美國政府要求政府項目承包商必須滿足 DFARS 密碼要求，不遵守要求的承包商可能會受到巨額罰款和集體訴訟。

政府合同對于任何組織來說都是非常有吸引力的，從最近科技公司為國防部 JEDI 項目的激烈競爭就可以看出來，該項目的資金超過一百億美元。

與政府機構進行合作的組織必須遵守一套安全標準和規范，其中最關鍵的是由美國國家科學技術研究院(NIST)在安全領域制定的標準，包括識別、認證、信息存儲和處理等。

國防部希望與其合作的組織也必須遵守《國防聯邦采購法規補充條款》(DFARS)，這是一套適用于美國民用和國防單位的標準。

便利與安全

多年來，安全專家建議使用由小寫字母、大寫字母、數字和符號組成的長且復雜的密碼(要求用戶輸入類似!V4Dv$hJUF2g%J的密碼)。此外，這還不夠，還要求用戶為每個賬戶設計唯一的密碼，并且每隔幾個月就更改一次。

事實上，復雜的密碼很難被人記住，大多數的用戶不會找到合適的解決辦法。很多人會將密碼存儲在文本文件中，或者在不同賬戶間重用相同的密碼。

出于這些考慮，NIST 放寬了有關密碼的要求。復雜的密碼不必要定期更改，NIST 建議使用介于 8 到 64 個字符的密碼，并在懷疑密碼泄露的時候進行修改即可。在修改新密碼前，還要對照已泄露的密碼列表進行檢查，例如Have I Been Pwned。

NIST 認為密碼的復雜度已經達到極限了，計算機每年都在變得越來越快，功能也越來越強大。

密碼存儲和管理

組織一旦解決了密碼復雜度的問題，密碼存儲就會變成更大的問題。密碼存儲在服務器之前，必須進行哈希處理。實際上，純文本密碼存儲比簡單的密碼還糟糕。

如今，大多數組織都能夠保證存儲密碼的哈希值。但僅僅這樣還不夠，還必須控制對這些密碼的訪問，并確保未經授權的人員不能訪問密碼。例如，Facebook 的純文本密碼存儲可供員工進行搜索。

組織面臨的另一個挑戰是檢測并阻止惡意訪問嘗試，必須檢測并阻止多次失敗的訪問嘗試，

多因子身份驗證

顯然，僅憑密碼不足以保護用戶。簡而言之，MFA 通過要求用戶提供他們知道的信息(如密碼)、持有的信息(如移動 App 或安全密鑰)、擁有的信息(如生物特征)來驗證用戶身份。

DFARS 認證某些類型的多因子認證，包括安全存儲在端點上的證書(如鑰匙串、TPM 或 TEE)。此外，還必須嚴格保護密鑰，防止未授權的密鑰泄露。最后，組織必須確保密鑰不能在多個設備之間傳遞。

不過使用多因子認證也會遇到問題，許多用戶每次訪問賬戶都會遇到輸入密碼的問題。在登錄過程中輸入額外的一次性密碼或生成物理密鑰所帶來的麻煩通常令人反感，優選的話用戶會完全禁用多因子認證。

為政府合同做好準備

CISO 和 IT 安全團隊的最終目標是最大程度地提高安全性，同時保持員工的可訪問性與易用性。當增加遵守嚴格的網絡安全和隱私法律的需求時，這可能更難實現，成本也會更加高昂。用戶身份驗證的挑戰也許正表明了便利和安全的沖突。幸運的是，如今各種解決方案可為所有的數字資產提供更好的安全性、更方便的合規性和更高的用戶滿意度，幫助組織為各種情況做好準備。