系统管理员和普通用户都可能喜欢的长矛发生了巨大的变化——它们与密码协议有关。
密码是生活中不可或缺的事实——我们大多数人都拥有太多密码。 我们不能全部记住它们,除非我们开始将它们写下来,否则几乎没有任何方法可以跟踪它们。 另一种选择是只记住您经常使用的密码,并在您需要访问其他网站时要求重设密码——但这需要多次重设密码! 微软研究员 Cormac Herley 等专家公开谈论密码重置的巨大时间成本,以及大公司每年如何花费数百万美元。 它还会花费用户数百万分钟的时间来敲击键盘,无论他们是要查看个人数据、注册服务还是从电子商务商店购买商品。
所以,我们能做些什么? 在我们的密码使用中,哪些方面最具阻碍性和烦人性,让我们想要将我们的计算机和设备扔出窗外?
新的报告显示,作为一个社会,我们可能即将摆脱其中一些烦人的密码问题。 随着对网络安全的新研究,我们可能会超越在过去几年给我们带来巨大压力的一些当前安全标准。
《华尔街日报》上的一篇文章甚至提出了其中一些规则背后的人,并听取了他的意见,说明为什么不再需要这些规则。
2017 年 8 月 7 日,《华尔街日报》撰稿人罗伯特·麦克米伦 (Robert McMillan) 发布了一篇关于比尔·伯尔 (Bill Burr) 的调查文章,该文章的作者 2003 年发表的一篇论文最终对企业密码标准产生了重大影响。 伯尔曾在国家标准与技术研究所工作,该联邦机构负责评估美国的技术创新。
“写密码管理书的人有一个忏悔,”麦克米伦的文章开始了。 “他搞砸了。”
从那里开始,文章继续描述了使我们的生活变得复杂的数字时代的两个问题。 首先是在密码中包含特殊字符的加重要求。 另一个是频繁更改密码。
当您谈论数十个单独的密码时,这两种做法都会花费很多时间。 不过,第一个也是“糟糕界面”的典型案例——它不直观,迫使人们采取变通办法。
认知失调和从众心理
我们大多数人都能“感觉到”这些密码标准是如何在我们的大脑中造成混乱的。 面对如何在密码中包含一个数字和一个特殊字符(否则就是一个字母字符串)的非常抽象的选择,我们中的许多人会简单地冲出一个“1!” 这并不能真正阻止黑客。 事实上,我们越是选择相同的通用选项,就越容易破解我们的密码。 (在安全研究是否真的在帮助黑客中了解更多关于黑客的信息?)
除此之外,还要求用户每月或每三个月左右更新一次密码。
此要求背后的原因是旧密码应该更改为完全不同的内容——但通常情况下,这不是它的工作原理。 试图处理记住全新密码的额外脑力劳动,用户将使用旧密码并更改一个字母或数字。 现在,旧密码是新密码的主要“告示”——它变成了一种负担。
新的 NIST 标准:里面有什么?
NIST 正在制定的新规则将改变这一切。
特别出版物 800-63-3 是对原始版本的更新,它完成了一些专家认为应该一直实施的许多内容。
首先,它取消了组合规则,例如必须在密码中加上感叹号,以及例行到期的要求。
NIST 800-63-3 添加的是对“现实”安全实践的关注。
新规则强调多因素身份验证,作者将其描述为将密码(你记得的东西)与物理钥匙或钥匙卡(你拥有的东西)或一段生物识别数据(你的一部分)混合在一起。 其他建议包括使用加密密钥,需要接受所有可打印的 ASCII 字符,以及最大长度为 64 个字符和最小长度为 8 个字符。 (在被动生物识别技术如何帮助 IT 数据安全中了解更多关于生物识别技术的信息。)
在一个名为“Toward Better Password Requirements”的公开幻灯片演示中,安全研究专家 Jim Fenton 详细列出了其中许多“你应该”和“你不应该”的修复方法,还解释了 NIST 如何建议创建一个易于破解的密码字典 这应该被自动禁止。
“如果这不容易,用户就会作弊,”芬顿写道,研究了一些常识性规则,这些规则将使弱密码更难破坏网络。
专家还建议用户考虑使用“密码短语”或一组单词作为密码,而不是我们接受过培训的一堆乱七八糟的字母数字汤。
为什么密码短语更好?
