美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)協(xié)會(huì)（NIST）發(fā)布了《數(shù)字身份驗(yàn)證指南（DAG）》的最新草案，該草案對(duì)以前的密碼安全設(shè)置以及公司在制定相關(guān)安全政策時(shí)的許多標(biāo)準(zhǔn)和做法都進(jìn)行了修改和調(diào)整。

在新版的密碼安全保護(hù)方面，該指南不再要求用戶定期修改密碼。因?yàn)榻?jīng)過(guò)調(diào)查，頻繁的更改密碼并沒(méi)有達(dá)到保護(hù)密碼安全的預(yù)期目的。

NIST最新建議

1. 在用戶想要修改的時(shí)候再去修改，

2. 用戶發(fā)現(xiàn)自己的設(shè)備有被攻擊的跡象時(shí)應(yīng)立即修改密碼，

3. 用戶在設(shè)置密碼的時(shí)候沒(méi)有必要混合大寫字母、字符和數(shù)字，因?yàn)檠芯匡@示這樣并不能讓密碼的安全性提高，反而會(huì)讓用戶容易忘記密碼，

4. 公司應(yīng)該允許用戶使用emoji（表情符號(hào)）來(lái)進(jìn)行加密設(shè)置，

5. 最保險(xiǎn)的加密辦法應(yīng)該是加鹽算法+哈希算法+ MAC算法，

6. 提高用戶密碼強(qiáng)度的最佳方式就是合理地選擇密碼字典，并盡量避免直接使用用戶名、生日、連續(xù)數(shù)字這樣的簡(jiǎn)易密碼，

7.根據(jù)已知的受損憑據(jù)列表定期檢查用戶憑據(jù)。

對(duì)于以上這些安全建議，NIST起草標(biāo)準(zhǔn)的作者之一保羅•格拉西（Paul Grassi）表示，這些建議都還在征求意見(jiàn)階段，并不是強(qiáng)制性的，預(yù)計(jì)草案會(huì)在今年年中通過(guò)。

CSO的反應(yīng)

用戶通常會(huì)通過(guò)用特殊字符替換阿爾法符號(hào)來(lái)對(duì)密碼進(jìn)行組合，但是對(duì)于黑客來(lái)說(shuō)，他們已經(jīng)對(duì)用戶的這種密碼設(shè)置技巧非常了解了，所以對(duì)密碼的真實(shí)熵來(lái)說(shuō)，安全性就降低了很多。每個(gè)人都知道用感嘆號(hào)代替的是1，或者I，或是密碼的最后一個(gè)字符，$代替的是S或5。如果我們使用這些眾所周知的技巧，那密碼幾乎沒(méi)有任何安全性可言。

在新的密碼要求方面，保羅•格拉西表示NIST很高興能為用戶提供密碼設(shè)置方面的建議。從根本上說(shuō)，新的修訂草案能讓用戶對(duì)密碼的設(shè)置強(qiáng)度有一個(gè)更客觀地理解。另外，NIST還為安全代理商提供了很多安全保護(hù)方面地選擇，讓他們能夠利用用戶可能已經(jīng)擁有的工具，如智能手機(jī)，認(rèn)證應(yīng)用程序或安全密鑰等來(lái)提高用戶的安全體驗(yàn)。

Nok Nok Labs首席執(zhí)行官Phil Dunkelberger表示：“用戶名和密碼的復(fù)雜性要求所帶來(lái)的安全并不如我們一般所認(rèn)為的那樣高而且還用增加使用的方便性，我們很高興看到像NIST這樣的國(guó)家組織對(duì)其做出客觀地說(shuō)明。”

Dunkelberger還表示：“絕大多數(shù)安全專家都承認(rèn)，這些草案對(duì)用戶的密碼管理方面的認(rèn)知做了一次很好的教育，讓用戶的整體安全性得到提高。我們很高興看到像NIST這樣的國(guó)家組織推薦更新并改變不再適用的密碼保護(hù)。”

用戶的反應(yīng)

