下述觀點(diǎn)可能會顛覆關(guān)于密碼衛(wèi)生最佳實(shí)踐的共同信念。

　　無可否認(rèn)，在互聯(lián)網(wǎng)安全問題日益明顯的今天，人們越來越期盼一種無需密碼、安全便捷的方式。甚至安全專家長期以來也一直堅持“消滅密碼”的觀點(diǎn)，他們對這種世界上最古老的身份驗(yàn)證技術(shù)所存在的種種問題感到頭疼。但事實(shí)上，密碼不僅是有效的，而且仍然是企業(yè)設(shè)置中的主要登錄憑據(jù)。數(shù)據(jù)顯示，全球大約70%的組織仍在依賴“以密碼為中心”的身份驗(yàn)證方法。

　　雖然組織絕對應(yīng)該嘗試提高多因素身份驗(yàn)證 （MFA） 和無密碼身份驗(yàn)證器在其系統(tǒng)中的滲透率，但與此同時，他們也應(yīng)該盡其所能提高現(xiàn)有憑證系統(tǒng)的安全性。值得注意的一件事是，過去幾年的許多新研究和指導(dǎo)方案已經(jīng)修改了行業(yè)關(guān)于密碼最佳實(shí)踐的共識。

　　例如，美國國家標(biāo)準(zhǔn)與技術(shù)局（NIST）《數(shù)字身份指南》（特別出版物 800-63B）的最新版本在多個方面挑戰(zhàn)了有關(guān)密碼衛(wèi)生的傳統(tǒng)認(rèn)知。新版指南修改了密碼安全建議，不再要求定期修改密碼。原因是多項(xiàng)研究顯示，頻繁的更改密碼沒有預(yù)想的效果，事與愿違，達(dá)不到保護(hù)密碼安全的目的。NIST 的最新推薦是在用戶想要修改的時候去修改密碼，或者是有入侵的跡象時應(yīng)立即修改密碼。

　　NIST 也不再要求密碼混合大寫字母、字符和數(shù)字，因?yàn)檠芯匡@示此類的要求并不能帶來強(qiáng)密碼。NIST 認(rèn)為，如果用戶想要使用繪文字作為密碼，那么就應(yīng)該允許用戶使用。NIST認(rèn)為最重要的是儲存的密碼必須鹽化哈希MAC處理。

　　以下是網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者應(yīng)該知道的有關(guān)密碼的一些最新的非常規(guī)認(rèn)知：

        1. 密碼并非一無是處

　　密碼和密碼策略一直存在可用性和安全性的爭議，雖然非議不斷，但它們?nèi)匀皇瞧髽I(yè)內(nèi)外的主要身份驗(yàn)證方式，原因就在于它們非常易于使用。

　　著名安全專家兼數(shù)據(jù)泄露自查網(wǎng)站Have I Being Pwned的創(chuàng)始人Troy Hunt解釋稱，

　　“我們需要更多地贊揚(yáng)傳統(tǒng)意義上的密碼做得非常好，而想要讓密碼比其他任何事物都做得更好的關(guān)鍵在于，每個人都知道如何正確地使用它們。”

　　一個適當(dāng)?shù)皿w的密碼總比“無密碼”要好。升級到完全無密碼的身份驗(yàn)證在很長一段時間內(nèi)可能都得不到許多系統(tǒng)的認(rèn)可——鑒于成本、復(fù)雜性和可用性等諸多因素。盡管如此，組織仍然應(yīng)該盡可能爭取多因素身份驗(yàn)證（MFA）在系統(tǒng)內(nèi)的采用率。據(jù)Microsoft 研究人員稱，它提供的保護(hù)要比單獨(dú)的密碼多99.9%。

　　2. 復(fù)雜性規(guī)則沒有你想象的那么重要

　　傳統(tǒng)的觀點(diǎn)是，必須使用一定數(shù)量的大寫、小寫、數(shù)字和符號等的組合規(guī)則來控制密碼的復(fù)雜性。但最近的研究表明，這樣做的效果甚微。原因不僅在于密碼隨機(jī)化（也稱為密碼熵）對破解機(jī)制無效，這種密碼對于破解密碼工具來說，只需要增加一些代碼即可破解；而且人們會忘記這種復(fù)雜的隨機(jī)字符串，并最終采用非常好預(yù)測的組合（如p4$$w0rd！）將系統(tǒng)置于危險之中。如果是這樣的話，對于任何人而言，根據(jù)這種規(guī)則的密碼強(qiáng)度幾乎與弱密碼相差無幾，收效甚微。

