本期为“甲方”2024第二十九期,统计了10.12-10.18期间的社群动态、甲方话题等。
目前,诸子云认证会员已超过3000人,包括上海、北京、深圳、杭州、武汉、厦门、西南、广州、南京、青岛、苏州、天津、佛山、济南、珠海、台州共16个分会。在10.12-10.18期间,各地分会共计新增了3位甲方专家。
Q1:大家怎么看,nist取消密码定期修改的要求,对于一直执行的定期密码修改和混合字符密码,对于密码安全来说真的效果好吗?
“nist取消密码定期修改的要求,对于密码复杂度要求他们也认为反而影响可用性和可记忆性,根据泄露密码分析认为混合字符密码效果也不太好,长度是密码安全的主要因素,定期修改密码一直都是标准要求,真的有效吗?”
“有啥用,还不是到期就把原来密码改个1、2位就当新密码了。”
“反着来看,111111111111(12个1)这样的密码爆破要多久?是否安全?”
“这种也不符合nist的安全标准,属于是有规律的,nist标准里是建议超长的,并且只有自己知道的规律。”
“看要求在什么场景,网银等银行涉及重要资产的系统是必须的。”
“超长的,这就让很不惑之年的老年人挠头了。”
“比如自己5个家人的姓名拼接。”
“银行,一个人借记卡+信用卡,怎么也有个5、6张,然后还分APP密码、取款密码、查询密码。”
“确实是个痛点,而且现在安全系统也不能获知用户、员工的实际密码,要真的用有规律的密码,完全无法发现。”
“年轻人刚上车都分不清这么多密码,有一定生活经验的才分得清。”
“一套系统有账密+OTP+环境监测,密码可以不用那么复杂。”
“有些银行不让用身份证或者生日特征来做密码的。”
“麻烦事儿就在于不是所有的认证入口都能做到这样,标准制定到普及需要时间。”
“有些兄弟认为,定期修改密码可以对抗已泄露的密码,从而保障安全,我觉得有点道理但不多。主要是定期修改那么复杂的密码真的记不住,那就是在老密码上修修补补。”
“如果没登录过陌生设备,为啥老是让人改密码,其实我一直有这个疑问,但是看大家都是这么搞得,不搞好像不合群。”
“定期修改密码不是个好策略,谷歌那种就用得很舒服,也就换手机换电脑的时候要验证一下,后面都不用怎么管了。”
“互联网用户大约86%的密码可以归结为十三种常用词典模式的弱密码,再加上“定期修改”的规则可以覆盖到大约98%。”
“因为以前在应用层存在通过密码字典实现暴力破解密码的入侵方式,而现在应用层密码不再是单一而是多因素,暴力破解的环境发生了变化,实际上认证已经十分立体和成熟。”
“很多专家推荐用密码管理器password manager记住超强密码,最后能一键登录不用自己输入,即使这样,也要经常改密码,因为不确定这么强的密码是否也被拖库。其实,如果超强密码有效,是不需要MFA的,就是因为密码经常被破解,被盗,才上MFA。”
“NIST标准我记得本身也推荐了MFA,并且不建议使用手机短信形式的MFA。”
“是的,MFA是访问控制最有效的一环。因为手机形式是有从APP上进行匿名获取的漏洞 中间有好多地方可能泄露,短信渠道商、基站、手机本身。”
“我一直认为,MFA是每个系统和网站都应该有东西,但是不知道为啥,谷歌MFA总是不起作用。”
“《2023 弱密码研究报告》由 Specops 软件公司发布,该公司是 Outpost24 集团旗下的密码管理和认证解决方案提供商。报告主要内容如下:
1. 执行摘要
密码安全的重要性:不良的密码实践使企业面临风险,数据泄露威胁着全球各类组织,强调了加强密码安全对保护业务数据和数字生态系统的重要性。
研究方法及亮点
研究通过分析 8 亿个泄露密码(来自 Specops 泄露密码保护列表中 30 多亿个独特泄露密码的子集)以及团队蜜罐网络实时攻击中的密码进行。
亮点包括 83% 的泄露密码符合监管密码标准的长度和复杂性要求;88% 用于实时攻击 RDP 端口的密码为 12 个字符或更少;用于跨多个端口攻击网络的密码中最常见的基础术语仍然是 “password”。
2. 密码保护的案例
不良实践的风险:大多数人不遵循密码最佳实践,如 41% 的美国人仅依靠记忆跟踪数字密码,近一半使用在线密码管理器的人将个人和工作密码一起存储。即使有用户培训,密码重用等风险行为在个人和企业中仍然常见。
