证者”是官僚机构的说法,指通过核实持有人的身份验证凭证来验证账户持有人身份的实体。“CSP”是凭证服务提供商的缩写,是向账户持有人分配或注册身份验证器的受信任实体。)
在之前的指南版本中,部分规则使用了“不应”一词,这意味着该做法不被推荐为最佳实践。相比之下,“不应”则意味着,组织必须禁止该做法才能合规。
最新文件还包含其他几项常识性做法,包括:
- 验证者和 CSP应要求密码长度至少为 8 个字符,并且应当要求密码长度至少为 15 个字符。
- 验证器和 CSP应允许最大密码长度至少为 64 个字符。
- 验证器和 CSP应该接受所有打印 ASCII [RFC20]字符和密码中的空格字符。
- 验证器和 CSP应接受密码中的 Unicode [ISO/ISC 10646]字符。评估密码长度时,每个 Unicode 代码点应计为一个字符。
- 验证者和 CSP不得对密码施加其他组成规则(例如,要求混合不同类型的字符)。
- 验证者和 CSP不得要求用户定期更改密码。但是,如果有证据表明验证者被盗用,则验证者应强制更改密码。
- 验证者和 CSP不得允许订阅者存储未经身份验证的索赔人可访问的提示。
- 验证者和 CSP不得提示订阅者在选择密码时使用基于知识的身份验证 (KBA)(例如“您的第一只宠物的名字是什么?”)或安全问题。
- 验证者应当验证整个提交的密码(即,不要截断它)。
微软称强制更改密码的做法“过时且过时”多年来,批评者们一直在谴责许多普遍执行的密码规则的愚蠢和危害。然而,银行、在线服务和政府机构基本上还是坚持执行这些规则。如果新指南成为最终版本,它们并不具有普遍约束力,但它们可以提供有说服力的论点,以支持废除这些荒谬的规则。
原创文章,作者:点点,如若转载,请注明出处:https://www.dian8dian.com/nist-ti-yi-jin-zhi-yi-xie-zui-huang-miu-de-mi-ma-gui-ze