实施 NIST 密码指南的最佳实践

实施的最佳实践 NIST密码指南 （NIST特别出版物800-63B） 特别说明 ActiveDirectory 最佳实践概述 使用您的目录服务来执行基本密码指南 设定友好的密码政策 帮助用户帮助自己 禁止“常用、预期或损坏”密码 建立必要的安全控制 简化使用Spycloud的NIST密码指南 最佳实践Overview 导向层多年来，安全专业人员已经学到了关于密码 要求(应) 重要(应该) 期望(may) 策略会影响用户行为。事实证明，严格的密码复杂性规则和定期强制更改密码策略不会导致更强的密码。相反，它们使 人们更难记住的密码，鼓励危险的捷径，如选择 可预测的密码或在数百个帐户中重复使用一些收藏夹。 当用户走捷径时，网络犯罪分子会从中受益。攻击者系统地测试凭据从其他帐户的数据泄露中窃取，包括雇主的ActiveDirectory 在线服务提供商的服务。借助复杂的帐户检查工具，即使是简单的罪犯也可以自动填充凭据和密码喷洒 对各种目标的大规模攻击。 对于组织来说，控制用户的不良密码习惯是一个重大挑战。那就是为什么最新的密码准则由国家标准研究所创建和 技术（NIST）将人类行为考虑在内。最新的指导方针 在NIST特别出版物800-63B中，第5.1.1.2节，在人类友好鼓励强密码的策略和策略，以帮助企业降低风险。 将企业的密码策略与NIST的最新指南保持一致可以提供帮助鼓励更好的密码习惯并降低帐户接管的风险。您可以强制执行通过大多数目录服务提供的内置设置， 包括MicrosoftActiveDirectory。只有一些准则，例如确定是否密码被第三方泄露，需要外部强制执行。 使用目录服务执行密码基本准则 cv 您可以通过大多数目录服务（包括Active）实施基本密码策略 目录和AzureAD。 在ActiveDirectory中可执行: 最小8个字符 允许特殊字符 64+个字符最大 限制失败的登录尝试 SPYCLOUD.COM实施NIST密码指南的最佳做法|2 导向层 要求(应) 重要(应该) 期望(may) 设置8个字符的最小值 要求 NIST要求密码长度至少为8个字符。密码较短 攻击者很容易破解八个字符，因为SpyCloud自己的密码- 破解研究表明。 您可以在Microsoft中设置此要求ActiveDirectory通过钻进安全设置>帐户策略>密码策略并选择 “最小密码长度”。将字符数设置为至少八个。 允许64+个字符 重要信息 NIST建议允许用户设置至少64个字符的密码。长密码增加了罪犯破解暴露密码的成本。允许 宽范围的密码长度使得用户可以设置长密码和鼓励使用密码管理器。 在ActiveDirectory，Microsoft默认最多允许127个字符 在Windows10中，尽管您的里程在某些情况下可能会有所不同。对于 AzureAD，Microsoft最多允许256个字符。 允许（但不要求）特殊字符 重要信息 NIST建议允许使用Unicode和打印ASCII字符，包括 空格。（可以将连续的空格字符替换为单个空格，以帮助 错误键入的帐户。)对于选择允许Unicode的组织，NIST提供了提醒在散列之前规范化密码。 虽然建议允许64+个字符，但NIST禁止 截断密码。相反，请确保您遵守密码最大规则 与用户共享。例如，如果您通知用户您的最大密码长度为64个字符，不要只保存前32个字符。 ActiveDirectory默认情况下允许打印大多数ASCII字符，但不允许使用Unicode字符。 SPYCLOUD.COM实施NIST密码指南的最佳做法|3 导向层 要求(应) 重要(应该) 期望(may) 限制失败的登录尝试 要求 NIST要求组织限制失败的登录尝试，这可以使它更 攻击者访问您的用户帐户具有挑战性。在第5.2.2节中，准则指定重复登录尝试应限制为“不超过100”， 其他建议的预防措施，以确保实际用户不会被锁定。 