了解最新的 NIST 密码指南

了解最新的 NIST 密码指南 ： 执行摘要 认证的三个共同因素 2017 年 6 月 ， 美国国家标准与技术研究所(NIST) 发布了其 74 页的更新特别出版物 800 - 63B关于数字身份指南。该非监管性的联邦机构隶属于商务部，负责“制定信息安全标准和指南，包括对联邦系统的基本要求。”然而，该指导文件同时也为私营部门各行业提供了最佳实践的一套标准。 在本文中引用 更新后的指导方针放弃了长期以来认为密码必须既长又复杂的理念。相反，新指南建议密码应“容易记住”但“难以猜测”。根据NIST（美国国家标准与技术研究院），可用性和安全性相辅相成。 此外，该指南还包括多因素认证的标准，并对生物识别因素的使用提出了警告，仅支持其在身份验证中“有限使用”。事实上，NIST 对生物识别因素持高度怀疑态度，规定只能将其与其他因素（而不是密码，“你知道的东西”）结合使用，具体来说是一种特定类型的第二因素，例如硬令牌或软令牌。 简而言之 ， 新的 NIST 指南对密码建议如下 ：2 你有的东西令牌 检查圆最少 8 个字符 ， 最大长度至少 64 个字符检查圆使用所有特殊字符的能力(没有特殊要求使用它们)检查圆一种禁止使用“常用、预期或已被泄露”的密码的方法，包括字典单词和之前数据泄露中暴露的密码。 3指纹你是什么 NIST 建议不要采取以下措施 ： 基于知识的身份验证提示和提醒忘记密码组成规则常规密码过期 现在 ， 让我们深入了解 NIST 的最新指南。 密码 ： 容易记住 ， 很难猜到 密码 ” 。你的头,“如果你能图片在和没有另一个可以 ， 这是一个很好的 特定于上下文的单词词典单词以前的违约风险敞口少于 8 个字符重复字符密码提示 In an采访 NPR,nist 的高级标准和技术顾问保罗·格拉西在修订过程中指出，传统的指导方针“生成的密码对于恶意用户来说很容易猜到，而对于合法用户来说则很难猜到。”机构对此表示了充分的理解和不满，甚至放弃了建议使用特殊字符、大小写字母和空格的做法。此外，密码不再需要在固定的有效期后进行更换。 “如果你能想象它在你的脑海中 ， 没有人可以 ， ” 格拉西说 ，“ 这是一个很好的密码。 ” Needless to say, 这对于那些无法记忆长而复杂的密码或 stubbornly 拒绝使用密码管理器的普通用户来说是好消息。多个漏洞在最受欢迎的服务. 因此 ， 在围绕 8 - 64 ++ 字符的较长密码的指导下 ， 并 nixingrequirement对于特殊字符而言，很明显这些变化背后的哲学源于对“以安全为用”的重视。某些常见的密码可能不再被使用，而所有Unicode和打印ASCII字符现在都可以使用，包括空格（尽管再次强调，它们不再是必需的）。具体指导说明指出，某些特殊字符曾被特定服务禁止使用，以防止上传利用SQL注入（SQLi）漏洞的负载代码。1在某些网页表单的身份验证领域，从安全角度考虑，干脆完全取消这一要求更为合理。 该指导还禁止使用恢复密码的提示。NIST 的立场是，这些提示会显著削弱身份验证的安全性。 身份验证器 ： 这不是你所知道的 建议 关于最新NIST要求的社会媒体和行业讨论似乎集中在这些变化确实“更加用户友好”，尤其是在密码选择方面。这些改变特别包含在第5节中。身份验证器和验证器要求， 它提供了特定于身份验证器的新指导。感谢无数的提供或建议使用双因素身份验证 (2FA) 的服务， 几乎每个人都在某个时候使用了第二个因素来进行身份验证。 你知道的东西 + 这一部分更新的指导不仅限于密码（指南中将其称为“记忆秘密”）。还引入了关于认证器的新语言，不仅包括“你知道的东西”，还包括“你拥有的东西”——强调了两因素认证中结合使用两个单一因素认证的重要性：正如NIST所指出的，“记忆秘密”（密码）和“查找秘密”（令牌）。