您的浏览器禁用了JavaScript(一种计算机语言,用以实现您与网页的交互),请解除该禁用,或者联系我们。[SpyCloud]:了解最新的 NIST 密码指南 - 发现报告
当前位置:首页/行业研究/报告详情/

了解最新的 NIST 密码指南

信息技术2024-08-03SpyCloud~***
了解最新的 NIST 密码指南

了解最新的NIST密码指南: 安全性符合可用性 认证的三个共同因素 在本文中引用 1 密码 你知道的东西 执行摘要 2017年6月,美国国家标准与技术研究所(NIST)发布了其74页的更新特别出版物800-63B关于数字身份指南。该非监管性的联邦机构隶属于商务部,负责“制定信息安全标准和指南 ,包括对联邦系统的基本要求。”然而,该指导文件同时也为私营部门各行业提供了最佳实践的一套标准。 更新后的指导方针放弃了长期以来认为密码必须既长又复杂的理念。相反,新指南建议密码应“容易记住”但“难以猜测”。根据NIST(美国国家标准与技术研究院),可用性和安全性相辅相成。 125833237 此外,该指南还包括多因素认证的标准,并对生物识别因素的使用提出了警告,仅支持其在身份验证中“有限使用”。事实上,NIST对生物识别因素持高度怀疑态度,规定只能将其与其他因素(而不是密码,“你知道的东西”)结合使用,具体来说是一种特定类型的第二因素,例如硬令牌或软令牌。 你有的东西 2 令牌 简而言之,新的NIST指南对密码建议如下: 检查圆 最少8个字符,最大长度至少64个字符检查圆 使用所有特殊字符的能力(没有特殊要求使用它们)检查圆 一种禁止使用“常用、预期或已被泄露”的密码的方法,包括字典单词和之前数据泄露中暴露的密码。 3 指纹 你是什么 NIST建议不要采取以下措施: □ 基于知识的身份验证 □ 提示和提醒忘记密码 □ 组成规则 □ 常规密码过期 现在,让我们深入了解NIST的最新指南。 SPYCLOUD.COM了解最新的NIST密码指南:安全性满足可用性|2 “如果你能图片在 密码:容易记住,很难猜到 你的头, 以前的违约风险敞口 和没有另一个 可以,这是一个很好的 密码”。 少于8个字符 特定于上下文的单词 词典单词 重复字符 密码提示 Inan采访NPR,nist的高级标准和技术顾问保罗·格拉西在修订过程中指出,传统的指导方针“生成的密码对于恶意用户来说很容易猜到,而对于合法用户来说则很难猜到。”机构对此表示了充分的理解和不满,甚至放弃了建议使用特殊字符、大小写字母和空格的做法。此外,密码不再需要在固定的有效期后进行更换。 “如果你能想象它在你的脑海中,没有人可以,”格拉西说,“这是一个很好的密码。” Needlesstosay,这对于那些无法记忆长而复杂的密码或stubbornly拒绝使用密码管理器的普通用户来说是好消息。多个漏洞在最受欢迎的服务. 因此,在围绕8-64++字符的较长密码的指导下,并nixingrequirement 对于特殊字符而言,很明显这些变化背后的哲学源于对“以安全为用”的重视。某些常见的密码可能不再被使用,而所有Unicode和打印ASCII字符现在都可以使用,包括空格(尽管再次强调,它们不再是必需的)。具体指导说明指出,某些特殊字符曾被特定服务禁止使用,以防止上传利用SQL注入(SQLi)漏洞的负载代码。1在某些网页表单的身份验证领域,从安全角度考虑,干脆完全取消这一要求更为合理。 该指导还禁止使用恢复密码的提示。NIST的立场是,这些提示会显著削弱身份验证的安全性 。 1这尤其适用于像单引号(‘)(在SQL中作为字符串终止符使用)或分号(;)(用于结束SQL语句)这样的字符,这些字符经常与其他内容结合使用(例如“admin’or1=1”等),以测试SQL注入漏洞。如果一个网页表单没有经过适当的安全处理 ,testedforSQLi,当身份验证凭据与包含用户名、密码或其哈希值的数据库进行比对时,网络应用程序理论上可能对它S QLi(SQL注入)攻击存在漏洞。但根据NIST信息技术实验室的JimFenton在presentations中的说法,这在新的指导方针下不应该成为问题。