长而复杂的密码的时代已经过去

随着威胁的发展,创建密码以挫败恶意分子的建议也随之而来。这是最新的建议

 长而复杂的密码的时代已经过去
Thinkstock

最近,微软发布了 新密码政策建议书 包含与该主题的传统见解不符的建议。一些逆势观点包括:

  • 消除长密码要求
  • 消除复杂性要求
  • 取消密码有效期限

除了这些非常规的建议,还有很多有用的建议:

  • 禁止常用密码
  • 消除密码重用
  • 实施多因素身份验证
  • 应对基于风险的多因素身份验证挑战

总之,这是我很长时间以来见过的更有用的密码参考之一。如果您问我,其中一些更新的建议已过期。要了解原因,您需要了解一些有关密码准则如何演变的知识。

常规密码智慧

大多数公司实施的传统密码建议通常要求密码长度至少为8到12个字符,复杂度至少包括三个不同的字符集(字母,大写,小写,数字,符号等),以及规定至少应每90天更改一次密码。

大多数公司花了几十年时间才能严格执行这些建议。而且,这些相同的公司可能仍然拥有一两个无法执行该政策的系统。

用户如何处理这些密码规则?他们勉强地从没有到期日期或复杂性的短的六个字符的密码迁移到复杂的长字符串。这一举动使大多数人难以记住他们为密码选择的内容,这是现在最好的解决方法。 经典的XKCD卡通.

密码问题如何改变

在最初通过使用更长,更复杂,更频繁更改的密码的痛苦之后,用户在很大程度上已经接受了它作为一种生活方式。实施这些建议实际上降低了密码猜测/破解的风险。

但是在过去的十年中,黑客改变了他们攻击密码的方式。过去,大多数密码攻击者实际上都是在猜测用户的密码。他们找到了一个外部可访问的门户,可以在其中使用手动或自动方法进行猜测-或者他们找到了密码哈希并使用了 彩虹桌 将密码转换回等效的纯文本。

今天,几乎所有的密码攻击都是两种类型之一。用户要么是通过密码进行了社交工程设计(仿冒),要么是攻击者窃取了其哈希并在其他身份验证尝试期间使用了它。在这两种情况下,长而复杂的密码都提供很少的保护。是的,一些攻击者和恶意软件仍在尝试猜测密码,但现在却很少。

新的密码攻击方法需要新的策略。

八个(最多12个字符)就足够了

如果您在尝试X次密码后使用帐户锁定-或监视非常快的自动密码猜测实例并向其发出警报,则大多数情况下,八到12个字符的密码就足够了。您可以添加复杂性要求,但是并不能进一步提高保护水平。 (实际上,正如XKCD动画所示,它可能是有害的。)

我最近在一些网站上注册,在这些网站上用户不太可能输入敏感信息。没有理由要求额外的复杂性-但是这些站点要求包含四个或五个字符集的密码!真是疯了我最终得到了一个我永远都不会记得的gobbledygook密码。

让我们使用更长的密码

如今,许多公司每隔45至90天就需要新密码。我说强迫每120到180天进行一次更改就可以了。我见过一些公司将强制更改密码的时间推迟到一年,而密码黑客问题没有任何增加。

话虽如此,我仍然认为特权较高的帐户应该非常频繁地更改其密码,也许每天或每次使用一次。实际上,这可以确保您需要其他软件来完成此操作,但是由于这些帐户是攻击者的目标帐户,因此很有意义。

不要跨安全域重复使用密码

该建议非常庞大-难以执行。当您跨安全域,网站或各种服务重复使用密码时,您的黑客入侵风险将成倍增加。由于密码重用,最近发生了许多大型黑客事件。

许多公司甚至下载(或订阅下载的商业服务)非法获得的网站密码数据库,以查看其员工的密码是否位于其中。如果是这样,员工会收到警告-甚至可能被解雇。

使用基于风险的方案

我对实施基于风险的多因素身份验证挑战的建议特别感兴趣。有意义的是,较高风险的方案应要求更大的身份验证保证。

例如,如果您从普通计算机从常规位置登录电子邮件帐户,甚至可以允许使用存储的简单密码进行某种自动登录。但是,如果您尝试从新国家/地区的新计算机登录到同一电子邮件帐户,则需要采取更有效的措施。 Hotmail现在对我来说是这种方式:我在家中自己的计算机上使用简单的密码,但是如果我从新酒店登录到同一帐户,则需要输入通过文本发送到手机的PIN码。

微软的风险评估机制甚至足够聪明,可以识别出我经常出差,因此,直到我处于高风险地区或我从上次登录位置走了很远,很快。

密码政策变更问题

我很乐意看到这些新的密码策略在一夜之间实现。不幸的是,无论微软或任何其他供应商的建议如何,大多数公司都被一个或多个监管机构强制采用传统的密码策略。

监管机构花了数十年的时间来实施那些过时的要求。这些相同的监管机构可能需要十年时间才能接受任何新的,改进的密码策略。即使我们决定要实施一套新的密码策略-即使这些更改已得到数据的支持-法规也将远远滞后并可以防止发生更改。

这些旧规则中的一些非常愚蠢。例如,根据大多数监管政策,六到八个字符的复杂密码是可以接受的,但没有一个允许由随机单词组成的42个字符的非复杂,易于记忆的密码,即使毫无疑问,后者更能抵抗攻击。

它提醒我,安全策略和真正的安全性之间通常会有区别。一种是坚决的格言,另一种是面对新的攻击和事实时更快,更灵活。

尽管如此,我们大家都需要重新考虑我们的密码策略。我们和监管机构需要像攻击者一样迅速行动。

版权© 2016 IDG通讯,Inc.