2020年，如何逃離弱密碼黑洞？

全球遠程辦公大潮中，一些企業安全的脆弱性問題被放大，全球數據洩露事件的頻率和規模以肉眼可見的速度逐年遞增，如果說身份與訪問管理是數據安全的“重災區”，那麼“弱密碼”則無疑是“震中”。

據安界網社區的一些安全主管反映，密碼相關的安全加固措施是疫情期間最重要的安全工作之一。

根據Verizon的《數據違規調查報告》，有81％與黑客相關的違規行為都利用了被盜密碼或弱密碼，只需一名員工的弱密碼就可以撬開重兵把守、重金打造的企業網絡安全防禦體系。

事實上，雖然零信任、多因素認證是當下的企業網絡安全的熱點話題，但是冥頑不化的弱密碼問題，依然是企業網絡安全最大的軟肋之一，Centrify最近的一項調查顯示，受訪的1000名IT決策者中，74%的入侵事件涉及特權賬戶訪問。而今年RSAC2020的現場調查數據顯示：

·接近四分之一的受訪者（23％）使用相同的工作和個人賬戶密碼，違反了行業最佳實踐

·超過五分之一的受訪者（21％）仍將密碼存儲在手機、計算機或打印文檔中，同樣違反了行業最佳實踐

注意，以上調查是針對安全行業人士進行，普通企業員工的密碼違規情況要比上面的數據嚴重得多！

弱密碼黑洞

如今，一位普通消費者都至少使用20個以上的賬戶。二十個不同的賬戶，二十個不同的密碼，延伸出一系列的安全問題和安全隱患（上圖），甚至包括安全專家在內，都會犯下在不同賬戶中重複使用密碼的低級錯誤。密碼安全性已經成為在線賬戶安全的主要問題，導致數據洩露、賬戶接管、欺詐性金融交易、敏感數據洩漏、個人數據濫用等。

截止到今天（2020年），最大的數據洩漏主要來自配置不當的系統，包括身份驗證薄弱。

總而言之，在業界的不懈努力下，密碼安全性較差的現狀依然未能得到解決。

問題已經足夠淺顯直白，但是我們有解決方案嗎？

對於弱密問題，很多企業採取強制頻繁更改密碼並使用單點登錄（SSO），以及將特權憑證存儲在密碼庫等措施，但企業應該認識到：弱密問題並不是一種或幾種技術方案（例如IAM和PAM）或者規則能夠根除的，需要參考和制定一套完善的密碼準則，以應對消費者、供應商和企業自身的數字身份管理挑戰。

以下，安全牛針對目前遠程辦公的“安全痛點”，老話重提，圍繞NIST的新版密碼指南與大家一起就密碼安全溫故知新：

NIST的十三條密碼準則

NIST SP 800-63是美國國家標準技術研究院（NIST）2017年發佈的數字身份驗證準則的新修訂版（2020年3月更新），其中提供了有關密碼安全性要求的準則。

