我吃西红柿,古风君子以泽,我欲封天txt下载

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

目前較好的口令建議（注意：這不是NIST指南）

口令短因此容易被破解，但長的話太復(fù)雜且容易重復(fù)使用?口令設(shè)置標(biāo)準(zhǔn)到底應(yīng)該怎樣才合適?

創(chuàng)新互聯(lián)從2013年創(chuàng)立，先為云龍等服務(wù)建站，云龍等地企業(yè)，進(jìn)行企業(yè)商務(wù)咨詢服務(wù)。為云龍企業(yè)網(wǎng)站制作PC+手機(jī)+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問題。

美國國家標(biāo)準(zhǔn)與技術(shù)研究院(National Institutes of Standards and Technology, NIST) 在其《數(shù)字身份指南》特刊800-63-3中發(fā)布的反向口令策略推薦引起了很多爭議。盡管其中包含了許多優(yōu)秀的，沒有爭議的身份驗(yàn)證信息，但是很多人認(rèn)為這些新的建議根本就是錯(cuò)誤的。

在討論NIST口令策略的之前，我們先來回顧一下普遍認(rèn)為的好的口令策略建議。

盡可能使用多因素身份驗(yàn)證(Multi-Factor Authentication, MFA);
如果無法使用MFA，盡可能使用口令管理器，特別是當(dāng)人們?yōu)槊總€(gè)安全領(lǐng)域創(chuàng)建僅有、長且隨機(jī)的口令的時(shí)候;
如果無法使用口令管理器，使用長且簡單的口令作為口令;
在所有情況下，不要使用通用口令(例如“password”或者“qwerty”)，并且永遠(yuǎn)不要在不同站點(diǎn)使用同樣的口令。

這些建議的總體問題是MFA和口令管理器不能適用于所有站點(diǎn)和設(shè)備。這意味你不得不使用一些口令。如果你的口令管理器選擇了隨機(jī)，長且復(fù)雜的口令，這些口令只適用于你的某些設(shè)備，而對(duì)其他設(shè)備無效，這意味著你需要記住或者記錄那些長而復(fù)雜的口令，以備不時(shí)之需。

為什么NIST改變了其口令策略

所以，無論如何你必須設(shè)置自己的口令。如果你使用了長口令，有一定的概率你會(huì)重復(fù)使用它們或者只是在不同站點(diǎn)做一些細(xì)微的變化。如果我們都開始使用長又簡單的口令，大部分人可能會(huì)使用簡單的英語單詞。就像我們今天遇到的口令復(fù)雜性問題一樣——復(fù)雜的口令實(shí)際上并不復(fù)雜(因?yàn)榇蠖鄶?shù)人使用相同的32個(gè)字符)，我們可能會(huì)創(chuàng)建黑客更容易猜到的口令。我們創(chuàng)建的口令從一個(gè)糟糕的口令，例如“Password”變成了“ThisIsMyPassword”，或者類似的口令。

NIST認(rèn)為重復(fù)使用和不夠復(fù)雜的口令將帶來極大的風(fēng)險(xiǎn)，而這兩者也是其指南試圖所避免的。

引發(fā)爭議的NIST轉(zhuǎn)變

幾十年來，建立的口令策略要求使用長而復(fù)雜的口令，并定期更改口令。所以應(yīng)該討論口令應(yīng)該多長，多復(fù)雜，多久進(jìn)行更改，而不是對(duì)基本原則進(jìn)行討論。

這份在2017年6月發(fā)布的NIST口令策略最終版，顛覆了全球長期以來的口令原則?，F(xiàn)在，NIST表示使用更短且不復(fù)雜的口令是可以的，并且除非口令遭到泄露否則永遠(yuǎn)不用更改口令。

NIST的新口令策略是根據(jù)以往大部分口令的泄露方式?jīng)Q定的。黑客活動(dòng)的最初幾十年，大多數(shù)口令都是通過口令猜測或破解(例如將一個(gè)非明文形式轉(zhuǎn)換為口令明文形式)而泄露的。在這種威脅環(huán)境中，使用長而復(fù)雜的口令是有意義的。

如今，大多數(shù)口令都因底層口令存儲(chǔ)數(shù)據(jù)庫和社交工程遭到大量侵入而遭到泄露?；ヂ?lián)網(wǎng)上有數(shù)以億計(jì)的登錄名/口令組合，任何人都可以輕松訪問或購買。這種發(fā)起威脅的方式并不關(guān)心口令的長度或復(fù)雜程度。此外，長度和復(fù)雜性要求增加了用戶在其他站點(diǎn)上使用相同口令的概率。有一項(xiàng)研究表明，普通用戶有6到7個(gè)口令，會(huì)在100多個(gè)網(wǎng)站上重復(fù)使用。這是災(zāi)難的根源。NIST表示考慮到不斷變化的戰(zhàn)場，遵循舊的建議將使你更有可能因?yàn)檫@些決定而受到損失。

這個(gè)變化如此之大，以至于近乎所有計(jì)算機(jī)專家都拒絕相信，因此也拒絕遵循新的指南。更重要的是，計(jì)算機(jī)安全法規(guī)或指導(dǎo)機(jī)構(gòu)(PCI-DSS, HIPAA SOX等)也不例外，沒有一個(gè)機(jī)構(gòu)計(jì)劃更新他們的口令策略。

關(guān)于這次口令爭論

許多人都是NIST忠實(shí)的支持者，因?yàn)橛懻摵椭贫ㄐ翹IST政策的是一群專注，有想法的，希望提高計(jì)算機(jī)安全的研究人員。NIST以前決策背后的數(shù)據(jù)通常是令人信服的。所以沒有理由只是因?yàn)槊總€(gè)人的直覺都不想接受新的建議，而去反對(duì)NIST。大家應(yīng)該以數(shù)據(jù)為導(dǎo)向。

