|
一个技术交流群,非诚勿扰!谢绝卖课、病毒式加人入群! |
美国国家标准与技术研究所 (NIST) 发布了密码安全更新指南,标志着传统密码实践的重大转变。NIST 特别出版物 800-63B 中概述的这些新建议旨在增强网络安全并改善用户体验。
最显著的变化之一是 NIST 对密码复杂性的立场。与长期做法相反,NIST 不再建议强制执行任意密码复杂性要求,例如混合大小写字母、数字和特殊字符。相反,重点已转移到密码长度作为密码强度的主要因素。
NIST 网络安全专家 Paul Turner 博士表示:“较长的密码通常更安全,也更容易被用户记住。我们正在摒弃通常会导致可预测模式的复杂规则,转而鼓励使用独特、较长的密码。”
NIST 现在建议密码长度至少为 8 个字符,并且更倾向于更长的密码。建议组织允许密码长度至少为 64 个字符以容纳密码短语。
另一个重大变化是取消了强制定期更改密码的规定。NIST 认为频繁重置密码通常会导致密码强度降低,并鼓励用户进行微小的、可预测的更改。相反,只有在有证据表明密码被盗用时才应更改密码。
Turner 解释道:“强迫用户定期更改密码并不能提高安全性,实际上可能适得其反。监控被盗用的凭证并仅在必要时要求更改密码才是更有效的做法。”
新指南还强调了根据常用或泄露密码列表检查密码的重要性。NIST 建议组织维护最新的弱密码黑名单,并阻止用户选择此列表中的任何密码。
此外,NIST 建议不要使用密码提示或基于知识的身份验证问题,因为这些问题通常很容易被猜到或通过社会工程学发现。
对于存储密码,NIST 建议使用加盐哈希算法,该算法的工作因子使离线攻击的计算成本高昂。即使数据库受到攻击,这种方法也有助于保护存储的密码。
其他需遵守的要求:
-
验证者和 CSP 应 要求密码长度至少为 8 个字符,并且 应 要求密码长度至少为 15 个字符。
-
验证器和 CSP 应 允许最大密码长度至少为 64 个字符。
-
验证器和 CSP 应该 接受所有打印 ASCII [RFC20] 字符和密码中的空格字符。
-
验证器和 CSP 应 接受密码中的 Unicode [ISO/ISC 10646] 字符。评估密码长度时,每个 Unicode 代码点 应 计为一个字符。
-
验证者和 CSP 不得 对密码施加其他组成规则(例如,要求混合不同类型的字符)。
-
验证者和 CSP 不得 要求用户定期更改密码。但是, 如果有证据表明验证者被盗用,则验证者应强制更改密码。
-
验证者和 CSP 不得 允许订阅者存储未经身份验证的索赔人可访问的提示。
-
验证者和 CSP 不得 提示订阅者在选择密码时使用基于知识的身份验证 (KBA)(例如“您的第一只宠物的名字是什么?”)或安全问题。
-
验证者 应当 验证整个提交的密码(即,不要截断它)。
该指南还强调了多因素身份验证(MFA) 作为额外安全层的重要性。虽然不是直接的密码要求,但 NIST 强烈建议尽可能使用 MFA。
这些新建议得到了网络安全社区许多人的欢迎。密码管理公司 SecurePass 的首席技术官 Sarah Chen 表示:“NIST 的最新指南与安全研究人员多年来一直倡导的理念相一致。它们在安全性和可用性之间取得了良好的平衡。”
随着组织实施这些新准则,用户可以预期看到各种平台和服务的密码策略发生变化。虽然所有系统可能需要时间来适应,但专家认为从长远来看,这些变化将带来更有效的密码安全。
NIST 强调,这些指南不仅适用于联邦机构,也是所有关注网络安全的组织的最佳实践。
随着网络威胁不断演变,及时了解最新的安全建议对于保护敏感信息和系统仍然至关重要。
原文始发于微信公众号(祺印说信安):NIST 建议制定密码安全新规则
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论