儘管SP 800-63是79頁的冗長文檔，但本文主要關注的是第5節“身份驗證器和驗證者要求 ”，該章針對如何處理身份驗證要求制定了許多具體準則。

簡而言之，它是密碼管理的一些最佳實踐的整理，包括存儲、使用和頒發。

那麼，NIST 800-63到底在說什麼呢？NIST 800-63的意義是什麼？與先前發佈的密碼安全性準則有何不同？

如果你比較趕時間，可以花1分鐘瞭解一下這個最新版NIST密碼指南的快速列表：

1.不再需要定期重置密碼

2.定義的最小密碼字符數–8（用戶生成）

3.密碼中定義的字符數至少為64+

4.允許ASCII可打印字符，包括空格和表情符號

5.定義的最小密碼字符數–6（系統生成）

6.密碼找回避免使用密碼提示/安全問題

7.限制密碼的複雜性要求

8.鼓勵2FA/MFA並避免2FA中使用SMS短信驗證

9.避免暴露以下來源的密碼：

以前暴露的違規賬號
字典單詞
包含重複或連續字符的密碼
特定於上下文的詞，例如服務的名稱、用戶 名及其派生詞

10.將失敗登錄嘗試次數限制為一定數量，例如10次

11.不要截斷密碼並始終將其存儲在單向哈希中

12.引導用戶使用指示器展示評估密碼強度

13.通過鹽化和單向哈希安全地存儲密碼，以防止密碼猜測攻擊

NIST 800-63有哪些重大更新？

1.嘗試淘汰過時的密碼實踐準則（例如定期更改密碼）

2.對2FA/MFA的用法給出了很好的建議

3.增加舊/不良密碼的作廢要求

4.強調密碼字符數量/長度（最小和最大值）的重要性

5.明確密碼重置的理由

6.明確定義最佳的密碼鹽化存儲方式

NIST密碼新政詳解

以下，我們逐項解讀NIST的密碼“新政”：

不再需要定期重置密碼

一些服務提供商（例如在線銀行）和企業會強制用戶定期（例如30-90天）修改密碼。但是問題是，如果密碼很強並且沒有受到破壞，為什麼我們必須更改密碼。

另外，當我們按定義的時間間隔定期更改密碼時，我們傾向於引入較弱的密碼。例如，您之前的密碼是“ [Pr3ttyMeLikesD!$n3y]”。這個密碼看上去非常強悍，但遺憾的是，在公開的密碼洩露檢查工具中，這條密碼的檢測結果是“陽性”。

雖然已經洩露，但如此“牛C”的密碼用戶是捨不得一下拋棄的，因此，很常見的做法是在原密碼末尾添加一個或幾個數字，例如 “ [Pr3ttyMeLikesD!$n3y] 9”，這樣就可以滿足提供程序的密碼修改要求。

錯了！

如果您的原始密碼已被盜用，並且可以通過有針對性的攻擊與之相關聯，攻擊者可以輕鬆地“猜出”您的“新密碼”。

這就是為什麼NIST的密碼新規中強調避免強行使用任何類型的週期密碼，因為這會進一步削弱密碼流程。

密碼長度更加重要

我們都知道NIST新規則格外強調密碼長度的重要性，但關鍵問題是如何設定密碼長度的最大值和最小值的合理範圍。

過去，密碼長度受到限制是為了適應存儲需求。但現在，隨著散列值的存儲，大小限制變得非常寬鬆，允許使用強而複雜的密碼。

無論密碼是“password”還是“ Itw@asAN!c3P@$$sword4ALL”，存儲這兩個密碼所需的存儲空間實際上沒有差異，這將由服務提供商使用的哈希算法確定。根據NIST的新準則，用戶創建的密碼長度至少應為8個字符，最大長度應允許超過64個字符。這意味著在線服務提供商常見的20-32個字符密碼長度限制需要大幅放寬。

但這引發了另一個問題：如果密碼是由服務/系統創建的（例如初始密碼和默認密碼），密碼字符數量（長度）的要求是什麼？幸運的是，新規範中系統創建密碼的最小值減少到6個字符。這種6個字符的密碼可以在員工初始入職時設置。此後，將要求用戶強制執行首次登錄密碼更改。

傳統上，密碼長度一直保持為少數字符，以適應存儲需求。

與最初起草的時間範圍相比，當前的存儲成本要低得多。之所以認為存儲是因為密碼是以前以純文本存儲的，因此導致了許多數據洩露事件，包括但不限於a，b，c。

哪些字符可以作為密碼字符？

答案很簡單。允許所有可打印的ASCII字符集。

簡而言之，請允許使用標準鍵盤可以創建的任何內容，甚至允許空格作為密碼的一部分！

那麼，[ ！@ ＃$％＆*（）;’，。/ <> ?:] 這樣的特殊字符呢？

再次強調！創建密碼時，不應限制特殊字符。

那麼表情符號呢？

表情符號也是允許的

有效密碼錶情符號：來源https://smiley.cool

安全問題不安全，避免密碼提示/安全問題

在很多場景，我們習慣於在密碼恢復和識別過程中輸入類似真心話大冒險的“安全問題”。例如你爸媽在哪相愛？你出生在哪？你家的狗狗跑丟時幾歲？你最討厭的高中老師的名字？你幾歲開始坐飛機？你老爸情人姓什麼？之類。