　　3. 篩選新密碼是必須的

　　根據(jù)NIST《數(shù)字身份指南》（特別出版物 800-63B）所言，最好的方法不在于使用復(fù)雜性規(guī)則，而是在允許它們過關(guān)之前在幾個重要方面篩選新密碼。傳統(tǒng)的觀點(diǎn)仍然認(rèn)為，對于包含字典單詞、重復(fù)或連續(xù)字符以及上下文特定的單詞（例如所登錄服務(wù)名稱或用戶名的派生詞）的新密碼和重置密碼都應(yīng)該列入黑名單。但在此之上，最新的最佳實(shí)踐還利用了可以將潛在的新密碼與先前泄露的憑據(jù)的已知語料庫進(jìn)行比較的機(jī)制，利用諸如Have I Being Pwned之類的數(shù)據(jù)庫來執(zhí)行此操作。

　　4. 放棄定期重置

　　過去，定期更新密碼是企業(yè)組織可以想到用于應(yīng)對暗網(wǎng)上被盜密碼浪潮的最佳方式。但如今，這種共識已經(jīng)發(fā)生了變化。如果沒有理由懷疑密碼被盜，那么要求用戶每6個月更改一次密碼是不必要的麻煩事。同時，如果有跡象表明憑據(jù)已經(jīng)在某人的密碼轉(zhuǎn)儲中，那么最好立即更改它。

　　因此，2021年良好的密碼衛(wèi)生不僅需要在設(shè)置新憑據(jù)之前檢查被盜密碼語料庫，還應(yīng)該包括對現(xiàn)有密碼的定期檢查。當(dāng)憑據(jù)被標(biāo)記時，應(yīng)鼓勵或要求用戶立即更改其密碼。

　　5.   放寬密碼長度限制

　　傳統(tǒng)觀點(diǎn)和NIST指南都表示，密碼的絕對最小長度應(yīng)該是八個字符。但是NIST進(jìn)一步指出，管理員應(yīng)該嘗試允許用戶“在合理范圍內(nèi)設(shè)置盡可能長的密碼”。這是因?yàn)樵絹碓蕉嗟难芯勘砻鳎m然密碼熵并非應(yīng)對破解的絕佳策略，但是超長的密碼顯然更有效。

　　不幸的是，許多登錄系統(tǒng)都對最大密碼長度設(shè)置了上限。很長一段時間內(nèi)，Windows 不允許密碼超過14個字符。但在去年，情況發(fā)生了變化。如今，微軟已經(jīng)推出了新的安全設(shè)置，以鼓勵需要更長密碼的密碼策略的流行，允許管理員放寬長度限制，以便用戶最多可以使用 128 個字符來制作更長的密碼短語。

　   6. 讓用戶剪切和粘貼密碼

　　NIST最新指南不要求使用密碼管理器，但其他NIST文檔確實(shí)鼓勵使用這些工具，并建議組織設(shè)計其登錄流程以方便使用密碼管理器。關(guān)鍵推動因素之一是允許登錄輸入使用粘貼功能，以便用戶可以輕松地從他們的密碼庫中剪切和粘貼憑據(jù)。

　　7. 停止使用安全問題進(jìn)行重置

　　驗(yàn)證自助服務(wù)密碼重置和密碼故障排除最普遍的機(jī)制之一，就是關(guān)于個人信息（例如母親的姓氏或父親的名字等）的安全問題列表。

　　NIST已經(jīng)非常明確地指出了這些標(biāo)識符的脆弱性，要知道暗網(wǎng)上可是充斥著從以往的數(shù)據(jù)泄露事件中竊取的此類個人信息數(shù)據(jù)。組織應(yīng)該轉(zhuǎn)為使用帶外數(shù)據(jù)（out-of-band data）等方式。

　　所謂帶外數(shù)據(jù)，有時也稱為加速數(shù)據(jù)（expedited data）， 是指連接雙方中的一方發(fā)生重要事情，想要迅速地通知對方。這種通知在已經(jīng)排隊等待發(fā)送的任何“普通”（有時稱為“帶內(nèi)”）數(shù)據(jù)之前發(fā)送。帶外數(shù)據(jù)設(shè)計為比普通數(shù)據(jù)有更高的優(yōu)先級。