譯者 | 劉濤
策劃 | 云昭
在計算機出現(xiàn)的早期,如果不是坐在終端前,計算機之間和用戶之間都是彼此隔離的,存儲非常昂貴。
因為只要這兩個原則都成立,把熵塞進短密碼的唯一方法就是讓它更復雜。密碼復雜度規(guī)則就是這樣誕生的。此外,為了使密碼更難破解,還需要定期修改它,使其成為一個移動靶子,這樣破解起來就更加困難。
但是我們不再生活在那個世界里了。
現(xiàn)在計算機是連接的,我們幾乎永久地連接到我們的系統(tǒng)。存儲也越來越便宜。
因此,現(xiàn)在有一個更好的方法來提高密碼的熵值:讓密碼變長。這樣做更好的原因是人們不能很好地處理復雜的密碼。這使得它們更難記憶和輸入。沒有一種熵的級別是通過增加密碼長度而無法達到的,這意味著沒有理由使用復雜度規(guī)則。如果不喜歡10個字符密碼的熵,沒關(guān)系,我們可以讓它變成12個,但不要讓它變得復雜。同樣的,13個,14個等等都可以。此外,熵隨密碼長度增加的速度比隨密碼復雜度增加的速度要快。
另外,使用長密碼還有一個好處,那就是大多數(shù)常用單詞都很短。因此,如果要填寫一個長密碼,就得把單詞合并起來(至少在英語中),這樣密碼就能抵抗字典攻擊了。這甚至不需要用戶自己去做,因為用戶創(chuàng)建密碼更容易。
與定期重置密碼相比,有一種更好的方法可以防止暴力破解:當一段時間內(nèi)登陸失敗次數(shù)過多時通知用戶和管理員。也可以在一定時間內(nèi)限制登錄失敗的次數(shù)。也就是說,不需定期重設密碼,因為我們已經(jīng)不是早期離線計算的時代了。
密碼管理器和多因素身份驗證技術(shù)更有意義。密碼管理器可以方便用戶管理密碼和選擇隨機密碼。實施這些操作的同時,應同時提供給用戶使用所需要的培訓。
下面的表格及其設置的變量假定:
- 每秒不限次數(shù)。
- 用戶和管理員將不會被告知暴力破解行為。
- 盡管密碼散列是免費提供的,但它們所屬的系統(tǒng)在某種程度上是同步的,并且沒有人注意到這個漏洞。
- 花5年時間破解密碼是不安全的。
- MFA(多因素身份驗證)未使用。
- 比起51年,2300萬年要好得多,因為人類可以活好幾個世紀,而且重設密碼可以消磨時間。
- 有人闖入了系統(tǒng),得到了所有的密碼散列。
密碼復雜度和重新設置不會導致選擇預期的隨機口令,它會導致用戶重復使用有限數(shù)量的不同密碼,僅改變可預測的數(shù)字和日期之類的字符串,這樣用戶就可以在需要的時候登錄和工作。它使密碼更易于預測,而且經(jīng)常離線使用。這會使系統(tǒng)的安全性變得更差!
很多專業(yè)人士在2017年出版《NIST800–63》(數(shù)字身份指南)之前就明白了這一點,他們在該新技術(shù)標準發(fā)布后再也找不到任何借口。
遺憾的是,像PCI-DSS之類的一些合規(guī)機制仍然要求定期重置密碼,我希望以后它們會被更新并要求管理員多因素身份驗證。傳統(tǒng)是很難改變的!(注:Reddit用戶表示,使用“補償控制”MFA可以獲得PCI-DSS認證而無需復雜度規(guī)則和密碼重置)
全世界的企業(yè)浪費了數(shù)千小時的用戶時間和服務臺時間,并且由于他們?nèi)匀皇褂妹艽a復雜度規(guī)則和定期密碼重置,使得安全變得更加糟糕。是時候停止這種瘋狂了。
那該如何做
- 理解自己的職責是幫助用戶提高安全性,而不是幫助用戶去遵守那些想象中的、毫無根據(jù)的規(guī)則
- 檢查您所保護的應用程序,對其進行配置以限制一段時間內(nèi)失敗的登錄嘗試次數(shù),并在登錄嘗試次數(shù)過多時通知用戶和管理員
- 推廣使用密碼管理器和多重因素身份驗證
- 停止傳播關(guān)于密碼復雜度和重置的不良建議。
譯者介紹
劉濤,51CTO社區(qū)編輯,某大型央企系統(tǒng)上線檢測管控負責人,主要職責為嚴格審核系統(tǒng)上線驗收所做的漏掃、滲透測試以及基線檢查等多項檢測工作,擁有多年網(wǎng)絡安全管理經(jīng)驗,多年P(guān)HP及Web開發(fā)和防御經(jīng)驗,Linux使用及管理經(jīng)驗,擁有豐富的代碼審計、網(wǎng)絡安全測試和威脅挖掘經(jīng)驗。精通Kali下SQL審計、SQLMAP自動化探測、XSS審計、Metasploit審計、CSRF審計、webshell審計、maltego審計等技術(shù)。
原文鏈接:
https://medium.com/the-ciso-den/when-will-cybersecurity-professionals-stop-hurting-both-their-users-and-security-d9931e6a1150
