了解最新的 NIST 密码指南

了解最新的NIST 密码指南: 安全性符合可用性 三个共同 Factorsfor ExecutiveSummary 认证2017年6月，美国国家标准与技术研究院（NIST）发布了其74页 在本文中引用 已更新特别出版物800-63B关于数字身份指南。非监管联邦该机构隶属于商务部，其任务是“发展 信息安全标准和准则，包括联邦最低要求 系统。“。然而，该指南也是私营部门的一套最佳做法工业也是。 1 密码 你知道的东西 更新的指南放弃了长期以来的理念，即密码必须很长和复杂。相比之下，新指南建议密码应“易于 记住”，但“很难猜测”。根据NIST，可用性和安全性齐头并进。 除了放宽密码要求外，指南还包括多因素标准 8 2令牌 身份验证以及关于使用生物识别技术作为因素的警告，仅支持其认证中的“有限使用”。实际上，NIST对生物识别因素持怀疑态度它规定它仅与密码以外的东西结合使用作为一个因素 （“你知道的东西”），即一种特定的第二因素：“你拥有的东西”，就像一个硬或软令牌。 你有的东西简而言之，新的NIST指南对密码建议如下： 最少八个字符，最大长度至少64个字符 能够使用所有特殊字符（没有特殊使用它们的要求) 3指纹 禁止“常用、预期或 被泄露的“密码，包括字典单词 以及在以前的违规行为中暴露的密码 NIST建议不要采取以下措施： 你是什么基于知识的身份验证 提示和提醒忘记密码 组成规则 常规密码过期 现在，让我们深入了解NIST的最新指南。 SPYCLOUD.COM了解最新的NIST密码指南：安全性满足可用性|2 “如果你能图片在 你的头, 和没有 密码:容易记住,很难猜到 以前的违约风险敞口 少于8个字符 特定于上下文的单词 词典单词 另一个重复字符 可以,那是 一个好的密码”。 密码提示 在接受NPR采访时，NIST的高级标准和技术顾问PaulGrassi 监督修订，声称传统指南是“生产密码 对于坏人来说很容易猜到，对于合法用户来说很难猜到。” 记录了与猜测一样难以记住的密码 由机构。它甚至删除了建议使用特殊字符，大写和小写字符和允许的空格。此外，密码不需要在设置后替换有效期。 “如果你能想象它在你的脑海中，没有人可以，”格拉西说，“这是一个很好的密码。” 不用说，这对我们那些无法记住漫长而复杂的凡人来说是个好消息密码或顽固地拒绝使用密码管理器，由于多个漏洞 最受欢迎的服务。 因此，在围绕8-64++字符的较长密码的指导下，并nixingrequirement 对于特殊字符，很明显，围绕这些变化的哲学源于 对“出于安全考虑的可用性”的赞赏。某些常见密码可能不再现在可以使用所有Unicode和打印ASCII字符，包括空格 （不过，重复一遍，不再需要它们）。具体来说，指南解释了一些特定服务禁止使用特殊字符，以防止上传写入的有效载荷 为了利用某些Web表单的身份验证字段中的SQL注入(SQ1Li)漏洞，因此，为了安全起见，完全删除要求是有意义的。 该指南还禁止使用提示来恢复密码。NIST的立场是他们大大削弱了认证。 1对于单引号(')（在SQL中用作字符串终止符）或分号(;)（用于 结束SQL语句），并经常在各种连接处（例如admin'或1=1）中用于测试SQLi漏洞。如果Web表单尚未针对SQLi进行测试，Web应用程序在身份验证时理论上可能容易受到itSQLi的攻击凭据会针对包含用户名、密码甚至哈希值的数据库进行检查。但是根据Jim NIST信息技术实验室的Fenton，在新的指导下，这应该不是问题。” 他在演讲中写道，“所以SQL注入不应该是一个问题。” SPYCLOUD.COM了解最新的NIST密码指南：安全性满足可用性|3 身份验证器:这不是关于什么 建议你知道 你知道的东西 围绕最新NIST要求的社交媒体和行业讨论似乎集中在 事实上，当涉及到密码选择时，它们确实“用户更友好”。