内容
- 没有错误,没有压力-在不破坏生活的情况下创建可改变生活的软件的分步指南
- 认知失调与群体心理
- 新的NIST标准:内含什么?
- 为什么密码短语更好?
- 没有提示!
- 不,这不是华夫饼屋!盐腌,散列和拉伸
- 实际实施:仍然存在一些挑战
- 外卖
资料来源:designer491 / iStockphoto
带走:
新的NIST规则使用户可以放心使用密码策略
系统管理员和普通用户可能会喜欢的东西有了很大的变化–它们与密码协议有关。
密码是生活中不可或缺的事实–我们大多数人拥有太多的密码。我们无法全部记住它们,除非我们开始写下它们,否则几乎没有任何方法可以跟踪它们。另一种选择是只记住您经常使用的密码,并在需要访问其他站点时要求重置密码,但这需要大量的密码!微软研究员科马克·赫利(Cormac Herley)之类的专家一直在谈论密码重置的巨大时间成本,以及每年如何使大公司损失数百万美元。无论是尝试查看个人数据,注册服务还是从电子商务商店购买商品,都要花费用户数百万分钟的时间,甚至不需拨弄键盘。
所以,我们能做些什么?密码使用中最令人讨厌和烦人的方面是什么,这些使我们想要将计算机和设备扔到窗外?
新报告显示,作为一个社会,我们可能会摆脱一些烦人的密码问题。在进行有关网络安全的新研究时,我们可能会超越目前在过去几年给我们造成巨大压力的一些安全标准。
《华尔街日报》上的一篇文章甚至提出了一些规则背后的家伙,并就为什么不再需要这些规则征询了他的意见。
2017年8月7日,《华尔街日报》(WSJ)作家罗伯特·麦克米伦(Robert McMillan)对比尔·伯尔(Bill Burr)进行了调查,以重磅炸弹的形式发表了一篇论文,该论文最终对公司密码标准产生了重大影响。伯尔曾在美国国家标准与技术研究院工作,该机构负责评估美国的技术创新。
麦克米兰(McMillan)的著作开始说:“写过有关密码管理的书的人很坦白。” “他吹了它。”
从那里开始,本文继续描述使数字时代变得复杂的数字时代的两个错误。首先是那些加重要求,要求在密码中包含特殊字符。另一个是频繁的密码更改。
没有错误,没有压力-在不破坏生活的情况下创建可改变生活的软件的分步指南
当没有人关心软件质量时,您就无法提高编程技能。
当您谈论数十个个人密码时,这两种做法都需要花费大量时间。不过,第一个也是“界面不良”的经典案例-只是不直观,它迫使人们进入解决方法。
认知失调与群体心理
我们大多数人都可以“感觉”到这些密码标准如何引起大脑混乱。面对非常抽象的选择,即如何在密码中包含数字和特殊字符(否则为字母字符串),我们中的许多人只会简单地用“ 1!”破折号,这实际上并不会阻止黑客。实际上,我们选择相同的通用选项越多,破解我们的密码就越容易。 (在安全研究是否真的在帮助黑客中了解有关黑客的更多信息。)
最重要的是,添加了用户每月或每三个月左右更新一次密码的要求。
提出此要求的原因是,应将旧密码更改为完全不同的密码-但通常情况并非如此。试图处理记住一个新密码的其他麻烦事,用户将使用旧密码并更改一个字母或数字。现在,旧密码是新密码的主要“告诉” –它成为一种责任。
新的NIST标准:内含什么?
NIST正在开发的新规则将改变所有这一切。
特殊出版物800-63-3是原始版本的更新,它完成了许多专家认为应该一直实施的功能。
首先,它既取消了编写规则,例如必须在密码中添加一个感叹号,又取消了常规到期要求。
NIST 800-63-3所添加的内容集中在“现实的”安全实践上。
新规则强调了多重身份验证,作者将其描述为将密码(您记得的东西)与物理密钥或钥匙卡(您拥有的东西)或生物特征数据(属于您的一部分)混合在一起。其他建议包括使用加密密钥,需要接受所有可能的ASCII字符,最大长度为64个字符和最小长度为8个字符。 (在“被动式生物识别技术如何帮助IT数据安全”中了解有关生物识别技术的更多信息。)
在一个名为“向更好的密码要求迈进”的公开幻灯片演示中,安全研究专家吉姆·芬顿(Jim Fenton)详细介绍了许多修复措施,例如“您不可以”和“您不可以”,还解释了NIST如何建议创建一个容易被黑客破解的密码字典。应该被自动禁止。
Fenton写道:“如果不容易的话,用户就会作弊。”他检查了一些常识性规则,这些规则将使较弱的密码更难以危害网络。
专家还建议用户考虑使用“密码短语”或一组密码作为密码,而不是我们经过培训的字母数字汤。
为什么密码短语更好?