“验证器应当无论如何对输入进行哈希处理,”他在presentation中写道,“因此SQL注入不应成为担忧的问题。” 了解最新的NIST密码指南:安全性满足可用性|3 身份验证器:这不是你所知道的 建议 关于最新NIST要求的社会媒体和行业讨论似乎集中在这些变化确实“更加用户友好”,尤其是在密码选择方面。这些改变特别包含在第5节中。身份验证器和验证器要求,它提供了特定于身份验证器的新指导。感谢无数的提供或建议使用双因素身份验证(2FA)的服务,几乎每个人都在某个时候使用了第二个因素来进行身份验证。 你知道的东西 + 125833237 你有的东西 输出必须至少每2分钟更改一次 □ 无回收价值 这一部分更新的指导不仅限于密码(指南中将其称为“记忆秘密”)。还引入了关于认证器的新语言,不仅包括“你知道的东西”,还包括“你拥有的东西”——强调了两因素认证中结合使用两个单一因素认证的重要性:正如NIST所指出的,“记忆秘密”(密码)和“查找秘密”(令牌)。所谓的“软令牌”,如第三方身份验证应用(例如GoogleAuthenticator),以及“硬令牌”,如物理加密钥匙或一次性密码生成器,在整段文字中都有讨论。Section5的准则。 NIST提供了关于具体如何实施多因素认证的清晰指导,无论这意味着使用多因素“一次性密码” (OTP)设备、多因素加密软件,还是多因素加密设备。新的技术指南甚至详细规定了这些实施方法。多因素OTP认证器的秘密密钥及其算法的位长度要求(112位),以及认证器使用的密码要求(随机选择的至少6位数的数值密钥或同等复杂性,如文中所述)第5.1.1.2节). 实时环境下,认证器输出必须更改的时间要求(至少每两分钟更改一次)也包括在内,并且给出的值只需给出一次(不可重复使用)。相比之下,GoogleAuthenticator生成的是一次性密码 ,长度在六到八位之间,并且每30秒改变一次软件令牌。 了解最新的NIST密码指南:安全性满足可用性|4 ✁议 你是什么 + 生物识别技术不是秘密 随着以便利为导向✁服务✁出现,如MacBookPro上✁TouchID,“你是什么”现在✲用作工作场所外部和内部✁认证因素。A最近✁研究✁议到2020年,90%✁Businesses将使用生物识别认证。鉴于此,生物识别认证并未✲NIST忽视。NIST将生物识别认证区分为概率性因素与其他描述为确定性✁因素。并且NIST✁解释不仅限于指纹、面部识别和虹膜等身份特征;文件还考虑了如打字节奏等行为特征作为“你是谁”✁一部分。 NATIONALINSTITUTEOFSTANDARDSANDTECHNOLOGY提供了对其生物识别指导原则 ✁警示,甚至✁议仅“有限使用”生物识别技术。此外,NATIONALINSTITUTEOFSTANDARDSANDTECHNOLOGY警告称,“生物识别信息并不构成秘密”,并警告称它们可能在受害者不知情 ✁情况下✲获取,例如通过拍摄照片或未经其许可通过其他方式获取这些信息,或者通过篡改手段获得。 你知道✁东西 125833237 + 鉴于这些限制,NIST在第5.2.3节生物识别技术只能“作为具有物理认证器✁多因素认证✁一部分”(你有✁东西)。“换句话说,生物识别和你✁密码是不够✁.NIST合规性现在要求除了生物识别之外还需添加第三个因素,例如软令牌或硬令牌。“当生物识别认证符合第5.2.3节 ✁要求时,”指导文件指出,“设备除了生物识别外还需要进行身份验证——生物识别✲视为一个因素,但不能单独作为认证因子。”因此,在使用生物识别进行身份验证时,并不需要使用两个认证因子,因为相关✁设备充当了“你所拥有✁东西”,而生物识别则充当了“你自身”✁角色。 你有✁东西 我们其他人✁安全指导 我们中打算将指导方针用于个人用途✁人可能会关注推荐✁基于OTP应用(如Google认证器)“您所拥有✁”以及密码“您所知道✁”来登录流行✁应用程序和服务。许多人都还没有使用生物识别技术进行登录。 包含针对多重因素✁新指导(包括新✁关于生物识别因素✁有限指导),提供了更多关于如何管理我们所“知道”✁密码与这些其他因素相结合✁重要性背景。 