这些更改特别附于第5条身份验证器和Verifier要求, 它提供了特定于身份验证器的新指导。由于无数的服务 提供或建议双因素身份验证(2FA)，几乎每个人都在某个时候使用了验证的第二个因素。 + 本节的更新指南不仅仅针对密码(指南中提到的密码 toas“remorizedsecrets”).Newlanguageisalsointroducedaroundauthenticatorbeyond 只是“你知道的东西”，包括“你拥有的东西”-强调的重要性 8 你有的东西 输出必须至少改变每2分钟 不回收值 两个单因素认证器的组合：正如NIST所说，一个“记忆 secret”（密码）和“查找秘密”（令牌）。所谓的“软令牌”，如第三方身份验证应用，如GoogleAuthenticator和“硬令牌”，如物理 在指南的第5节中讨论了加密密钥或密钥卡。 NIST提供了关于应如何具体实现多因素身份验证的清晰度，这是否意味着使用多因素“一次性密码”(OTP)设备，多因素加密软件或多因素加密设备。新技术指南 指定多个密钥的偶数位长度要求及其算法(112位) 因素OTP身份验证器，以及身份验证器使用的密码要求 (随机选择的数字秘密，长度至少为6个十进制数字或具有可比性复杂性，如第5.1.1.2节所述)。 必须实时更改身份验证器输出的时间要求(在 至少每两分钟)也包括在内，给出的值必须只给出一次(不是 回收)。相比之下，GoogleAuthenticator生成的一次性代码介于六个和长度为八位数，其软件令牌每30秒更改一次。 SPYCLOUD.COM了解最新的NIST密码指南：安全性满足可用性|4 建议 你是什么 生物识别技术没有秘密 随着MacBookPro上的TouchID等面向便利的服务的出现，““你是”现在被用作工作场所外部和内部的认证因素。 最近的一项研究表明，90%的企业将通过以下方式使用生物特征认证2020.鉴于此，生物特征认证并未丢失NIST。它区分了生物特征 身份验证是概率性的，而不是其他因素，这些因素被描述为确定性的。 NIST的解释不仅限于指纹、面部识别和虹膜 用于识别的特征；该文件还考虑了行为特征，如把节奏输入为“你是什么”。 + NIST对其生物识别指南提供了警告，甚至只推荐 他们的“有限”使用。此外，NIST警告说，“生物识别技术不构成秘密”和警告说，它们可能是在受害者不知情的情况下获得的，例如通过拍摄 他们或未经他们许可或通过其他方式获取该信息 subversion. 你知道的东西 + 8 鉴于这些限制，NIST在第5.2.3节中解释说，生物识别技术只能用于“使用物理身份验证器进行多因素身份验证的一部分(你有的东西).“在其他单词,生物识别和你的密码是不够的.NIST合规性现在要求 除了生物识别之外，还添加了第三个因素，例如软令牌或硬令牌。“当生物识别认证符合第5.2.3节的要求，“阅读指南”，设备具有 除了生物识别之外，还要进行身份验证-生物识别被认为是一个因素，但不是本身被识别为认证者。“。因此，当使用 生物识别，这是不必要的使用两个认证，因为相关的设备作为 “你拥有的东西”，而生物特征则是“你是的东西”。 你有的东西 安全指南对于我们其他人 我们中那些想要解释我们个人使用指南的人可能会与 到与OTP应用有关的建议，如Google身份验证器(“你的东西 have”)以及一个密码(“你知道的东西”)来登录流行的应用程序和服务。我们中的许多人甚至还没有使用生物识别技术来登录。 纳入针对多因素的新指南(包括 生物识别因素)，为我们如何管理密码的重要性提供了更多背景 （我们“知道”）结合这些其他因素。 选择既容易记住又难以记住的密码的常识 猜测仍然存在，并且使用多因素身份验证不会降低 选择一个好的“记忆秘密”。相反，关于密码长度的新“轻松”指导复杂性只是承认人类的行为。 SPYCLOUD.COM了解最新的NIST密码指南：安全性满足可用性|5 “如果是 非用户友好, 作用弊户。