了解最新的 NIST 密码指南

了解最新的NIST密码指南: 安全性符合可用性 ExecutiveSummary 三个共同Factors for认证在本文中引用 2017年6月，美国国家标准与技术研究院（NIST）发布了其74页已更新特别出版物800 - 63B关于数字身份指南。非监管联邦该机构隶属于商务部，其任务是“发展信息安全标准和准则，包括联邦最低要求系统。“。然而，该指南也是私营部门的一套最佳做法工业也是。 更新的指南放弃了长期以来的理念，即密码必须很长和复杂。相比之下，新指南建议密码应“易于记住”，但“很难猜测”。根据NIST，可用性和安全性齐头并进。 除了放宽密码要求外，指南还包括多因素标准身份验证以及关于使用生物识别技术作为因素的警告，仅支持其认证中的“有限使用”。实际上，NIST对生物识别因素持怀疑态度它规定它仅与密码以外的东西结合使用作为一个因素（“你知道的东西”），即一种特定的第二因素：“你拥有的东西”，就像一个硬或软令牌。 2令牌你有的东西 简而言之，新的NIST指南对密码建议如下： c最少八个字符，最大长度至少64个字符c能够使用所有特殊字符（没有特殊使用它们的要求)c禁止“常用、预期或被泄露的“密码，包括字典单词以及在以前的违规行为中暴露的密码 NIST建议不要采取以下措施： 基于知识的身份验证提示和提醒忘记密码组成规则常规密码过期 现在，让我们深入了解NIST的最新指南。 “如果你能图片在你的头,和没有另一个可以,那是一个好的密码”。 密码:容易记住,很难猜到 在接受NPR采访时，NIST的高级标准和技术顾问Paul Grassi监督修订，声称传统指南是“生产密码对于坏人来说很容易猜到，对于合法用户来说很难猜到。”记录了与猜测一样难以记住的密码由机构。它甚至删除了建议使用特殊字符，大写和小写字符和允许的空格。此外，密码不需要在设置后替换有效期。 “如果你能想象它在你的脑海中，没有人可以，”格拉西说，“这是一个很好的密码。” 不用说，这对我们那些无法记住漫长而复杂的凡人来说是个好消息密码或顽固地拒绝使用密码管理器，由于多个漏洞最受欢迎的服务。 因此，在围绕8 - 64 ++字符的较长密码的指导下，并nixingrequirement对于特殊字符，很明显，围绕这些变化的哲学源于对“出于安全考虑的可用性”的赞赏。某些常见密码可能不再现在可以使用所有Unicode和打印ASCII字符，包括空格（不过，重复一遍，不再需要它们）。具体来说，指南解释了一些特定服务禁止使用特殊字符，以防止上传写入的有效载荷为了利用某些Web表单的身份验证字段中的SQL注入(SQLi)漏洞，1因此，为了安全起见，完全删除要求是有意义的。 该指南还禁止使用提示来恢复密码。NIST的立场是他们大大削弱了认证。 建议 身份验证器:这不是关于什么你知道 围绕最新NIST要求的社交媒体和行业讨论似乎集中在事实上，当涉及到密码选择时，它们确实“用户更友好”。这些更改特别附于第5条身份验证器和Verifier要求,它提供了特定于身份验证器的新指导。由于无数的服务提供或建议双因素身份验证(2FA)，几乎每个人都在某个时候使用了验证的第二个因素。 本节的更新指南不仅仅针对密码(指南中提到的密码to as“remorized secrets”). New language is also introduced around authenticator beyond只是“你知道的东西”，包括“你拥有的东西”-强调的重要性两个单因素认证器的组合：正如NIST所说，一个“记忆secret ”（密码）和“查找秘密”（令牌）。所谓的“软令牌”，如第三方身份验证应用，如Google Authenticator和“硬令牌”，如物理在指南的第5节中讨论了加密密钥或密钥卡。 NIST提供了关于应如何具体实现多因素身份验证的清晰度，这是否意味着使用多因素“一次性密码”(OTP)设备，多因素加密软件或多因素加密设备。新技术指南指定多个密钥的偶数位长度要求及其算法(112位)因素OTP身份验证器，以及身份验证器使用的密码要求(随机选择的数字秘密，长度至少为6个十进制数字或具有可比性复杂性，如第5.1. 1.2节所述)。 必须实时更改身份验证器输出的时间要求(在至少每两分钟)也包括在内，给出的值必须只给出一次(不是回收)。相比之下，Google Authenticator生成的一次性代码介于六个和长度为八位数，其软件令牌每30秒更改一次。 建议 生物识别技术没有秘密 随着MacBook Pro上的Touch ID等面向便利的服务的出现，““你是”现在被用作工作场所外部和内部的认证因素。最近的一项研究表明，90%的企业将通过以下方式使用生物特征认证2020.鉴于此，生物特征认证并未丢失NIST。它区分了生物特征身份验证是概率性的，而不是其他因素，这些因素被描述为确定性的。NIST的解释不仅限于指纹、面部识别和虹膜用于识别的特征；该文件还考虑了行为特征，如把节奏输入为“你是什么”。 你是什么 NIST对其生物识别指南提供了警告，甚至只推荐他们的“有限”使用。此外，NIST警告说，“生物识别技术不构成秘密”和警告说，它们可能是在受害者不知情的情况下获得的，例如通过拍摄他们或未经他们许可或通过其他方式获取该信息subversion. 