有很多方法可以解释为什么长密码短语(如“总蛋自行车驴”)将比“ MisterA1!”之类的密码短语更强-但最简单的方法与一个非常容易理解的指标有关:长度。
NIST新法规的核心思想是,在某些方面,我们一直将密码策略建立在对人类有意义的基础上,而忽略了对机器有意义的基础。
几个随机字符可能会使人类黑客感到困惑,但是在密码末尾,额外的数字或字符不太可能使计算机受到影响。这是因为,与人类不同,计算机不会读取密码来表示含义。他们只是简单地按字符串读取它们。
蛮力攻击是指计算机经过所有可能的字符排列尝试通过找到正确的组合(用户最初选择的组合)来“闯入”。当这些攻击发生时,重要的是密码的复杂程度-每个附加字符都会增加巨大的,几乎成指数级的复杂度。
考虑到这一点,即使人眼“看起来”更容易,密码短语也将成指数级地变强。
通过将密码的最大长度扩展到64个字符,新的NIST准则为用户提供了所需的密码强度,而无需施加许多违反直觉的规则。
没有提示!
许多管理员都希望摆脱特殊字符要求和所有那些劳动密集型密码更新,但是随着专业人员阅读新的NIST指南,还有另一个功能也使斧头。
许多系统要求新用户在入职时将有关他们自己的事实添加到数据库中:其想法是,以后,如果他们忘记了密码,则系统可以基于其他人不会知道的关于他们过去的想法对他们进行身份验证。例如:您的第一辆车是什么?你的第一个宠物叫什么名字?你妈妈的娘家姓什么?
这是我们中许多人感到不舒服的趋势之一。有时,这些问题似乎令人生厌。此外,对安全性持怀疑态度的人士会指出,我们当中有很多人首先开着雪佛兰,或者在年轻时兴旺发达,因此将我们的第一只狗称为“ Spot”。
然后就是维护数据库并在需要时匹配答案的工作量。
可以肯定地说,当有更好的选择来确保用户活动真正安全时,不会有太多的人为“密码提示”功能的消失而流泪。
不,这不是华夫饼屋!盐腌,散列和拉伸
在其他创新中,专家现在还建议使用“咸化”密码,这涉及在“哈希”过程之前创建随机的字符串,该“哈希”过程将一个数据集映射到另一个数据集,从而改变了密码的构成并使其更难以破解。还有一个称为“拉伸”的过程,该过程专门用于阻止暴力攻击,部分原因是使评估过程变慢。
所有这些功能的共同点在于它们发生在管理领域,而不是在用户的指尖。普通用户不希望与这些程序性事情相关–他或她只是想获得访问权并进行网络系统中要做的任何事情,无论它是完成工作任务,与朋友联网还是买卖东西线上。因此,通过取消“客户端”密码规则并进行大量的安全管理,公司和其他利益相关者可以真正改善用户体验。
这是关键点,因为改善用户体验是许多新技术创新的目的。我们已经达到了我们从计算机,智能手机和其他设备中汲取了很多功能的地步–未来几年,我们将取得的许多进步涉及使虚拟任务更易于执行,并且摆脱了笨拙体验:例如非移动优先网站,故障界面,电池寿命不足……或繁琐的登录!这就是密码创新的源头。回到多因素身份验证的想法,生物识别技术有可能解锁设备的更多易用性-为什么当您只想向您的设备证明自己的身份时,为什么点击并输入长密码?用手指吗?
实际实施:仍然存在一些挑战
就像我们说过的那样,我们暂时只使用密码和PIN。例如,某些较新的操作系统已从四位数PIN切换到六位数PIN,这使我们许多人在设备上画图的速度大大降低。
NIST推荐的“密码短语”方法的一个问题是,仍然会有密码重置(如有关Naked Security的线程中所述)。人们仍然会忘记他们的密码。有人建议,如果原始密码的时间更长,IT人员可能很难发出新密码。
但是,在涉及多因素身份验证时,这里可能存在一些潜力。生物识别技术尚未真正流行,但是几乎每个人都拥有手机。许多在线银行系统和其他系统正在使用SMS来验证用户身份。这可能是一种检查密码丢失或忘记的帐户的简便方法。如上所述,这也是一般加强密码的关键方法。
外卖
如果您是网络管理员,新的NIST规则会告诉您什么?
本质上,联邦机构似乎在告诉经理:放松。用户可以通过更好的加密,禁止的字符串字典以及更长的输入字段和更多的功能来直观地完成自己的工作。不要教他们在密码上加上星号和可爱的特殊字符。而且不要让他们每隔几周重新整理整个过程。
所有这些将使给定的平台更加精简和有意义。仅仅消除密码提示即可消除重要的代码库及其所有资源需求。 NIST的新规则将密码安全性放在了属于自己的地方:脱离了特有用户的手,并进入了一个晦涩难懂的地方,在这里,技术功能使昨天的暴力攻击历史很容易。他们让我们所有人对尝试过程都采取了一种全新的方法:为数字生活的每个角落制作独特的小单词和短语。这是朝着更加直观的用户界面世界迈出的又一步–一个新的,经过改进的数字世界,我们的所作所为变得更加自然,并且减少了混乱。