供应商批准NIST密码草案 - 沐鸣娱乐新闻 - 沐鸣官网资讯 - 沐鸣网络电子科技有限公司 

全国统一热线:0755-29925678

沐鸣娱乐新闻

沐鸣平台资讯

行业动态

沐鸣相关新闻

供应商批准NIST密码草案

浏览次数:862日期:2019-07-09小编:沐鸣

  欢迎访问沐鸣平台网址,最近发布的国家标准与技术研究院(NIST)的数字身份指南草案已获得供应商的批准。准则草案修订了密码安全建议,并修改了安全专业人员在为其公司制定政策时使用的许多标准和最佳实践。


除其他事项外,新框架建议:


1、删除定期密码更改要求

PasswordPing的创始人迈克·威尔逊表示,已有多项研究表明需要频繁更改密码才能实现良好的密码安全性。 NIST表示该指南是建议的,因为当用户想要更改密码或有违约迹象时,应更改密码。


2、删除算法复杂的歌曲和舞蹈

没有更多的任意密码复杂性要求需要大写字母,符号和数字的混合。威尔逊补充说,与频繁更改密码一样,反复显示这些类型的限制通常会导致更糟糕的密码。 NIST说如果用户想要一个只是表情符号的密码,他们应该被允许。注意存储要求非常重要。 Salting,hashing,MAC,如果攻击者获得密码文件,则很难完成离线攻击。


3、要求根据常用或受损密码列表筛选新密码

他说,提高用户密码强度的最佳方法之一是根据字典密码列表和已知的密码密码进行筛选。 NIST补充说,字典单词,用户名,重复或顺序模式都应该被拒绝。


“这些建议中的所有三个都是我们现在建议的东西,现在有密码强度计可以屏蔽受损的凭证,而不仅仅是常用的密码,”Wilson说。“虽然新的没有明确提到它NIST框架,我们认为另一个重要的安全实践是定期检查您的用户凭据与已知的受损凭证列表。“


NIST的报告作者之一Paul Grassi指出,上述许多指南现在只是强有力的建议,并非强制性的。公众意见征询期于5月1日结束,现在草案正在进行内部审核。预计将在夏季初至中期完成。


“我们期待在不久的将来有一天,技术,文化和用户偏好可以更广泛地接受这些要求。也就是说,我们审查了该领域的大量研究,并确定组合和到期对安全性的影响很小,同时绝对损害用户体验。糟糕的用户体验是我们心中的一个漏洞,“他说。 “我们需要技术来支持这一点(并非所有密码存储都支持),因此我们不希望创建由于技术限制而无法满足代理机构要求的要求。”


用户通常会通过将特殊字符替换为alpha来找到解决组合规则等限制的方法。他说,因为坏人已经知道所有的技巧,所以这对密码的真实熵几乎没有增加。 “每个人都知道感叹号是1,或I,或密码的最后一个字符。 $是S或5.如果我们使用这些众所周知的技巧,我们不会愚弄任何对手。我们只是在愚弄存储密码的数据库,认为用户做了一些好事。“


在对密码的新要求方面,他说NIST很高兴引入密码存储要求,这使得离线攻击更加困难。他说从根本上说,如果做得对,新版本可以更好地识别密码是否具有有效的作用。 “然而,我们提供了一系列新选项,使代理商能够利用用户可能已拥有的工具,如智能手机,身份验证应用或安全密钥。这使代理商可以通过不必发布物理设备来节省资金,但通过接受用户已有的强大验证器来增加其安全状况。“


诺克实验室首席执行官Phil Dunkelberger表示,用户名和密码范例已经过了很长时间。增加密码复杂性要求并要求频繁重置只会增加边际安全性,同时会大大降低可用性。


我们很高兴看到像NIST这样的国家组织推荐更新并改变不再适用的范例。

Nok Nok Labs首席执行官Phil Dunkelberger


“大多数安全专业人员都会承认,虽然这些政策在纸面上看起来不错,但是他们会对最终用户产生认知负担,他们通过跨站点重复密码来应对,并采取其他措施来应对这大大削弱了整体安全性。我们很高兴看到像NIST这样的国家组织推荐更新并改变不再有效的范例,“他说。


用户反应

SecuredTouch的联合创始人兼首席产品官Ran Shulkind表示,新的密码指南很有意义。 “人们必须管理的密码量和'特殊字符'最终会使事情变得不那么安全。但是,密码实际上变得不像以前那么重要了。威胁不断增加,用户厌倦了输入用户名,密码和其他识别码 - 无论结构如何。


多因素身份验证(MFA)在某些行业中已成为强制要求,并且在其他行业中自愿采用。 Shulkind说,它增加了另一层安全性,包括你知道的东西(密码),你拥有的东西(令牌或短信),或者你的东西(指纹或行为)。


“最终,这一切都是为了平衡安全性和用户体验。虽然MFA确实增强了安全性,但它可以阻止用户使用应用程序或执行交易。这就是为什么组织正在寻找更加用户友好的组件,比如行为生物识别技术,以减少摩擦,允许更平滑的设备交互和更高风险的交易,“他说。


