了解最新的 NIST 密码指南

了解最新的NIST密码指南： 安全性符合可用性 认证的三个共同因素 在本文中引用 1 密码 你知道的东西 执行摘要 2017年6月，美国国家标准与技术研究所(NIST)发布了其74页的更新特别出版物800-63B关于数字身份指南。该非监管性的联邦机构隶属于商务部，负责“制定信息安全标准和指南 ，包括对联邦系统的基本要求。”然而，该指导文件同时也为私营部门各行业提供了最佳实践的一套标准。 更新后的指导方针放弃了长期以来认为密码必须既长又复杂的理念。相反，新指南建议密码应“容易记住”但“难以猜测”。根据NIST（美国国家标准与技术研究院），可用性和安全性相辅相成。 125833237 此外，该指南还包括多因素认证的标准，并对生物识别因素的使用提出了警告，仅支持其在身份验证中“有限使用”。事实上，NIST对生物识别因素持高度怀疑态度，规定只能将其与其他因素（而不是密码，“你知道的东西”）结合使用，具体来说是一种特定类型的第二因素，例如硬令牌或软令牌。 你有的东西 2 令牌 简而言之，新的NIST指南对密码建议如下： 检查圆 最少8个字符，最大长度至少64个字符检查圆 使用所有特殊字符的能力(没有特殊要求使用它们)检查圆 一种禁止使用“常用、预期或已被泄露”的密码的方法，包括字典单词和之前数据泄露中暴露的密码。 3 指纹 你是什么 NIST建议不要采取以下措施： □ 基于知识的身份验证 □ 提示和提醒忘记密码 □ 组成规则 □ 常规密码过期 现在，让我们深入了解NIST的最新指南。 SPYCLOUD.COM了解最新的NIST密码指南：安全性满足可用性|2 “如果你能图片在 密码：容易记住，很难猜到 你的头, 以前的违约风险敞口 和没有另一个 可以，这是一个很好的 密码”。 少于8个字符 特定于上下文的单词 词典单词 重复字符 密码提示 Inan采访NPR,nist的高级标准和技术顾问保罗·格拉西在修订过程中指出，传统的指导方针“生成的密码对于恶意用户来说很容易猜到，而对于合法用户来说则很难猜到。”机构对此表示了充分的理解和不满，甚至放弃了建议使用特殊字符、大小写字母和空格的做法。此外，密码不再需要在固定的有效期后进行更换。 “如果你能想象它在你的脑海中，没有人可以，”格拉西说，“这是一个很好的密码。” Needlesstosay,这对于那些无法记忆长而复杂的密码或stubbornly拒绝使用密码管理器的普通用户来说是好消息。多个漏洞在最受欢迎的服务. 因此，在围绕8-64++字符的较长密码的指导下，并nixingrequirement 对于特殊字符而言，很明显这些变化背后的哲学源于对“以安全为用”的重视。某些常见的密码可能不再被使用，而所有Unicode和打印ASCII字符现在都可以使用，包括空格（尽管再次强调，它们不再是必需的）。具体指导说明指出，某些特殊字符曾被特定服务禁止使用，以防止上传利用SQL注入（SQLi）漏洞的负载代码。1在某些网页表单的身份验证领域，从安全角度考虑，干脆完全取消这一要求更为合理。 该指导还禁止使用恢复密码的提示。NIST的立场是，这些提示会显著削弱身份验证的安全性 。 1这尤其适用于像单引号（‘）（在SQL中作为字符串终止符使用）或分号（；）（用于结束SQL语句）这样的字符，这些字符经常与其他内容结合使用（例如“admin’or1=1”等），以测试SQL注入漏洞。如果一个网页表单没有经过适当的安全处理 ，testedforSQLi,当身份验证凭据与包含用户名、密码或其哈希值的数据库进行比对时，网络应用程序理论上可能对它S QLi（SQL注入）攻击存在漏洞。但根据NIST信息技术实验室的JimFenton在presentations中的说法，这在新的指导方针下不应该成为问题。“验证器应当无论如何对输入进行哈希处理，”他在presentation中写道，“因此SQL注入不应成为担忧的问题。” 