密碼最佳實(shí)踐是眾所周知的，但它們真的是最好的嗎?在過去的幾十年中，大多數(shù)公司已經(jīng)實(shí)施了他們認(rèn)為是基本密碼標(biāo)準(zhǔn)的內(nèi)容。這些通常包括：

確保由數(shù)字，字母(大寫和小寫)字符以及特殊符號(hào)和類似字符組成的復(fù)雜密碼

強(qiáng)制用戶定期更改密碼

要求用戶先前未使用的新密碼

這些準(zhǔn)則已被廣泛接受，因此我們看到支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)中的要求規(guī)定密碼應(yīng)每90天更換一次。

但是，像所有成熟的技術(shù)政策一樣，重要的是不時(shí)退縮，并評(píng)估該政策在不斷變化的環(huán)境中是否有意義。這正是美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)為密碼準(zhǔn)則所做的。我們應(yīng)該忘記幾十年來我們已經(jīng)習(xí)以為常的最佳實(shí)踐，并將新常態(tài)應(yīng)用于密碼管理實(shí)踐。讓我們來看看一些常用的密碼安全實(shí)踐，并與NIST的更新建議進(jìn)行比較。

 情結(jié)不一定強(qiáng)

我們似乎永遠(yuǎn)不得不選擇包含數(shù)字字符，大小寫字母和特殊字符變體的密碼，以使密碼復(fù)雜化。但是，NIST已經(jīng)聲明這不會(huì)導(dǎo)致更強(qiáng)的密碼，并且這種做法應(yīng)該被替代為對(duì)密碼選擇更加動(dòng)態(tài)的支持。 NIST建議組織通過檢查選擇的密碼來防止已知泄露的泄露數(shù)據(jù)和已知的弱密碼，從而支持用戶選擇更好的密碼。很難說這個(gè)練習(xí)是不可能的，因?yàn)榛ヂ?lián)網(wǎng)上有大量違反的數(shù)據(jù)。諸如HashCat和類似的密碼測試工具等工具的可用性使得密碼選擇的質(zhì)量檢查相當(dāng)容易。

越長越好，并允許剪切和粘貼

我們都遇到過例子，你的密碼長度不能超過8或10個(gè)字符。這可以在全球一些較大的組織中看到，毫無疑問，因?yàn)檫z留系統(tǒng)的限制。NIST對(duì)密碼長度的建議很明確。它表明應(yīng)該允許至少64個(gè)字符的密碼。此外，應(yīng)確保用戶可以粘貼到密碼數(shù)據(jù)輸入字段中，鼓勵(lì)和支持使用密碼管理器。奇怪的是，一些網(wǎng)站目前阻止用戶將他們的密碼粘貼到表單字段中，從而破壞了密碼管理器的自動(dòng)使用。

密碼提示

恢復(fù)忘記密碼的流行趨勢是允許用戶重置密碼，如果他們成功回答提示問題，如他們的第一輛汽車或他們最喜歡的老師的問題。提示問題的質(zhì)量通?？赡軙?huì)令人滿意。不良的水平加上現(xiàn)在在社交媒體上分享的所有個(gè)人數(shù)據(jù)削弱了密碼提示的使用。NIST建議我們停止使用提示問題作為幫助用戶恢復(fù)帳戶訪問的手段。

定期更改

除了NIST的建議之外，國內(nèi)知名黑客安全組織東方聯(lián)盟研究人員也曾表示：不建議常改密碼，即在黑客擁有您不知情的情況下獲得信息的情況下，定期更改您的密碼。反對(duì)這種做法的論點(diǎn)在于選擇密碼序列或模式的人性特征，以減輕記憶密碼的工作量。因此，用戶傾向于在當(dāng)前密碼末尾添加數(shù)字或其他增量字符，并在每次被迫更改密碼時(shí)增加該字符數(shù)。這使得密碼較弱，東方聯(lián)盟不推薦這種做法。

執(zhí)行密碼測試

如果您不能在用戶生成或更改其密碼時(shí)執(zhí)行內(nèi)嵌密碼檢查，請(qǐng)務(wù)必提供非常規(guī)密碼強(qiáng)度檢查。運(yùn)行Hashcat等工具并識(shí)別弱密碼，并為用戶更改所有弱密碼。停止強(qiáng)制定期更改密碼，當(dāng)用戶懷疑自己的密碼不再是秘密時(shí)，應(yīng)該更改密碼。在正常情況下，密碼不應(yīng)再經(jīng)常更改。