常见✁密码选择智慧仍然是既要容易记住又要难以猜测,并且多因素身份验证并不减少选择一个好✁“记忆秘密”✁重要性。相反,新✁“宽松”密码长度和复杂性指导方针只是承认了人类✁行为。 了解最新✁NIST密码指南:安全性满足可用性|5 “如果是 用户不友好,用户作弊。" 新增✁“容易记住、难以猜出”✁语言本质上就是大家从更新✁指南中获得✁主要内容。在其中,NIST考虑了人在联邦和行业指导中✁因素,并不仅包括其带来✁风险,还涵盖了其他相关语言。recommendations鉴于人们“难以记住”密码并随身携带多台设备,组织在进行整个风险评估时应将易用性考虑在内。 图1:NIST关于可用性考虑因素及其对组织整体安全状况✁影响✁指导。 NIST顾问JimFenton发表了一个名为“迈向更好✁密码要求在BSides会议上,他提到了“指导原则”,其中包括诸如“强烈✁用户体验”、“尽可能将验证负担转移到验证者而不是用户身上”、“不要要求用户执行对安全性提升不显著✁操作”以及“如果不够用户友好,用户会找到捷径”✁观点。 NIST在其指导意见中总结道,超出其推荐要求✁长度和复杂性规定只会“增加记忆秘密✁难度” ,并会“增加用户✁挫败感”。 但其中自有其理。正如Fenton所指出✁,“当限制措施妨碍用户时,用户往往会作弊”,NIST对此表示遗憾,认为“用户往往以一种破坏性✁方式绕过这些限制”。NIST还指出,“其他缓解措施,如黑名单、安全哈希存储和速率限制,在防止现代暴力破解攻击方面更为有效。因此,不需要额外增加复杂性要求。”换句话说,人类行为是可以预测✁,这使得犯罪分子更容易利用人类。 了解最新✁NIST密码指南:安全性满足可用性|6 NIST呼吁组织 拒绝 密码 通常是“ 保护您✁组织 威胁行为者已经非常清楚最常见✁密码是什么。下方截图来自一个托管组合列表✁网站,这些列表通常在地下市场出售或在在线“破解”社区中交易。威胁行为者将这些列表加载到自动化凭证填充工具中,并利用僵尸网络同时对许多网站(如银行网站或流媒体内容服务)进行凭证测试。这些列表经常✲上传到诸如哨兵MBA或顶点如图所示,这些可供下载✁字典中有许多包含了几种语言中经常使用✁密码。 used,预期,或 妥协“。 图2:威胁行为者在其组合列表中使用✁字典✁屏幕截图。 了解最新✁密码指南:安全会议可用性|7 这些是NIST指南希望缓解✁情况类型。诀窍是选择密码只有你知道,这样他们就不会出现在这样✁名单上。 但是即使NIST也认识到它无法控制人类行为。考虑到平均互联网用户管理着超过200个账号 ,责备他们✁情况变得困难。59%在各个账户中重复使用同一密码✁用户中,当某个密码在第三方泄露事件中从一个服务✲破解并可能出现在组合列表中时,犯罪分子会尝试在多个服务上重用该密码。 所有互联网用户使用相同✁密码 所有✁账户 。 承认用户可能会进行此类行为,NIST✁议组织通过拒绝使用“常用、预期或已✲泄露”✁密码来降低风险,包括但不限于字典单词、之前泄露✁密码以及重复字符。 简化使用SpyCloud✁NIST密码指南 大多数NIST指南可以使用目录服务(如MicrosoftActiveDirectory)内置✁控制功能来实施。然而,暴露✁密码列表会随着新漏洞✁出现而不断变化。对于繁忙✁安全团队而言,跟踪最新✁漏洞数据并将其应用于用户凭据是一项重大挑战。 这正是像SpyCloud这样✁解决方案能够发挥作用✁地方。SpyCloud通过将用户密码与世界上最大✁✲盗凭证数据库进行比对,帮助企业遵守NIST密码指南。目前,该数据库已收录超过770亿条恢复✁泄露资产,并且每月新增10亿多条记录,企业可以将SpyCloud✁泄露数据集成到其SIEM、ActiveDirectory和内部自定义应用程序中,实现快速、

你可能感兴趣

hot

了解最新的 NIST 密码指南

信息技术
SpyCloud2023-11-29
hot

实施 NIST 密码指南的最佳实践

信息技术
SpyCloud2024-08-03
hot

实施 NIST 密码指南的最佳实践

信息技术
SpyCloud2023-11-29