了解最新的NIST密码指南：安全性满足可用性|3 身份验证器：这不是你所知道的 建议 关于最新NIST要求的社会媒体和行业讨论似乎集中在这些变化确实“更加用户友好”，尤其是在密码选择方面。这些改变特别包含在第5节中。身份验证器和验证器要求，它提供了特定于身份验证器的新指导。感谢无数的提供或建议使用双因素身份验证(2FA)的服务，几乎每个人都在某个时候使用了第二个因素来进行身份验证。 你知道的东西 + 125833237 你有的东西 输出必须至少每2分钟更改一次 □ 无回收价值 这一部分更新的指导不仅限于密码（指南中将其称为“记忆秘密”）。还引入了关于认证器的新语言，不仅包括“你知道的东西”，还包括“你拥有的东西”——强调了两因素认证中结合使用两个单一因素认证的重要性：正如NIST所指出的，“记忆秘密”（密码）和“查找秘密”（令牌）。所谓的“软令牌”，如第三方身份验证应用（例如GoogleAuthenticator），以及“硬令牌”，如物理加密钥匙或一次性密码生成器，在整段文字中都有讨论。Section5的准则。 NIST提供了关于具体如何实施多因素认证的清晰指导，无论这意味着使用多因素“一次性密码” （OTP）设备、多因素加密软件，还是多因素加密设备。新的技术指南甚至详细规定了这些实施方法。多因素OTP认证器的秘密密钥及其算法的位长度要求(112位)，以及认证器使用的密码要求（随机选择的至少6位数的数值密钥或同等复杂性，如文中所述）第5.1.1.2节). 实时环境下，认证器输出必须更改的时间要求（至少每两分钟更改一次）也包括在内，并且给出的值只需给出一次（不可重复使用）。相比之下，GoogleAuthenticator生成的是一次性密码 ，长度在六到八位之间，并且每30秒改变一次软件令牌。 了解最新的NIST密码指南：安全性满足可用性|4 ✁议 你是什么 + 生物识别技术不是秘密 随着以便利为导向✁服务✁出现，如MacBookPro上✁TouchID，“你是什么”现在✲用作工作场所外部和内部✁认证因素。A最近✁研究✁议到2020年，90%✁Businesses将使用生物识别认证。鉴于此，生物识别认证并未✲NIST忽视。NIST将生物识别认证区分为概率性因素与其他描述为确定性✁因素。并且NIST✁解释不仅限于指纹、面部识别和虹膜等身份特征；文件还考虑了如打字节奏等行为特征作为“你是谁”✁一部分。 NATIONALINSTITUTEOFSTANDARDSANDTECHNOLOGY提供了对其生物识别指导原则 ✁警示，甚至✁议仅“有限使用”生物识别技术。此外，NATIONALINSTITUTEOFSTANDARDSANDTECHNOLOGY警告称，“生物识别信息并不构成秘密”，并警告称它们可能在受害者不知情 ✁情况下✲获取，例如通过拍摄照片或未经其许可通过其他方式获取这些信息，或者通过篡改手段获得。 你知道✁东西 125833237 + 鉴于这些限制，NIST在第5.2.3节生物识别技术只能“作为具有物理认证器✁多因素认证✁一部分”(你有✁东西)。“换句话说，生物识别和你✁密码是不够✁.NIST合规性现在要求除了生物识别之外还需添加第三个因素，例如软令牌或硬令牌。“当生物识别认证符合第5.2.3节 ✁要求时，”指导文件指出，“设备除了生物识别外还需要进行身份验证——生物识别✲视为一个因素，但不能单独作为认证因子。”因此，在使用生物识别进行身份验证时，并不需要使用两个认证因子，因为相关✁设备充当了“你所拥有✁东西”，而生物识别则充当了“你自身”✁角色。 你有✁东西 我们其他人✁安全指导 我们中打算将指导方针用于个人用途✁人可能会关注推荐✁基于OTP应用（如Google认证器）“您所拥有✁”以及密码“您所知道✁”来登录流行✁应用程序和服务。许多人都还没有使用生物识别技术进行登录。 