Cybric的联合创始人兼首席信息官Mike Kail表示,基于用户与其设备的物理交互(手指压力,打字速度,手指大小)进行分析和验证的行为生物识别技术最终将完全淘汰对密码的需求。


“我认为新框架中的更新是正确的,战术方向的一步,尤其是密码轮换更改要求,”他说。


他希望看到更多的战略方法,例如要求Cloud IdP / SSO提供商并监控异常活动。他还提到为用户提供密码管理工具。


Exabeam威胁研究主管Barry Shteiman表示,这是NIST标准的一个非常积极的变化。 “凭证填充(使用受损的凭证数据库并将其与认证机制重放)已经变得非常普遍,尤其是在出售或有时在线发布的违规信息时。”


Absolute的全球安全战略家理查德亨德森认为,这种变化也使字典和彩虹攻击对测试凭证的作用降低。 “可悲的是,在创建和使用密码时,我们经历了多年越来越多的令人困惑和矛盾的建议,这导致了常规互联网用户的混乱和混乱。”


“当你添加这个简单的概念时,仍然有许多网站存在可怕的密码策略,甚至更糟糕的是,仍然以明文形式存储密码,我们真的很惊讶人们的习惯会导致密码重用或弱密码?” “亨德森思索道。


他说,最重要的建议是不断扫描和摄入已知易受攻击和被盗的密码列表进行比较。 “除了可能最大限度地降低密码重用风险和创建较弱密码的想法之外,它还可以提醒公司注意其用户遭到破坏的可能性。如果像247KangarooKiwi这样的密码!显示在某个地方的受损列表中,这是您的一个用户使用的密码,看看他们的公司或工作端点设备并寻找妥协证据是一个可怕的大红旗。


他说,NIST建议允许完整的ASCII和Unicode密钥空间也是好的,因为它增加了攻击者使用暴力强制企图破解的密钥空间。


AppRiver安全研究经理Troy Gill记得经常听到密码已经死亡。 “在过去十年中,新的身份验证技术已经走过了漫长的道路。然而,大多数实施密码的服务在线服务的大幅增加导致了一点密码临界质量,“他说。


他指出,这些建议也与英国NCSC去年制定的指导方针基本同步。


“在一个完美的世界中,要求每隔几个月更改密码是个好主意。但作为人类,我们的“湿软件”具有固有的局限性,可以阻止我们大多数人做我们所知道的最安全的事情。相反,我们用满足最低要求的东西代替,并且可以最轻松地管理,“他说。 “让我们面对现实吧,今天人们需要记住的密码数量惊人,大多数需要频繁更改,而且还需要记住。


他说,这种持续的流失不可避免地导致用户实施常见的,可预测的密码,将其记录在不安全的位置,重复使用多个在线帐户上的密码,并仅使用先前密码的轻微变化。他同意30/60/90天密码更改会适得其反。


他希望看到一种更加“事件驱动”的方法,以便在需要密码重置时,而不是常规计划。例如,如果一个组织完全怀疑违规行为,则需要全面更改密码是合适的。保证密码更改的其他事件将包括从无法识别的设备或意外位置登录的特定用户。 “投资能够更轻松地发现这些类型的事件能够建立更强大的安全态势,”他说。


吉尔说,确实需要更多算法复杂度的尝试通常具有非常可预测的结果。就像NIST在其密码“密码”指南中使用的示例一样,变形为“password1”,后来变为“password1!”。


“虽然最后一次迭代在技术上可能更复杂,但它基本上与原始迭代一样弱,因为它既常用也可计算可预测。我还希望看到“密码”这个词被'密码短语'取代,因为冗长的密码短语可以更容易记忆,更难以在强力攻击中破解,“他说。


他说,使用常用密码和受损密码的列表可以非常简单地实现,并且可以做出显着的改进。对于包含任何用户/客户的列表,组织还应该集中精力监控可能出现违规密码的网站位置。


Gemalto产品管理总监Eric Avigdor指出,密码一直是一种弱安全工具,传统观点认为消费者应该创建复杂的密码,经常更新。


“现实情况是,无论密码变更多久或密码有多困难,密码都很薄弱,人们通常只有一两个密码的变体。中间人或浏览器黑客中的人即使非常冗长和复杂也可以使用您的密码 -  IT管理员可以看到您的密码,您的银行可以看到您的密码,“他说。


他说,指南认识到解决密码问题的方法是接受密码较弱并添加其他互补的身份验证因素,无论是移动或硬件OTP令牌以及基于PKI的USB令牌还是智能卡。


Avigdor提到更多依赖于使用智能卡使用PKI令牌。这涉及输入除了智能卡的所有者之外从未向任何人透露的PIN。

关注沐鸣官网,获取更多最新行业资讯


如果你对我们的服务感兴趣,可以给我们留言,我们会第一时间联系您。

扫描关注微信

Copyright © 2017 沐鸣网络科技有限公司 版权所有