凱文·米特尼克用強(qiáng)有力的論據(jù)，證明使用短口令很容易被黑客攻陷。從那以后，他提出了更多證據(jù)和案例來支持自己的觀點(diǎn)，認(rèn)為所有人不僅應(yīng)該遵從舊的建議，還應(yīng)該確?？诹罡L(至少12到16個(gè)字符)。

不要遵循NIST的新口令建議

深入研究NIST新口令策略決策背后的數(shù)據(jù)，你會(huì)發(fā)現(xiàn)這些數(shù)據(jù)無法支持新的結(jié)論。有些數(shù)據(jù)能夠支持新策略，但不像過去認(rèn)為的那樣令人信服。

比如，給你發(fā)送一個(gè)帶有惡意鏈接的郵件，如果點(diǎn)開了這個(gè)鏈接，將會(huì)泄露你的口令或口令散列。在某些案例中，只需在預(yù)覽模式下打開電子郵件就足夠了。微軟發(fā)布了相關(guān)補(bǔ)丁防止口令泄露，但幾乎沒有人使用它或使用其他任何能夠阻止口令泄露的防御措施。大多數(shù)公司都容易受到這類威脅。

以Adobe Acrobat漏洞為例，該漏洞在2月25日被修復(fù)。一個(gè)Adobe Acrobat文檔可能包含一個(gè)SMB鏈接，當(dāng)用戶打開PDF文檔時(shí)，該鏈接將自動(dòng)啟用。這個(gè)漏洞沒有觸發(fā)Acrobat的正常消息提醒，要求用戶批準(zhǔn)URL讀取。就像前面討論的漏洞一樣，該漏洞可能會(huì)泄露用戶的NT散列。任何有理性的人都應(yīng)該知道任何允許UNC路徑訪問的其他形式的文件都可能具有感染性，并泄露用戶的口令散列。

有多少的潛在受害者可能會(huì)點(diǎn)擊郵件中的惡意鏈接呢?相當(dāng)多數(shù)量的人。多年來，社交工程和網(wǎng)絡(luò)釣魚是造成大量惡意數(shù)據(jù)泄露成功的原因，而且這種情況在短期內(nèi)不太可能發(fā)生改變。大多數(shù)計(jì)算機(jī)安全報(bào)告表示，有70%到90%的惡意數(shù)據(jù)泄露是由社會(huì)工程和網(wǎng)絡(luò)釣魚造成。我們有理由認(rèn)為除了使用長而復(fù)雜的口令之外，沒有人能推薦其他方法來抵擋這種風(fēng)險(xiǎn)。

八個(gè)字符是不夠的

NIST推廣的最短可接受口令長度(8個(gè)字符)已經(jīng)不再適用了。隨著時(shí)間的推移，口令破解器的表現(xiàn)越來越快，越來越好。直到最近，一個(gè)包含8個(gè)字符的復(fù)雜口令被認(rèn)為是非常不安全的，但是大部分組織機(jī)構(gòu)確可以接受。

這個(gè)假設(shè)最近被打破。開源口令散列破解工具HashCat宣布，任何8個(gè)字符的NT口令散列，都可以在2.5個(gè)小時(shí)內(nèi)被破解為明文。祝那些用8個(gè)字符的口令保護(hù)環(huán)境的企業(yè)好運(yùn)。

Mitnick經(jīng)常成功破解12到16個(gè)字符長的超復(fù)雜口令，而且他沒有世界上最快的口令破解設(shè)備。所以多長的口令才足夠長呢?

答案是越長越好，但是現(xiàn)實(shí)是對(duì)大多數(shù)企業(yè)網(wǎng)絡(luò)來說，僅憑口令無法保護(hù)那些含有你財(cái)務(wù)或個(gè)人信息的網(wǎng)站。使用口令，但是不要用于那些你真正需要保護(hù)或者關(guān)心的內(nèi)容上。至少在我們找到更好、更強(qiáng)大、更流暢的身份驗(yàn)證方法之前，使用MFA保護(hù)任何對(duì)你有真正有價(jià)值的東西。

什么時(shí)候更改你的口令?

NIST認(rèn)為你只需要在你認(rèn)為口令被泄露的時(shí)候更改口令，而不是定期更改口令，例如像以前的做法，每45到90天進(jìn)行一次更改。這個(gè)建議存在的問題是你很有可能不知道你的口令已經(jīng)被泄露或者何時(shí)被泄露。

如果一直在使用一個(gè)口令管理器，可以實(shí)時(shí)檢查用戶創(chuàng)建和使用的每個(gè)口令，對(duì)付已知的口令泄露和發(fā)現(xiàn)口令泄露。

不要完全忽視NIST

NIST有關(guān)口令的策略，但是其身份指南是可靠的。他們鼓勵(lì)管理員和用戶從簡單的登陸口令轉(zhuǎn)向使用更強(qiáng)大的身份驗(yàn)證方法。他們不鼓勵(lì)使用SMS信息作為強(qiáng)驗(yàn)證，而建議使用更復(fù)雜的方法。他們同時(shí)也為不同場景推薦了不同的身份驗(yàn)證的方法，這是很有意義。

新聞標(biāo)題：目前較好的口令建議（注意：這不是NIST指南）
網(wǎng)址分享：http://fisionsoft.com.cn/article/dhjiohj.html

新聞中心

其他資訊