所谓的“软令牌”，如第三方身份验证应用（例如Google Authenticator），以及“硬令牌”，如物理加密钥匙或一次性密码生成器，在整段文字中都有讨论。Section 5的准则。 你有的东西检查圆 NIST 提供了关于具体如何实施多因素认证的清晰指导，无论这意味着使用多因素“一次性密码”（OTP）设备、多因素加密软件，还是多因素加密设备。新的技术指南甚至详细规定了这些实施方法。多因素 OTP 认证器的秘密密钥及其算法的位长度要求(112 位)，以及认证器使用的密码要求（随机选择的至少6位数的数值密钥或同等复杂性，如文中所述）第 5.1. 1.2 节). 实时环境下，认证器输出必须更改的时间要求（至少每两分钟更改一次）也包括在内，并且给出的值只需给出一次（不可重复使用）。相比之下，Google Authenticator生成的是一次性密码，长度在六到八位之间，并且每30秒改变一次软件令牌。 建议 随着以便利为导向的服务的出现 ， 如MacBook Pro 上的 Touch ID， “你是什么 ” 现在被用作工作场所外部和内部的认证因素。 A最近的研究建议到2020年，90%的 Businesses 将使用生物识别认证。鉴于此，生物识别认证并未被NIST忽视。NIST将生物识别认证区分为概率性因素与其他描述为确定性的因素。并且NIST的解释不仅限于指纹、面部识别和虹膜等身份特征；文件还考虑了如打字节奏等行为特征作为“你是谁”的一部分。 你是什么 NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY 提供了对其生物识别指导原则的警示，甚至建议仅“有限使用”生物识别技术。此外，NATIONAL INSTITUTE OF STANDARDSAND TECHNOLOGY 警告称，“生物识别信息并不构成秘密”，并警告称它们可能在受害者不知情的情况下被获取，例如通过拍摄照片或未经其许可通过其他方式获取这些信息，或者通过篡改手段获得。 鉴于这些限制 ， NIST 在第 5.2. 3 节生物识别技术只能 “作为具有物理认证器的多因素认证的一部分 ” (你有的东西) 。 “换句话说 ，生物识别和你的密码是不够的.NIST合规性现在要求除了生物识别之外还需添加第三个因素，例如软令牌或硬令牌。“当生物识别认证符合第5.2.3节的要求时，”指导文件指出，“设备除了生物识别外还需要进行身份验证——生物识别被视为一个因素，但不能单独作为认证因子。”因此，在使用生物识别进行身份验证时，并不需要使用两个认证因子，因为相关的设备充当了“你所拥有的东西”，而生物识别则充当了“你自身”的角色。 你知道的东西 你有的东西 我们其他人的安全指导 我们中打算将指导方针用于个人用途的人可能会关注推荐的基于OTP应用（如Google认证器）“您所拥有的”以及密码“您所知道的”来登录流行的应用程序和服务。许多人都还没有使用生物识别技术进行登录。 包含针对多重因素的新指导（包括新的关于生物识别因素的有限指导），提供了更多关于如何管理我们所“知道”的密码与这些其他因素相结合的重要性背景。 常见的密码选择智慧仍然是既要容易记住又要难以猜测，并且多因素身份验证并不减少选择一个好的“记忆秘密”的重要性。相反，新的“宽松”密码长度和复杂性指导方针只是承认了人类的行为。 “如果是用户不友好 ，用户作弊。 " 新增的“容易记住、难以猜出”的语言本质上就是大家从更新的指南中获得的主要内容。在其中，NIST 考虑了人在联邦和行业指导中的因素，并不仅包括其带来的风险，还涵盖了其他相关语言。recommendations鉴于人们“难以记住”密码并随身携带多台设备，组织在进行整个风险评估时应将易用性考虑在内。 