在NIST新規中這是嚴格的禁忌。

原因是這些問題/答案很容易猜到。尤其對於針對性攻擊者來說，在個人隱私洩露數據極大豐富，社工攻擊氾濫的今天，這些問題的答案將不難找到。

在密碼管理過程中，NIST不再允許此類提示或線索。

限制密碼複雜度要求

正如前文所述，新的NIST密碼規範極大拓展了可用於密碼的字符類型，強調密碼長度的重要性，同時建議取消密碼複雜度的強制要求。此外，還建議服務商取消過去並不合理的強制密碼複雜度要求，例如下面這個常見的規範：

“您的密碼只能包含字母數字字符。它還應包含一個字母，一個數字和一個特殊字符“

按照上面的規則，“ Password！23”是可接受的密碼，但它卻是最弱的密碼之一。

鼓勵2FA / MFA並避免使用SMS短信驗證

過去幾年，隨著數據洩漏事件的頻率和規模不斷增長（下圖），越來越多的用戶名和密碼被暴露，甚至在網絡黑市中交易。

對於攻擊者而言，通過洩露數據獲取用戶登錄密碼變得越來越容易。

因此，建議在傳統的用戶名/密碼組合之外再增加一個認證層，例如雙因素身份驗證（2FA） 或多因素身份驗證（MFA）。

但是早期基於短信的雙因素認證今天越來越容易受到SIM交換和相關攻擊，因此建議避免使用基於SMS短信的身份驗證令牌。

替代方法是使用身份驗證器。第一步是用戶名/密碼組合。用於身份驗證的下一步令牌將通過應用程序（軟/硬件）創建。

安全社區強烈建議使用2FA或MFA這種方法，因為它已被證明可以擊敗幾乎所有針對用戶的基本密碼攻擊。

限制失敗登錄嘗試次數

假設有人要登錄您的賬戶。

第一步和最簡單的步驟是猜測您的用戶名和密碼組合。如果用戶名和密碼很容易猜到，則該賬戶很容易受到破壞。為避免這種情況，系統應強制執行失敗登錄次數限制。例如，在第五次失敗登錄嘗試之後，系統可以逐級增加登錄時間間隔，隨著每一次登錄失敗，延遲可能會成倍增加，從而使攻擊者難以得手。考慮到所有這些情況，NIST建議定義一個特定的登錄次數上限，從根本上杜絕非授權登錄嘗試，有助於確保此類賬戶的安全。

不要截斷密碼

早些年程序員通常將較大的密碼截斷為最多8-20個字符，以最大程度地減少其存儲需求。

但現在，密碼存儲內容僅限於散列，同時存儲設備的成本也已大大降低。

而且，密碼的哈希值將根據字符而變化，並且包括截斷在內的每個更改都會對所述密碼的強度產生重大影響。

考慮到這些，NIST建議系統不應截斷密碼，而應僅存儲其單向哈希。這有助於提高密碼強度。

用密碼強度指示器指導用戶

任何新密碼的強度都應在密碼強度指示器的幫助下直觀展示。由於當今大多數應用程序都可以在線訪問，因此強烈建議顯示可視化密碼強度指示器。（上圖）該可視密碼強度指示器可用於指導用戶設置更強的密碼。

2020年NIST密碼要求的關鍵要素

最後，我們將NIST密碼新規範的關鍵要素總結如下：

需要注意的是，雖然NIST800-63的實施準則非常淺顯易懂，但目前大多數在線服務提供商的合規性都很差。

點擊關注我的頭條號，0基礎掌握更多黑客秘籍！

專欄

黑客攻防"實戰"教程“100講”

作者：安界

199幣

307人已購

查看

私信回覆‘’資料‘’領取更多技術文章和學習資料，加入專屬的安全學習圈一起進步！

安界貫徹人才培養理念，結合專業研發團隊，打造課程內容體系，推進實訓平臺發展，通過一站式成長計劃、推薦就業以及陪護指導的師帶徒服務，為學員的繼續學習和職業發展保駕護航，真正實現和完善網絡安全精英的教練場平臺；

如果你想實現進高企、就高職、拿高薪，即使低學歷也可實現職業發展中的第一個“彎道超車”！趕緊私信我！等你來！