下述觀點可能會顛覆關于密碼衛(wèi)生最佳實踐的共同信念。

　　無可否認，在互聯(lián)網(wǎng)安全問題日益明顯的今天，人們越來越期盼一種無需密碼、安全便捷的方式。甚至安全專家長期以來也一直堅持“消滅密碼”的觀點，他們對這種世界上最古老的身份驗證技術所存在的種種問題感到頭疼。但事實上，密碼不僅是有效的，而且仍然是企業(yè)設置中的主要登錄憑據(jù)。數(shù)據(jù)顯示，全球大約70%的組織仍在依賴“以密碼為中心”的身份驗證方法。

　　雖然組織絕對應該嘗試提高多因素身份驗證 （MFA） 和無密碼身份驗證器在其系統(tǒng)中的滲透率，但與此同時，他們也應該盡其所能提高現(xiàn)有憑證系統(tǒng)的安全性。值得注意的一件事是，過去幾年的許多新研究和指導方案已經(jīng)修改了行業(yè)關于密碼最佳實踐的共識。

　　例如，美國國家標準與技術局（NIST）《數(shù)字身份指南》（特別出版物 800-63B）的最新版本在多個方面挑戰(zhàn)了有關密碼衛(wèi)生的傳統(tǒng)認知。新版指南修改了密碼安全建議，不再要求定期修改密碼。原因是多項研究顯示，頻繁的更改密碼沒有預想的效果，事與愿違，達不到保護密碼安全的目的。NIST 的最新推薦是在用戶想要修改的時候去修改密碼，或者是有入侵的跡象時應立即修改密碼。

　　NIST 也不再要求密碼混合大寫字母、字符和數(shù)字，因為研究顯示此類的要求并不能帶來強密碼。NIST 認為，如果用戶想要使用繪文字作為密碼，那么就應該允許用戶使用。NIST認為最重要的是儲存的密碼必須鹽化哈希MAC處理。

　　以下是網(wǎng)絡安全領導者應該知道的有關密碼的一些最新的非常規(guī)認知：

        1. 密碼并非一無是處

　　密碼和密碼策略一直存在可用性和安全性的爭議，雖然非議不斷，但它們?nèi)匀皇瞧髽I(yè)內(nèi)外的主要身份驗證方式，原因就在于它們非常易于使用。

　　著名安全專家兼數(shù)據(jù)泄露自查網(wǎng)站Have I Being Pwned的創(chuàng)始人Troy Hunt解釋稱，

　　“我們需要更多地贊揚傳統(tǒng)意義上的密碼做得非常好，而想要讓密碼比其他任何事物都做得更好的關鍵在于，每個人都知道如何正確地使用它們。”

　　一個適當?shù)皿w的密碼總比“無密碼”要好。升級到完全無密碼的身份驗證在很長一段時間內(nèi)可能都得不到許多系統(tǒng)的認可——鑒于成本、復雜性和可用性等諸多因素。盡管如此，組織仍然應該盡可能爭取多因素身份驗證（MFA）在系統(tǒng)內(nèi)的采用率。據(jù)Microsoft 研究人員稱，它提供的保護要比單獨的密碼多99.9%。

　　2. 復雜性規(guī)則沒有你想象的那么重要

　　傳統(tǒng)的觀點是，必須使用一定數(shù)量的大寫、小寫、數(shù)字和符號等的組合規(guī)則來控制密碼的復雜性。但最近的研究表明，這樣做的效果甚微。原因不僅在于密碼隨機化（也稱為密碼熵）對破解機制無效，這種密碼對于破解密碼工具來說，只需要增加一些代碼即可破解；而且人們會忘記這種復雜的隨機字符串，并最終采用非常好預測的組合（如p4$$w0rd?。⑾到y(tǒng)置于危險之中。如果是這樣的話，對于任何人而言，根據(jù)這種規(guī)則的密碼強度幾乎與弱密碼相差無幾，收效甚微。

　　3. 篩選新密碼是必須的

　　根據(jù)NIST《數(shù)字身份指南》（特別出版物 800-63B）所言，最好的方法不在于使用復雜性規(guī)則，而是在允許它們過關之前在幾個重要方面篩選新密碼。傳統(tǒng)的觀點仍然認為，對于包含字典單詞、重復或連續(xù)字符以及上下文特定的單詞（例如所登錄服務名稱或用戶名的派生詞）的新密碼和重置密碼都應該列入黑名單。但在此之上，最新的最佳實踐還利用了可以將潛在的新密碼與先前泄露的憑據(jù)的已知語料庫進行比較的機制，利用諸如Have I Being Pwned之類的數(shù)據(jù)庫來執(zhí)行此操作。

　　4. 放棄定期重置

　　過去，定期更新密碼是企業(yè)組織可以想到用于應對暗網(wǎng)上被盜密碼浪潮的最佳方式。但如今，這種共識已經(jīng)發(fā)生了變化。如果沒有理由懷疑密碼被盜，那么要求用戶每6個月更改一次密碼是不必要的麻煩事。同時，如果有跡象表明憑據(jù)已經(jīng)在某人的密碼轉儲中，那么最好立即更改它。

　　因此，2021年良好的密碼衛(wèi)生不僅需要在設置新憑據(jù)之前檢查被盜密碼語料庫，還應該包括對現(xiàn)有密碼的定期檢查。當憑據(jù)被標記時，應鼓勵或要求用戶立即更改其密碼。

　　5.   放寬密碼長度限制

　　傳統(tǒng)觀點和NIST指南都表示，密碼的絕對最小長度應該是八個字符。但是NIST進一步指出，管理員應該嘗試允許用戶“在合理范圍內(nèi)設置盡可能長的密碼”。這是因為越來越多的研究表明，雖然密碼熵并非應對破解的絕佳策略，但是超長的密碼顯然更有效。

　　不幸的是，許多登錄系統(tǒng)都對最大密碼長度設置了上限。很長一段時間內(nèi)，Windows 不允許密碼超過14個字符。但在去年，情況發(fā)生了變化。如今，微軟已經(jīng)推出了新的安全設置，以鼓勵需要更長密碼的密碼策略的流行，允許管理員放寬長度限制，以便用戶最多可以使用 128 個字符來制作更長的密碼短語。

　   6. 讓用戶剪切和粘貼密碼

　　NIST最新指南不要求使用密碼管理器，但其他NIST文檔確實鼓勵使用這些工具，并建議組織設計其登錄流程以方便使用密碼管理器。關鍵推動因素之一是允許登錄輸入使用粘貼功能，以便用戶可以輕松地從他們的密碼庫中剪切和粘貼憑據(jù)。

　　7. 停止使用安全問題進行重置

　　驗證自助服務密碼重置和密碼故障排除最普遍的機制之一，就是關于個人信息（例如母親的姓氏或父親的名字等）的安全問題列表。

　　NIST已經(jīng)非常明確地指出了這些標識符的脆弱性，要知道暗網(wǎng)上可是充斥著從以往的數(shù)據(jù)泄露事件中竊取的此類個人信息數(shù)據(jù)。組織應該轉為使用帶外數(shù)據(jù)（out-of-band data）等方式。

　　所謂帶外數(shù)據(jù)，有時也稱為加速數(shù)據(jù)（expedited data）， 是指連接雙方中的一方發(fā)生重要事情，想要迅速地通知對方。這種通知在已經(jīng)排隊等待發(fā)送的任何“普通”（有時稱為“帶內(nèi)”）數(shù)據(jù)之前發(fā)送。帶外數(shù)據(jù)設計為比普通數(shù)據(jù)有更高的優(yōu)先級。