传统标准的不足:传统上,网络安全合规法规主要认可密码政策设计中的长度和复杂性要求,但如今面对日益复杂的密码攻击,还需检查密码是否在泄露密码列表中。研究发现 83% 的泄露密码符合合规标准的复杂性和长度要求,因此对所有组织来说,检查密码是否泄露至关重要。
3. 弱密码和泄露密码在网络攻击中的应用
暴力破解和密码构造
2022 年 10 月对用于攻击 RDP 端口的密码研究发现,88% 的攻击密码为 12 个字符或更少,最常见的密码长度是 8 个字符;仅含小写字母的密码最常见,占 18.82%;最常见的基础术语包括 “password”“homelesspa” 等。
组织应实施密码构造规则,如使用密码短语、基于长度的密码老化,结合自定义字典或泄露密码筛选,以防御此类攻击。
实际案例:英伟达
2022 年 2 月,英伟达遭勒索软件攻击,数千员工密码泄露。对 3 万个泄露密码分析发现,如 “nvidia” 等常见词出现在列表中,表明该公司未使用自定义字典进行密码保护。
4. 泄露密码的主题和模式
受世界或文化事件启发:人们在创建密码时有受世界或文化事件启发的倾向,黑客利用这一点,使用常见术语或短语攻击受害者。”
Q:请问,等保系统不做测评了,是一定要从公安撤销备案和系统停用吗?
“对。”
“是不复测了吧?”
“有啥文件依据吗?”
“降级也可以,联系撤销取证,同时关停服务器,否则被监测到还会被通报。”
“主要存在部分少量业务,又不想投入测评费用。”
“少量业务就降级,回收到内网。”
“网络安全等级保护测评需要定期开展的依据主要来源于国家相关法规和标准。具体来说:
法规依据
《计算机信息系统安全保护条例》:该条例规定了计算机信息系统实行安全等级保护,虽然未直接提及测评的定期开展,但为等级保护制度提供了法律基础。
《网络安全法》:此法规定网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务。虽然没有直接规定测评的周期,但强调了等级保护制度的实施和网络安全的重要性。
《网络安全等级保护条例(征求意见稿)》:该条例对网络安全等级保护工作的监管职责分工进行了新划分,并强调了等级保护制度的实施和监督。虽然为征求意见稿,但体现了国家对网络安全等级保护工作的重视。
标准依据
《信息系统安全等级保护基本要求》:该标准明确规定了等级保护的实施与管理要求,包括信息系统的定级、备案、建设/整改、测评和监督检查等环节。其中,“等级保护的实施与管理”中的第十四条明确指出,信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合规定的测评单位,定期对信息系统安全等级状况开展等级测评。具体测评周期根据信息系统的等级而定,如第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评。
实践依据
行业主管部门的要求:行业主管部门通常会根据《网络安全等级保护定级指南》等国家标准,结合行业特点制定行业网络安全等级保护定级指导意见,并要求网络运营者定期开展等级测评。
网络运营者的责任:网络运营者作为信息系统的运营主体,有责任按照等级保护制度的要求,定期开展网络安全等级测评,及时发现并整改安全隐患,确保信息系统的安全稳定运行。
综上所述,网络安全等级保护测评需要定期开展的依据主要来源于国家相关法规和标准、行业主管部门的要求以及网络运营者的责任。这些依据共同构成了网络安全等级保护测评定期开展的法律基础、标准依据和实践要求。”
“改造太复杂了,另外就是地方网警会有一些执行标准,二级系统两年一次这个好像是没有法规和标准写出来的。”
“降级其实也会受到监管,从监管要求,要么撤销要么继续做。”
其他甲方话题,请扫码加入诸子云知识星球。
专家会员是诸子云的立身之本,甲方专家的一举一动都能反映出当下的行业趋势、市场脉络、用户需求及应用实践等等。安在新媒体将继续关注专家会员的实时动态,一如既往地向外界输送诸子云甲方社群的最新成果,期望以此来推动更多人关注网络安全,关注甲方专家。
扫码加入诸子云。
原文始发于微信公众号(安在):诸子云|甲方 :如何看待NIST取消密码定期修改要求?取消等保测评是否需要向公安撤销备案?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论