NIST提议禁止一些最荒谬的密码规则 提议的准则旨在为密码卫生注入迫切需要的常识。美国国家标准与技术研究院(NIST)是制定技术标准的联邦机构,为政府机构、标准组织和私营公司制定技术标准,提议禁止一些最令人困扰和荒谬的密码要求。其中主要包括:强制重置、要求或限制使用特定字符,以及使用安全问题。
选择强密码并安全存储它们是良好网络安全制度中最具挑战性的部分之一。更具挑战性的是遵守雇主、联邦机构和在线服务提供商强加的密码规则。这些规则通常旨在提高安全卫生,但实际上却削弱了安全性。然而,匿名的制定规则者还是强加了这些要求。
请停止这种疯狂!上周,NIST发布了SP 800-63-4,其数字身份准则的最新版本。大约有35,000字,充满行话和官僚术语,这个文件几乎不可能完整阅读,也很难完全理解。它既规定了技术要求,也提供了确定在线数字身份认证方法的有效性的最佳实践建议。与联邦政府在线交互的组织必须符合要求。
密码部分注入了大量急需的常识实践,挑战了常见政策。例如:新规定禁止终端用户定期更改密码的要求。这一要求是几十年前出现的,当时人们对密码安全性的理解很差,人们普遍选择常见名称、词典单词和其他容易猜到的秘密。
自那时以来,大多数服务要求使用由随机生成的字符或短语组成的更强密码。当密码被正确选择时,定期更改密码的要求,通常是每一到三个月一次,实际上会降低安全性,因为额外负担会激励人们选择更容易设置和记住的弱密码。
另一个通常起到反作用的要求是要求使用某些字符,例如至少一个数字、一个特殊字符和一个大写字母和小写字母。当密码足够长和随机时,并不需要要求或限制使用某些字符。而且,关于构成的规则实际上可能导致人们选择更弱的密码。
验证器和CSP不得对密码施加其他组合规则(例如,要求混合不同类型的字符);验证器和CSP不得要求用户定期更改密码。但是,如果有认证器被破坏的证据,验证器应强制更改;(“验证器”是指通过核实持有人的身份来验证帐户持有人的实体。凭证服务提供商的缩写“CSP”是指信任的实体将认证器分配或注册给帐户持有人。)
在先前版本的准则中,一些规则使用了“不应该”一词,这意味着这种实践不被推荐作为最佳实践。“不得”,相比之下,表示该实践必须被禁止,以确保组织符合要求。
验证器和CSP应要求密码至少为八个字符长度,并应要求密码至少为十五个字符长度;验证器和CSP应允许密码的最大长度至少为64个字符;验证器和CSP应接受所有打印ASCII [RFC20]字符和密码中的空格字符;验证器和CSP应接受密码中的Unicode [ISO/ISC 10646]字符。在评估密码长度时,每个Unicode代码点应计为一个字符;验证器和CSP不得对密码施加其他组合规则(例如,要求混合不同类型的字符);验证器和CSP不得要求用户定期更改密码。但是,如果有认证器被破坏的证据,验证器应强制更改;验证器和CSP不得允许订阅者存储可由未经认证的认索人员访问的提示;验证器和CSP不得提示订阅者在选择密码时使用基于知识的认证(例如,“您的第一个宠物的名字是什么?”)或安全问题;验证器应验证提交的整个密码(即不截断密码)。多年来,评论家一直谴责许多常见实施的密码规则造成的愚蠢和伤害。然而,银行、在线服务和政府机构大多仍然坚持这些规则。如果新准则最终生效,它们并非普遍约束性,但它们可能提供有利于消除无谓规定的有力论点。