SecuredTouch的聯(lián)合創(chuàng)始人兼首席產(chǎn)品官Ran Shulkind表示“新的密碼指南很有意義，人們不得不重新審視以前的密碼管理認(rèn)識(shí)誤區(qū)以及使用特殊字符的結(jié)果反而會(huì)使安全性降低。在網(wǎng)絡(luò)威脅日益增加的今天，密碼保護(hù)比以前都要重要的多，而NIST提出的建議顯然給了我們用戶很大的幫助。”

多因子認(rèn)證（MFA）在某些行業(yè)已經(jīng)開(kāi)始被采用， Shulkind說(shuō)：“MFA讓安全性提高了一個(gè)新的層次，包括你所知道的東西（密碼），你所擁有的東西（令牌或短信），或你所指定的東西（指紋或行為）。”

多因子認(rèn)證是一種我們?cè)谠S多網(wǎng)銀應(yīng)用中經(jīng)常使用的一種提升安全的方法，它是在用戶名或口令之外額外增加的一種認(rèn)證措施，因此能夠提升用戶賬戶的安全性。如果對(duì)某個(gè)賬戶啟用了AWS MFA，那么用戶在輸入該賬戶用戶名和口令之后還需要輸入由MFA設(shè)備生成的6位數(shù)字。這個(gè)6位數(shù)字可以是通過(guò)專門的物理設(shè)備生成，也可以是一個(gè)虛擬的設(shè)備，也就是支持TOTP標(biāo)準(zhǔn)的應(yīng)用程序。

但Shulkind接著說(shuō)“MFA的使用雖然增加了安全性，卻降低了用戶體驗(yàn)，這就是為什么各個(gè)安全公司還在努力尋找更加友好的用戶安全策略，例如通過(guò)行為生物識(shí)別的方式既可以提高安全性又有非常好的用戶體驗(yàn)。”

Cybric的聯(lián)合創(chuàng)始人兼首席信息官M(fèi)ike Kail表示：“行為生物識(shí)別技術(shù)可以根據(jù)用戶與設(shè)備的物理交互（手指壓力，打字速度，手指大小）進(jìn)行分析和驗(yàn)證，最終完全代替目前的密碼保護(hù)方式。”

他說(shuō)：“我認(rèn)為新建議中的更新是正確的，特別是密碼頻繁修改的變更。”

Mike Kail希望看到更多的關(guān)于密碼保護(hù)方面的改進(jìn)策略例如要求Cloud IdP / SSO這樣的提供商也加入到監(jiān)控異?；顒?dòng)中來(lái)，他還建議向用戶提供密碼管理工具。

Exabeam威脅研究總監(jiān)Barry Shteiman表示：“這是NIST標(biāo)準(zhǔn)的非常積極的變化，黑客使用受損的憑據(jù)數(shù)據(jù)庫(kù)，并重新驗(yàn)證身份驗(yàn)證機(jī)制已經(jīng)變得非常普遍了，特別是有些信息已經(jīng)被出售或在線發(fā)布。”

密碼保護(hù)策略

Absolute的全球安全策略師Richard Henderson認(rèn)為：“這一改變也使得字典密碼和彩虹表攻擊的威力大幅下降。 在這份草案出來(lái)之前，我們?cè)趧?chuàng)建和使用密碼方面的標(biāo)準(zhǔn)已經(jīng)非常混亂了。我們可以看到目前很多網(wǎng)站的密碼保護(hù)政策都各不一樣且都非常糟糕，有的甚至仍然存儲(chǔ)密碼的明文，另外用戶的密碼設(shè)置習(xí)慣也導(dǎo)致了廣泛的密碼重用或弱密碼。”

Henderson還認(rèn)為：“NIST草案中最重要的建議是不斷掃描和獲取已知的易受攻擊和被盜密碼列表進(jìn)行比較研究。除了把密碼重用的風(fēng)險(xiǎn)降到最低和避免弱密碼之外，還可以提醒企業(yè)潛在的密碼安全風(fēng)險(xiǎn)。如果像247KangarooKiwi！這樣的密碼出現(xiàn)在一個(gè)受損的列表中，那這很可能是用戶使用的密碼，可以查看他們的供應(yīng)商或工作端點(diǎn)設(shè)備，并尋找妥協(xié)的保護(hù)措施。”

Henderson還表示：“NIST的建議是使用完整的ASCII和Unicode的互轉(zhuǎn)，因?yàn)檫@樣做可以增加暴力破解的難度。”