NIST 顾问 Jim Fenton 发表了一个名为 “迈向更好的密码要求在BSides会议上，他提到了“指导原则”，其中包括诸如“强烈的用户体验”、“尽可能将验证负担转移到验证者而不是用户身上”、“不要要求用户执行对安全性提升不显著的操作”以及“如果不够用户友好，用户会找到捷径”的观点。 NIST在其指导意见中总结道，超出其推荐要求的长度和复杂性规定只会“增加记忆秘密的难度”，并会“增加用户的挫败感”。 但其中自有其理。正如Fenton所指出的，“当限制措施妨碍用户时，用户往往会作弊”，NIST对此表示遗憾，认为“用户往往以一种破坏性的方式绕过这些限制”。NIST还指出，“其他缓解措施，如黑名单、安全哈希存储和速率限制，在防止现代暴力破解攻击方面更为有效。因此，不需要额外增加复杂性要求。”换句话说，人类行为是可以预测的，这使得犯罪分子更容易利用人类。 NIST 呼吁组织 保护您的组织 威胁行为者已经非常清楚最常见的密码是什么。下方截图来自一个托管组合列表的网站，这些列表通常在地下市场出售或在在线“破解”社区中交易。威胁行为者将这些列表加载到自动化凭证填充工具中，并利用僵尸网络同时对许多网站（如银行网站或流媒体内容服务）进行凭证测试。这些列表经常被上传到诸如哨兵 MBA 或顶点如图所示 ， 这些可供下载的字典中有许多包含了几种语言中经常使用的密码。 拒绝 密码 通常是 “ used, 妥协 “。预期 ， 或 这些是 NIST 指南希望缓解的情况类型。诀窍是选择密码只有你知道， 这样他们就不会出现在这样的名单上。 但是即使NIST也认识到它无法控制人类行为。考虑到平均互联网用户管理着超过200个账号，责备他们的情况变得困难。59%在各个账户中重复使用同一密码的用户中，当某个密码在第三方泄露事件中从一个服务被破解并可能出现在组合列表中时，犯罪分子会尝试在多个服务上重用该密码。 所有互联网用户使用相同的密码所有的账户。 承认用户可能会进行此类行为，NIST 建议组织通过拒绝使用“常用、预期或已被泄露”的密码来降低风险，包括但不限于字典单词、之前泄露的密码以及重复字符。 简化使用 SpyCloud 的 NIST 密码指南 大多数NIST指南可以使用目录服务（如Microsoft Active Directory）内置的控制功能来实施。然而，暴露的密码列表会随着新漏洞的出现而不断变化。对于繁忙的安全团队而言，跟踪最新的漏洞数据并将其应用于用户凭据是一项重大挑战。 这正是像SpyCloud这样的解决方案能够发挥作用的地方。SpyCloud通过将用户密码与世界上最大的被盗凭证数据库进行比对，帮助企业遵守NIST密码指南。目前，该数据库已收录超过770亿条恢复的泄露资产，并且每月新增10亿多条记录，企业可以将SpyCloud的泄露数据集成到其SIEM、Active Directory和内部自定义应用程序中，实现快速、高volume的数据访问。SpyCloud能够在真正关键的时候立即采取补救措施——在犯罪分子非法访问企业系统和数据或从消费者账户中盗取资金和忠诚度积分之前。 WithSpyCloud Active Directory Guardian企业可以轻松地将SpyCloud的数据应用于自动检测和重置NIST分类为“常用、预期或已被泄露”的Active Directory密码，包括在数据泄露中暴露的密码以及一个预填充的“禁止密码”列表。为了增加保障，Active Directory Guardian允许使用k-匿名技术，独立于用户名，对Active Directory密码与SpyCloud数据库中的每一个密码进行检查。 根据 NIST 的指导方针 ， 像 SpyCloud 这样的解决方案是企业防止账户接管的关键。