有很多方法可以解释为什么像“total egg bicycle donkey”这样的长密码会比“MisterA1!”这样的密码更强大。 – 但最简单的与一个非常容易理解的指标有关:长度。
NIST 新法规的核心理念之一是,在某些方面,我们的密码策略一直基于对人类有意义的内容,而忽略了对机器有意义的内容。
几个随机字符可能会使人类黑客感到困惑,但计算机不太可能轻易被密码末尾的额外数字或字符所左右。 这是因为,与人类不同,计算机不会读取密码的含义。 他们只是按字符串读取它们。
暴力攻击是指计算机检查所有可能的字符排列,试图通过找到正确的组合(即用户最初选择的组合)来“闯入”。 当这些攻击发生时,重要的是你的密码有多复杂——每增加一个字符都会增加一个巨大的、几乎呈指数级的复杂性。
考虑到这一点,密码短语的强度将成倍增加——尽管它“看起来”对人眼来说更容易。
通过将密码的最大长度扩展到 64 个字符,新的 NIST 指南为用户提供了他们需要的密码强度,而没有强加许多违反直觉的规则。
没有提示!
许多管理员会喜欢摆脱特殊字符要求和所有这些劳动密集型密码更新,但随着专业人士阅读新的 NIST 指南,还有另一个功能也被砍掉了。
许多系统要求新用户在入职期间将关于他们自己的事实添加到数据库中:这个想法是,如果以后他们忘记了密码,系统可以根据其他人不会知道的关于他们过去的一些想法来验证他们。 例如:你的第一辆车是什么? 你的第一只宠物叫什么名字? 你妈妈的娘家姓什么?
这是另一种让我们许多人感到不舒服的趋势。 有时,这些问题似乎具有侵扰性。 此外,有安全意识的怀疑论者会指出,我们中有很多人首先驾驶的是雪佛兰,或者在年轻时兴致勃勃,将我们的第一只狗命名为“Spot”。
然后是维护数据库和在需要时匹配答案的工作量。
可以肯定地说,当有更好的选择让用户活动真正安全时,不会有太多人为“密码提示”功能的消失而流泪。
不,这不是华夫饼屋! 加盐、散列和拉伸
在其他创新中,专家们现在还推荐“加盐”密码,这涉及在将一个数据集映射到另一个数据集的“散列”过程之前创建一个随机字符串,从而改变密码的构成并使其更难破解。 还有一个称为“拉伸”的过程,专门用于阻止蛮力攻击,部分原因是使评估过程变慢。
所有这些功能的共同点是它们发生在管理领域,而不是在用户的指尖。 普通用户不想做这些程序性的事情——他或她只是想获得访问权限并处理网络系统中要做的任何事情,无论是完成工作任务、与朋友建立联系,还是买卖东西 在线的。 因此,通过取消“客户端”密码规则并进行大量安全管理,公司和其他利益相关者可以真正改善用户体验。
这是一个关键点,因为改善用户体验是许多新技术创新的目的。 我们已经到了这样的地步,我们已经从我们的电脑、智能手机和其他设备中榨取了很多功能——我们在未来几年将取得的很多进展包括让虚拟任务更容易完成,并摆脱笨拙 体验:例如非移动优先网站、故障界面、电池寿命短……或乏味的登录! 这就是密码创新的用武之地。回到多因素身份验证的想法,生物识别技术很可能会为设备解锁更多的易用性——当你可以向你的设备显示你是谁时,为什么点击并输入长密码 有指纹吗?
实际实施:仍然存在一些挑战
不过,正如我们所说,我们暂时只能使用密码和 PIN。 例如,一些较新的操作系统已从四位数 PIN 切换为六位数 PIN,这使得我们中的许多人在设备上提取密码的速度大大降低。
NIST 推荐的“密码短语”方法的一个问题是,仍然会进行密码重置(如本线程中关于 Naked Security 的讨论)。 人们仍然会忘记他们的密码。 一些人建议,当原始密码更长时,IT 人员可能会更难发布新密码。
但是,当涉及到多因素身份验证时,这里可能会有一些潜力。 生物识别技术还没有真正流行起来,但几乎每个人都有手机。 许多在线银行系统和其他系统都使用 SMS 来验证用户。 这可能是一种检查密码丢失或忘记的帐户的简便方法。 如上所述,这也是一般加强密码的关键方法。
外卖
如果您是网络管理员,新的 NIST 规则告诉您什么?
从本质上讲,联邦机构似乎是在告诉管理者:放轻松。 通过更好的加密、禁用字符串的字典以及具有更多功能的更长输入字段,让用户凭直觉做事。 不要教他们用星号和可爱的特殊字符堆砌密码。 并且不要让他们每隔几周就重新完成整个过程。
所有这一切都将使给定的平台更精简、更精简。 仅仅消除密码提示就可以消除一个重要的代码库及其所有资源需求。 新的 NIST 规则将密码安全置于其所属的位置:脱离特殊用户的手中,置于一个不起眼的地方,技术功能使昨天的简单暴力攻击成为历史。 他们让我们所有人都以一种新的冷静的方式来应对一直在尝试的过程:为我们数字生活的每个角落制作独特的小词和短语。 这是向更直观的用户界面世界迈出的又一步——一个新的和改进的数字世界,我们在其中做事感觉更自然,更少混淆。