“ “容易记住，难猜”的语言的加入本质上是每个人 hastakenawayfromtheupdatedguidelines.Withinit,NISTconsideredthehumanfactor 在联邦和行业指南中，不仅包括关于它增加的风险的语言，而且recommendations组织将可用性视为其整个风险评估的一部分，人们“努力记住”密码并携带多个设备。 图1：NIST关于可用性注意事项及其对组织整体影响的指导安全态势。 NIST顾问JimFenton发表了一个名为“迈向更好的密码要求”的演讲在Bides。他包括“指导原则”，其中包括“强大的用户” 经验，“尽可能给验证者而不是用户带来负担”，“不要问 用户做的事情不会显着提高安全性，“甚至”如果它不是用户友好的，用户作弊。” NIST结束了其指导，得出结论，长度和复杂性要求超出了这些他们建议只“增加记忆秘密的难度” 用户沮丧”。 但是有一种疯狂的方法。与Fenton评论说“用户作弊”时没有什么不同限制对他们不利，NIST哀叹，因此，“用户经常绕过这些 以一种适得其反的方式限制。“。NIST还提供了“其他缓解措施，如因为黑名单、安全哈希存储和速率限制在防止现代 蛮力攻击。因此，没有强加额外的复杂性要求。“在其他 换句话说，人类的行为是可以预测的。这使得罪犯更容易利用人类。 SPYCLOUD.COM了解最新的NIST密码指南：安全性满足可用性|6 NIST呼吁 组织 保护您的组织 威胁参与者已经很清楚最常用的密码是什么。 下面的屏幕截图来自托管组合列表的网站。这些通常在 拒绝地下市场或在在线“破解”社区上交易。威胁行为者加载这些 列表到自动凭证填充工具，并在僵尸网络的帮助下，测试被盗 密码同时针对许多网站(如银行网站或流媒体内容服务)的凭据。 这些列表通常上传到破解工具中，例如SentryMBA或Vertex。 是“通常 used, 如图所示，许多可供下载的字典包含经常使用的密码几种语言。 预期，或妥协“。 图2：威胁行为者在其组合列表中使用的字典的屏幕截图。 SPYCLOUD.COM了解最新的密码指南：安全会议可用性|7 这些是NIST指南希望缓解的情况类型。诀窍是 选择密码只有你知道，这样他们就不会出现在这样的名单上。 所有的互联网用户使用相同的密码 跨越所有 他们的帐户。 但即使是NIST也意识到它无法控制人类行为。与普通互联网用户管理200多个帐户，很难责怪59%的用户重复使用相同的帐户每个帐户的密码。当密码在三分之一中被泄露时 来自一项服务的当事人违约，也许最终会出现在组合名单上，罪犯会试图在多个服务上重用该密码。 NIST承认用户会参与这种行为，建议 组织通过拒绝“常用、预期或”的密码来降低风险 被泄露的“，包括但不限于字典单词，以前违反的密码，和重复的字符。 简化NIST密码指南与SpyCloud 大多数NIST准则可以使用目录服务中的内置控件来实施，如MicrosoftActiveDirectory。但是，公开密码的列表不断发展为新的对于繁忙的安全团队，跟上最新的违规数据并应用 它对用户凭据构成了重大挑战。 这正是像SpyCloud这样的解决方案可以提供帮助的地方。SpyCloud帮助企业与 NIST密码准则，通过根据最大的被盗数据库检查用户密码 世界上的凭证。迄今为止，已收回超过770亿的违规资产，还有10亿 每月添加一次，企业可以将SpyCloud的数据整合到他们的SIEM中，Active 目录和内部自定义应用程序，具有快速，高容量的访问。SpyCloud使当它真正重要的时候立即补救-在罪犯非法进入之前 公司系统和数据，或从消费者账户中提取现金和忠诚度积分。 借助SpyCloudActiveDirectoryGuardian，企业可以轻松操作SpyCloud的自动检测和重置ActiveDirect