這是有道理的: 還有什麼比定期更改密碼更令人煩惱的事情呢?我在一家公司工作,每三個月需要一次,而且他們還有關於密碼可以包含什麼和不能包含什麼的所有其他規則。標準監管機構現在宣布大多數憑證規則已經過時且不必要。
美國國家標準與技術研究所 (NIST) 提出了希望採用的新證書標準。特別出版物 800-63-4 的第二稿已發佈到 NIST 網站,等待公眾對建議的密碼和身份驗證指南的反饋。
標準的概要很嚴肅,但與許多公司和機構採用的煩人的密碼制度背道而馳。一些範例包括強制密碼重設、限製字元使用、要求某些字元組合以及使用安全性問題。這些要求很大程度上是不必要的。它們是過時的遺物,來自網路還很新的時代,大多數人不了解適當的安全衛生。
鼓勵您所愛的人經常更改密碼,使密碼變得更長、更強且唯一。更多提示:https://t.co/VhTCLCdf9j。 #ChatSTC
– 聯邦貿易委員會(@FTC) 2016 年 1 月 27 日
正如微軟在 2019 年安全基線中指出的那樣,其中許多規則實際上促進了 壞的 安全衛生。例如,要求員工經常更改密碼會鼓勵他們使用更容易記住或建立的較弱的密碼,因此更容易破解。聯邦貿易委員會同意。
對於要求字符細節的規則也是如此,例如“密碼必須包含至少八個字符,其中至少有一個大寫和小寫字母、一個特殊符號(如標點符號)和至少一個數字。”這些嚴格的限制往往會導致人們使用像 BigToe@1 這樣的密碼(一位前同事實際上使用過這個密碼)。
雖然任何人都可以自由閱讀和評論 SP 800-63-4,但由於所有官僚術語和冗長的解釋,它是一個具有挑戰性和冗長的閱讀過程。它的負載如此之大,以至於該組織認為有必要專門用一個章節來定義「應該」、「不得」、「應該」、「不應該」和其他簡單術語的含義。該文件主要歸結為九項要求和建議。
密碼驗證者或驗證服務提供者:
- 應要求密碼至少為 8 個字符,但應至少為 15 個字符。
- 應允許的最大密碼長度至少為 64 個字元。
- 應接受密碼中的所有列印 ASCII 字元和空格字元。
- 應接受密碼中的 Unicode 字元。在評估密碼長度時,每個 Unicode 代碼點應計為單一字元。
- 不得對密碼強加其他組合規則(例如,要求不同字元類型的混合)。
- 不得要求使用者定期更改密碼。然而,如果有證據表明驗證者受到損害,驗證者應強制進行更改。
- 不得允許訂戶儲存未經身份驗證的索賠人可以存取的提示。
- 在選擇密碼時不得提示訂閱者使用基於知識的身份驗證 (KBA)(例如「您的第一隻寵物的名字是什麼?」)或安全性問題。
- 應驗證整個提交的密碼(即,不截斷它)。
考慮到駭客無法知道或弄清楚目標的高中吉祥物或婚前姓氏的假設是多麼愚蠢,第八條規則是相當明智的。然而,第七條似乎是第二十二條軍規。如果您通過身份驗證,您只能看到密碼提示,但如果您在沒有提示的情況下記不住密碼,則無法通過身份驗證。除此之外,這些指導方針看起來像是常識,我發現這些天普遍缺乏常識。
NIST 管理政府內部的標準,對私人公司沒有執行權。例如,它確保所有消防栓使用標準化配件,無論您走到哪裡,都能提供相同的水量,以及維護標準。
一般來說,只有政府機構以及直接與政府打交道的公司或組織才須遵守這些規則。例如,IRS 必須採用 NIST 指南,但 Meta 可以忽略它們。也就是說,許多 NIST 標準都會滲透到規則適用的產業內的私人組織。 NIST 網路安全框架就是一個很好的例子。