这些选项可能包括使用CAPTCHA，增加某人必须等待的时间 每次登录尝试失败后，将IP地址列入白名单，以及任何其他基于风险的标记坏演员的方法。 在ActiveDirectory,您可以通过钻入安全性来限制失败的登录尝试设置>帐户策略>帐户锁定策略并选择“帐户” 锁定阈值”（设置为100或更小）。您可能还需要设置 “帐户锁定持续时间”和“之后重置帐户锁定计数器”，尽管 NIST不需要这些特定的fic值。 设置人性化密码策略 因为最新的NIST指南推翻了几十年来关于什么是强大的信念 passwordpolicy,theyprovidesignificantcoverageofwhatnottodo.Followtheseguidelines 避免设置鼓励用户不良习惯的要求。 NIST的人性化指南： 不需要复杂的密码 不要强制任意更改密码 不要使用密码提示或提醒 不要使用基于知识的身份验证 不需要复杂的密码 重要信息 NIST通过建议不要要求构图规则，例如 使用字母和符号的组合。理论上，使用字母、数字和 符号会增加破解密码的难度。但是，实际上，这种类型 的要求导致用户选择较短的密码，这些密码对他们来说是具有挑战性的记住，但罪犯很容易破解。 SPYCLOUD.COM实施NIST密码指南的最佳做法|4 导向层 要求(应) 重要(应该) 期望(may) 例如，用户可以使用像这样的密码来逃避大多数复杂性要求 'P@ssw0rd!'由于密码遵循所需的合成规则，因此用户 可能会认为他们已经做出了安全的选择。不幸的是，罪犯很清楚将“leetspeak”应用于字典单词或更改密码的做法 字符来回收它。许多帐户检查工具测试这种类型的密码变体更糟糕的是，用户可能会重复使用其“安全”密码选择的变体跨多个服务，使自己面临进一步的风险。 在ActiveDirectory,可以通过钻孔禁用密码组成规则进入安全设置>帐户策略>密码策略并选择 选择“禁用”。 不要强制任意更改密码 重要信息 NIST建议避免任意更改密码，例如常规密码 每90天到期一次。这种类型的要求使用户更难记住密码，并鼓励不良习惯，如选择弱密码，旋转 通过一组熟悉的密码，或“更新”现有的密码与微小的变化。 密码轮换对犯罪分子来说是一个福音。当组织强制密码过期时，犯罪分子知道一些用户将不可避免地循环使用旧密码，包括 那些在以前的违规行为中被曝光的人。这是罪犯会 在几个月或几年的时间里，耐心地测试其他账户的被盗凭证。 在ActiveDirectory,您可以关闭密码过期和相关设置通过钻入安全设置>帐户策略>密码策略和 进行以下更改： 1.选择“设置最大密码使用期限”，并将其设置为0以确保密码永远不会过期。 2.选择“强制密码历史记录”并将其设置为0，这将允许用户使用以前的密码。(而NIST建议 禁止以前违反的密码，它不会使关于限制以前的密码的建议。) 3.选择“设置最低密码使用期限”并将其设置为0以删除限制用户更改其密码的频率。 SPYCLOUD.COM实施NIST密码指南的最佳做法|5 导向层 要求(应) 重要(应该) 期望(may) 不要使用密码提示或提醒 要求 NIST建议不要使用任何类型的密码提示未经身份验证的一方可以访问，例如密码提示或提醒。用户可能会低估 在提醒字段中提供过多的信息，这可能使罪犯更容易来猜测密码并访问帐户。有些用户甚至会设置他们的实际密码作为提示。 默认情况下，ActiveDirectory已经不支持使用提示和提醒。 不要使用基于知识的身份验证 要求 NIST建议不要使用基于知识的身份验证提示，例如要求 用户的第一辆车的模型。通常，这些问题使用可通过公众获得的信息记录或社交媒体。此外，可能会提示用户回答相同的问题 跨多个服务，鼓励凭证重用。如果罪犯可以访问其他关于用户的信息，这种类型的认证可能很容易猜到。 默认情况下，ActiveDirectory已经不支持使用知识- 基于身份验证。 