下述觀點可能會顛覆關于密碼衛生最佳實踐的共同信念。

　　無可否認，在互聯網安全問題日益明顯的今天，人們越來越期盼一種無需密碼、安全便捷的方式。甚至安全專家長期以來也一直堅持“消滅密碼”的觀點，他們對這種世界上最古老的身份驗證技術所存在的種種問題感到頭疼。但事實上，密碼不僅是有效的，而且仍然是企業設置中的主要登錄憑據。數據顯示，全球大約70%的組織仍在依賴“以密碼為中心”的身份驗證方法。

　　雖然組織絕對應該嘗試提高多因素身份驗證 （MFA） 和無密碼身份驗證器在其系統中的滲透率，但與此同時，他們也應該盡其所能提高現有憑證系統的安全性。值得注意的一件事是，過去幾年的許多新研究和指導方案已經修改了行業關于密碼最佳實踐的共識。

　　例如，美國國家標準與技術局（NIST）《數字身份指南》（特別出版物 800-63B）的最新版本在多個方面挑戰了有關密碼衛生的傳統認知。新版指南修改了密碼安全建議，不再要求定期修改密碼。原因是多項研究顯示，頻繁的更改密碼沒有預想的效果，事與愿違，達不到保護密碼安全的目的。NIST 的最新推薦是在用戶想要修改的時候去修改密碼，或者是有入侵的跡象時應立即修改密碼。

　　NIST 也不再要求密碼混合大寫字母、字符和數字，因為研究顯示此類的要求并不能帶來強密碼。NIST 認為，如果用戶想要使用繪文字作為密碼，那么就應該允許用戶使用。NIST認為最重要的是儲存的密碼必須鹽化哈希MAC處理。

　　以下是網絡安全領導者應該知道的有關密碼的一些最新的非常規認知：

        1. 密碼并非一無是處

　　密碼和密碼策略一直存在可用性和安全性的爭議，雖然非議不斷，但它們仍然是企業內外的主要身份驗證方式，原因就在于它們非常易于使用。

　　著名安全專家兼數據泄露自查網站Have I Being Pwned的創始人Troy Hunt解釋稱，

　　“我們需要更多地贊揚傳統意義上的密碼做得非常好，而想要讓密碼比其他任何事物都做得更好的關鍵在于，每個人都知道如何正確地使用它們。”

　　一個適當得體的密碼總比“無密碼”要好。升級到完全無密碼的身份驗證在很長一段時間內可能都得不到許多系統的認可——鑒于成本、復雜性和可用性等諸多因素。盡管如此，組織仍然應該盡可能爭取多因素身份驗證（MFA）在系統內的采用率。據Microsoft 研究人員稱，它提供的保護要比單獨的密碼多99.9%。

　　2. 復雜性規則沒有你想象的那么重要

　　傳統的觀點是，必須使用一定數量的大寫、小寫、數字和符號等的組合規則來控制密碼的復雜性。但最近的研究表明，這樣做的效果甚微。原因不僅在于密碼隨機化（也稱為密碼熵）對破解機制無效，這種密碼對于破解密碼工具來說，只需要增加一些代碼即可破解；而且人們會忘記這種復雜的隨機字符串，并最終采用非常好預測的組合（如p4$$w0rd?。⑾到y置于危險之中。如果是這樣的話，對于任何人而言，根據這種規則的密碼強度幾乎與弱密碼相差無幾，收效甚微。

　　3. 篩選新密碼是必須的

　　根據NIST《數字身份指南》（特別出版物 800-63B）所言，最好的方法不在于使用復雜性規則，而是在允許它們過關之前在幾個重要方面篩選新密碼。傳統的觀點仍然認為，對于包含字典單詞、重復或連續字符以及上下文特定的單詞（例如所登錄服務名稱或用戶名的派生詞）的新密碼和重置密碼都應該列入黑名單。但在此之上，最新的最佳實踐還利用了可以將潛在的新密碼與先前泄露的憑據的已知語料庫進行比較的機制，利用諸如Have I Being Pwned之類的數據庫來執行此操作。

　　4. 放棄定期重置

　　過去，定期更新密碼是企業組織可以想到用于應對暗網上被盜密碼浪潮的最佳方式。但如今，這種共識已經發生了變化。如果沒有理由懷疑密碼被盜，那么要求用戶每6個月更改一次密碼是不必要的麻煩事。同時，如果有跡象表明憑據已經在某人的密碼轉儲中，那么最好立即更改它。

　　因此，2021年良好的密碼衛生不僅需要在設置新憑據之前檢查被盜密碼語料庫，還應該包括對現有密碼的定期檢查。當憑據被標記時，應鼓勵或要求用戶立即更改其密碼。

　　5.   放寬密碼長度限制

　　傳統觀點和NIST指南都表示，密碼的絕對最小長度應該是八個字符。但是NIST進一步指出，管理員應該嘗試允許用戶“在合理范圍內設置盡可能長的密碼”。這是因為越來越多的研究表明，雖然密碼熵并非應對破解的絕佳策略，但是超長的密碼顯然更有效。

　　不幸的是，許多登錄系統都對最大密碼長度設置了上限。很長一段時間內，Windows 不允許密碼超過14個字符。但在去年，情況發生了變化。如今，微軟已經推出了新的安全設置，以鼓勵需要更長密碼的密碼策略的流行，允許管理員放寬長度限制，以便用戶最多可以使用 128 個字符來制作更長的密碼短語。

　   6. 讓用戶剪切和粘貼密碼

　　NIST最新指南不要求使用密碼管理器，但其他NIST文檔確實鼓勵使用這些工具，并建議組織設計其登錄流程以方便使用密碼管理器。關鍵推動因素之一是允許登錄輸入使用粘貼功能，以便用戶可以輕松地從他們的密碼庫中剪切和粘貼憑據。

　　7. 停止使用安全問題進行重置

　　驗證自助服務密碼重置和密碼故障排除最普遍的機制之一，就是關于個人信息（例如母親的姓氏或父親的名字等）的安全問題列表。

　　NIST已經非常明確地指出了這些標識符的脆弱性，要知道暗網上可是充斥著從以往的數據泄露事件中竊取的此類個人信息數據。組織應該轉為使用帶外數據（out-of-band data）等方式。

　　所謂帶外數據，有時也稱為加速數據（expedited data）， 是指連接雙方中的一方發生重要事情，想要迅速地通知對方。這種通知在已經排隊等待發送的任何“普通”（有時稱為“帶內”）數據之前發送。帶外數據設計為比普通數據有更高的優先級。