目前较好的口令建议
这些建议的总体问题是MFA和口令管理器不能适用于所有站点和设备。这意味你不得不使用一些口令。如果你的口令管理器选择了随机,长且复杂的口令,这些口令只适用于你的某些设备,而对其他设备无效,这意味着你需要记住或者记录那些长而复杂的口令,以备不时之需。 为什么NIST改变了其口令策略 所以,无论如何你必须设置自己的口令。如果你使用了长口令,有一定的概率你会重复使用它们或者只是在不同站点做一些细微的变化。如果我们都开始使用长又简单的口令,大部分人可能会使用简单的英语单词。就像我们今天遇到的口令复杂性问题一样——复杂的口令实际上并不复杂(因为大多数人使用相同的32个字符),我们可能会创建黑客更容易猜到的口令。我们创建的口令从一个糟糕的口令,例如“Password”变成了“ThisIsMyPassword”,或者类似的口令。 NIST认为重复使用和不够复杂的口令将带来极大的风险,而这两者也是其指南试图所避免的。 引发争议的NIST转变 几十年来,建立的口令策略要求使用长而复杂的口令,并定期更改口令。所以应该讨论口令应该多长,多复杂,多久进行更改,而不是对基本原则进行讨论。 这份在2017年6月发布的NIST口令策略最终版,颠覆了全球长期以来的口令原则。现在,NIST表示使用更短且不复杂的口令是可以的,并且除非口令遭到泄露否则永远不用更改口令。 NIST的新口令策略是根据以往大部分口令的泄露方式决定的。黑客活动的最初几十年,大多数口令都是通过口令猜测或破解(例如将一个非明文形式转换为口令明文形式)而泄露的。在这种威胁环境中,使用长而复杂的口令是有意义的。 如今,大多数口令都因底层口令存储数据库和社交工程遭到大量侵入而遭到泄露。互联网上有数以亿计的登录名/口令组合,任何人都可以轻松访问或购买。这种发起威胁的方式并不关心口令的长度或复杂程度。此外,长度和复杂性要求增加了用户在其他站点上使用相同口令的概率。有一项研究表明,普通用户有6到7个口令,会在100多个网站上重复使用。这是灾难的根源。NIST表示考虑到不断变化的战场,遵循旧的建议将使你更有可能因为这些决定而受到损失。 这个变化如此之大,以至于近乎所有计算机专家都拒绝相信,因此也拒绝遵循新的指南。更重要的是,计算机安全法规或指导机构(PCI-DSS, HIPAA SOX等)也不例外,没有一个机构计划更新他们的口令策略。 关于这次口令争论 许多人都是NIST忠实的支持者,因为讨论和制定新NIST政策的是一群专注,有想法的,希望提高计算机安全的研究人员。NIST以前决策背后的数据通常是令人信服的。所以没有理由只是因为每个人的直觉都不想接受新的建议,而去反对NIST。大家应该以数据为导向。
凯文·米特尼克用强有力的论据,证明使用短口令很容易被黑客攻陷。从那以后,他提出了更多证据和案例来支持自己的观点,认为所有人不仅应该遵从旧的建议,还应该确保口令更长(至少12到16个字符)。 (编辑:鄂州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