帮助您的用户帮助自己 NIST提供可用性指南，鼓励用户选择强密码，无需直接实施 requirements.Someoftheseareavailableout-of-the- 包含ActiveDirectory的框，但提供密码创建指南，如密码- 强度计。 ActiveDirectory支持： 提供查看完整密码的功能 允许用户粘贴密码 密码创建指南 SPYCLOUD.COM实施NIST密码指南的最佳做法|6 提供查看完整密码的功能 导向层重要信息 要求(应) 重要(应该) 期望(may) NIST建议允许用户选择一个选项来查看其完整密码，这可以帮助他们检查他们的条目是否有错误。可选地，NIST还建议在 用户输入的时间，以帮助移动用户避免错误。 ActiveDirectory为用户提供显示完整密码的功能默认情况下。 允许用户粘贴密码 重要信息 根据NIST的说法，粘贴密码的功能“有助于密码的使用 管理者，它们被广泛使用，在许多情况下，增加了用户将选择记忆更强的秘密。" ActiveDirectory默认情况下提供粘贴功能。 提供密码创建指导，如密码强度计 重要信息 NIST建议在用户创建密码时提供密码强度指导密码，可能采用密码强度计的形式。 密码强度计不可开箱使用活动 目录。鉴于NIST将fi分类为重要的而不是使用ActiveDirectory的组织可能会选择放弃此建议或包含密码强度参考资料 或对员工的教育。或者，您的组织可以评估一个 用于此目的的第三方工具。例如，这是 大多数密码管理器。 SPYCLOUD.COM实施NIST密码指南的最佳做法|7 导向层 要求(应) 重要(应该) 期望(may) 禁令“常用的、预期的或被泄露的“密码” 要求 NIST要求组织识别“常用、预期或受损” 密码，如果选择密码，则强制用户重置密码。根据NIST，这些包括，但不限于： 从以前的违规公司获得的密码。 字典单词。 重复或连续字符（例如“aaaaaa”、“1234abcd”）。上下文特定fic字，例如服务的名称、 用户名及其衍生物。 在使用不良密码习惯的帮助下，犯罪分子积极使用这些类型的常见和帐户接管攻击中的密码受损。在涵盖的53,000起安全事件中 在2018年Verizon违规报告中，48%涉及1被盗凭证。 遵循NIST指导来限制使用弱密码或暴露密码是最好的选择组织可以保护自己。但是，您可能无法获得此功能 从您的目录服务开箱即用。以下是一些最佳做法，可帮助您遵守 NIST的指导方针。 根据不断发展的列表检查用户的密码 对供应商进行测试 评估潜力的最佳方法 解决方案是通过把它工作通过概念证明，或 头对头“数据测试”，如果你比较多个供应商。 将密码与静态列表进行比较不会满足NIST的指导。新的违规行为会发生时间，不断增加组织的风险敞口。为了提供规模感， SpyCloud研究人员每月向我们的数据库添加约10亿个新的漏洞资产。 对于大多数安全团队来说，研究和实施大量的 breakdataontheirown.Organizationswithoutadedicatedteamtosupportthiseffort评估可以提供帮助的供应商。在评估解决方案提供商时，请寻找能够提供帮助的提供商定期收集新的违规数据，并为 您可以检查自己的用户密码。还要考虑提供商如何帮助您放置 要使用的数据。 询问潜在的解决方案提供商： 你多久识别一次新的您如何制作违规数据 违规?可操作的组织？ 您的数据库有多大我如何使用您的解决方案来检查 违规记录?弱或暴露的密码？ 您的数据库有多大您是否提供重置弱或 明文密码？自动暴露密码？ SPYCLOUD.COM实施NIST密码指南的最佳做法|8 导向层 在之后尽快获得新的暴露违反 要求(应)当数据泄露成为头条新闻时，最严重的损害已经造成。在 在违规事件发生后的前18到24个月，犯罪分子限制接触一