鉴于这些限制，NIST在第5.2. 3节中解释说，生物识别技术只能用于“使用物理身份验证器进行多因素身份验证的一部分(你有的东西). “在其他单词,生物识别和你的密码是不够的. NIST合规性现在要求除了生物识别之外，还添加了第三个因素，例如软令牌或硬令牌。“当生物识别认证符合第5.2. 3节的要求，“阅读指南”，设备具有除了生物识别之外，还要进行身份验证-生物识别被认为是一个因素，但不是本身被识别为认证者。“。因此，当使用生物识别，这是不必要的使用两个认证，因为相关的设备作为“你拥有的东西”，而生物特征则是“你是的东西”。 你知道的东西 你有的东西 安全指南对于我们其他人 我们中那些想要解释我们个人使用指南的人可能会与到与OTP应用有关的建议，如Google身份验证器(“你的东西have ”)以及一个密码(“你知道的东西”)来登录流行的应用程序和服务。我们中的许多人甚至还没有使用生物识别技术来登录。 纳入针对多因素的新指南(包括生物识别因素)，为我们如何管理密码的重要性提供了更多背景（我们“知道”）结合这些其他因素。 选择既容易记住又难以记住的密码的常识猜测仍然存在，并且使用多因素身份验证不会降低选择一个好的“记忆秘密”。相反，关于密码长度的新“轻松”指导复杂性只是承认人类的行为。 “容易记住，难猜”的语言的加入本质上是每个人has taken away from the updated guidelines. Within it, NIST considered the human factor在联邦和行业指南中，不仅包括关于它增加的风险的语言，而且recommendations组织将可用性视为其整个风险评估的一部分，人们“努力记住”密码并携带多个设备。 “如果是非用户友好,用户作弊。“ NIST顾问Jim Fenton发表了一个名为“迈向更好的密码要求”的演讲在Bides。他包括“指导原则”，其中包括“强大的用户”经验，“尽可能给验证者而不是用户带来负担”，“不要问用户做的事情不会显着提高安全性，“甚至”如果它不是用户友好的，用户作弊。” NIST结束了其指导，得出结论，长度和复杂性要求超出了这些他们建议只“增加记忆秘密的难度”用户沮丧”。 但是有一种疯狂的方法。与Fenton评论说“用户作弊”时没有什么不同限制对他们不利，NIST哀叹，因此，“用户经常绕过这些以一种适得其反的方式限制。“。NIST还提供了“其他缓解措施，如因为黑名单、安全哈希存储和速率限制在防止现代蛮力攻击。因此，没有强加额外的复杂性要求。“在其他换句话说，人类的行为是可以预测的。这使得罪犯更容易利用人类。 NIST呼吁 保护您的组织 组织 威胁参与者已经很清楚最常用的密码是什么。 下面的屏幕截图来自托管组合列表的网站。这些通常在地下市场或在在线“破解”社区上交易。威胁行为者加载这些列表到自动凭证填充工具，并在僵尸网络的帮助下，测试被盗同时针对许多网站(如银行网站或流媒体内容服务)的凭据。这些列表通常上传到破解工具中，例如Sentry MBA或Vertex。如图所示，许多可供下载的字典包含经常使用的密码几种语言。 拒绝 密码 是“通常 used, 预期，或妥协“。 这些是NIST指南希望缓解的情况类型。诀窍是选择密码只有你知道，这样他们就不会出现在这样的名单上。 但即使是NIST也意识到它无法控制人类行为。与普通互联网用户管理200多个帐户，很难责怪59%的用户重复使用相同的帐户每个帐户的密码。当密码在三分之一中被泄露时来自一项服务的当事人违约，也许最终会出现在组合名单上，罪犯会试图在多个服务上重用该密码。 所有的互联网用户使用相同的密码跨越所有他们的帐户。 NIST承认用户会参与这种行为，建议组织通过拒绝“常用、预期或”的密码来降低风险被泄露的“，包括但不限于字典单词，以前违反的密码，和重复的字符。 简化NIST密码指南与SpyCloud 大多数NIST准则可以使用目录服务中的内置控件来实施，如Microsoft Active Directory。但是，公开密码的列表不断发展为新的对于繁忙的安全团队，跟上最新的违规数据并应用它对用户凭据构成了重大挑战。 这正是像SpyCloud这样的解决方案可以提供帮助的地方。SpyCloud帮助企业与NIST密码准则，通过根据最大的被盗数据库检查用户密码世界上的凭证。迄今为止，已收回超过770亿的违规资产，还有10亿每月添加一次，企业可以将SpyCloud的数据整合到他们的SIEM中，Active目录和内部自定义应用程序，具有快速，高容量的访问。SpyCloud使当它真正重要的时候立即补救-在罪犯非法进入之前公司系统和数据，或从消费者账户中提取现金和忠诚度积分。 借助SpyCloud Active Directory Guardian，企业可以轻松操作SpyCloud的自动检测和重置Active Directory密码的数据NIST将分类为“常用的、预期的或受损的”，包括在违规中暴露的密码和预填充的“禁止密码”列表。为了增加保证，Active Directory Guardian使可以根据SpyCloud数据中的每个密码检查Active Directory密码-使用k -匿名性，独立于用户名。 根据NIST指南，解决方案就像SpyCloud是企业的关键防止账户接管的努力。