包含针对多重因素✁新指导（包括新✁关于生物识别因素✁有限指导），提供了更多关于如何管理我们所“知道”✁密码与这些其他因素相结合✁重要性背景。 常见✁密码选择智慧仍然是既要容易记住又要难以猜测，并且多因素身份验证并不减少选择一个好✁“记忆秘密”✁重要性。相反，新✁“宽松”密码长度和复杂性指导方针只是承认了人类✁行为。 了解最新✁NIST密码指南：安全性满足可用性|5 “如果是 用户不友好，用户作弊。" 新增✁“容易记住、难以猜出”✁语言本质上就是大家从更新✁指南中获得✁主要内容。在其中，NIST考虑了人在联邦和行业指导中✁因素，并不仅包括其带来✁风险，还涵盖了其他相关语言。recommendations鉴于人们“难以记住”密码并随身携带多台设备，组织在进行整个风险评估时应将易用性考虑在内。 图1：NIST关于可用性考虑因素及其对组织整体安全状况✁影响✁指导。 NIST顾问JimFenton发表了一个名为“迈向更好✁密码要求在BSides会议上，他提到了“指导原则”，其中包括诸如“强烈✁用户体验”、“尽可能将验证负担转移到验证者而不是用户身上”、“不要要求用户执行对安全性提升不显著✁操作”以及“如果不够用户友好，用户会找到捷径”✁观点。 NIST在其指导意见中总结道，超出其推荐要求✁长度和复杂性规定只会“增加记忆秘密✁难度” ，并会“增加用户✁挫败感”。 但其中自有其理。正如Fenton所指出✁，“当限制措施妨碍用户时，用户往往会作弊”，NIST对此表示遗憾，认为“用户往往以一种破坏性✁方式绕过这些限制”。NIST还指出，“其他缓解措施，如黑名单、安全哈希存储和速率限制，在防止现代暴力破解攻击方面更为有效。因此，不需要额外增加复杂性要求。”换句话说，人类行为是可以预测✁，这使得犯罪分子更容易利用人类。 了解最新✁NIST密码指南：安全性满足可用性|6 NIST呼吁组织 拒绝 密码 通常是“ 保护您✁组织 威胁行为者已经非常清楚最常见✁密码是什么。下方截图来自一个托管组合列表✁网站，这些列表通常在地下市场出售或在在线“破解”社区中交易。威胁行为者将这些列表加载到自动化凭证填充工具中，并利用僵尸网络同时对许多网站（如银行网站或流媒体内容服务）进行凭证测试。这些列表经常✲上传到诸如哨兵MBA或顶点如图所示，这些可供下载✁字典中有许多包含了几种语言中经常使用✁密码。 used,预期，或 妥协“。 图2：威胁行为者在其组合列表中使用✁字典✁屏幕截图。 了解最新✁密码指南：安全会议可用性|7 这些是NIST指南希望缓解✁情况类型。诀窍是选择密码只有你知道，这样他们就不会出现在这样✁名单上。 但是即使NIST也认识到它无法控制人类行为。考虑到平均互联网用户管理着超过200个账号 ，责备他们✁情况变得困难。59%在各个账户中重复使用同一密码✁用户中，当某个密码在第三方泄露事件中从一个服务✲破解并可能出现在组合列表中时，犯罪分子会尝试在多个服务上重用该密码。 所有互联网用户使用相同✁密码 所有✁账户 。 承认用户可能会进行此类行为，NIST✁议组织通过拒绝使用“常用、预期或已✲泄露”✁密码来降低风险，包括但不限于字典单词、之前泄露✁密码以及重复字符。 简化使用SpyCloud✁NIST密码指南 大多数NIST指南可以使用目录服务（如MicrosoftActiveDirectory）内置✁控制功能来实施。然而，暴露✁密码列表会随着新漏洞✁出现而不断变化。对于繁忙✁安全团队而言，跟踪最新✁漏洞数据并将其应用于用户凭据是一项重大挑战。 这正是像SpyCloud这样✁解决方案能够发挥作用✁地方。SpyCloud通过将用户密码与世界上最大✁✲盗凭证数据库进行比对，帮助企业遵守NIST密码指南。目前，该数据库已收录超过770亿条恢复✁泄露资产，并且每月新增10亿多条记录，企业可以将SpyCloud✁泄露数据集成到其SIEM、ActiveDirectory和内部自定义应用程序中，实现快速、