去除口令复杂性和定期修改 NIST口令草案受厂商肯定
作者: 日期:2017年05月16日 阅:4,049

美国国家标准与技术局(NIST)最近公布了一份数字身份指南草案,受到厂商欢迎。该指南草案(https://pages.nist.gov/800-63-3/sp800-63b.html)颠覆了口令安全建议,调整了安全人员在制定企业策略时遵循的很多的标准和最佳实践。

新框架建议:

1. 去除定期修改口令的要求

PasswordPing创始人迈克·威尔森说,很多研究都显示,要求定期修改口令实际上是有损良好口令安全的。NIST称,该建议的提出,是因为口令应该是用户想改才改,或者有指标表明受到入侵才修改。

2. 放弃口令复杂性要求

不再要求必须包含大小写字母、特殊符号和数字的复杂性要求。正如定期口令修改,这一条也是被反复验证了会产生糟糕口令的。NIST称,即便用户想要只有表情符的口令,也是应该允许的。这里有必要提到存储要求。加盐(salting)、散列(hashing)、介质访问控制(MAC),以防口令文件被对手获取,离线攻击是非常难以完成的。

3. 对照常用或已泄露口令列表筛选新口令

提升用户口令强度的最佳方法之一,是对照词典口令和已知泄露口令列表进行筛选。NIST称,词典字、用户名、重复或连续的模式,统统都应该被弃用。

以上三条都是我们已经建议了一段时间的了,如今还出现了口令强度测量器,不仅仅甄别常用口令,还检查已泄露凭证。虽然没有在新NIST框架中被显式提及,我们认为,另一个重要的安全实践,应该是对照已知被泄凭证列表,定期检查用户凭证。

新报告作者之一,NIST的保罗·格拉西指出,上述多条指南现在只是强烈建议,而非强制要求。公众意见征询期已于5月1日结束,现在草案正经受内部审核过程。初夏或仲夏时有望审核完毕。

我们期待在不远的将来,技术、文化和用户倾向,能够使这些要求被广泛接受。我们在该领域做了很多研究,确定口令组成和定期更换对安全无甚作用,反而还会损害用户体验。而糟糕的用户体验,是我们思想上的一个漏洞。我们需要技术来支持(不是所有的口令存储都能做到),所以我们并没有想要制定因为技术受限而无法达到的要求。

用户总能找到办法规避限制,比如口令复杂性要求中,就可以用字母来代替特殊字符。因为坏人也知道这些小手段,所以这种要求对增加口令信息熵并没有什么卵用。“所有人都知道,感叹号是数字1或大写字母I,或者口令的最后一个字符。$符号就是S或者5。用这种众所周知的花招,骗不了任何敌人。我们只是在骗存储口令的数据库,让它们以为用户做得不错。”

至于对口令的新要求,NIST很乐于推出口令存储要求,让离线攻击更加困难。基本上,新版指南更好地确认了正确设置口令的重要性。“我们提供了一系列新选项,让机构有能力利用用户已经拥有的工具,比如智能手机、身份验证App,或者安全密钥。因为不用发放实体设备,就能节省开支,还能通过采用用户已有的强认证器来增强机构的安全态势。”

Nok Nok Labs 首席执行官菲尔·邓肯博格称,用户名和口令规范早已过了保质期。增加口令复杂度和要求定期重置,对安全的提升微乎其微,却大幅降低了可用性。

大多数安全人员都承认,这些策略在纸面上看起来很漂亮,但它们对终端用户造成了认知负担,让用户不得不在各网站和其他方式之间使用重复的口令,最终减弱了整体安全。我们很高兴看到NIST这样的国家机构对过时规范进行更新。

用户反应

兰·沙尔坎德,SecuredTouch共同创始人兼首席产品官,称新的口令指南意义非凡。“人们需要管理的口令和‘特殊字符’的数量,反而损害了应有的安全。然而,口令的重要性确实在下降。威胁持续增加,用户已经厌烦了输入用户名、口令和其他标识身份的代码——无论结构如何。“

某些行业强制采用多因子身份验证(MFA),其他则是资源采纳。MFA给安全又加了一层保护,要求纳入你知道的(口令)、你拥有的(令牌或短信),或者你自身属性(指纹或行为)。

最终,归结为在安全和用户体验中取得平衡。MFA确实能增强安全,但也会让用户不愿意使用该App或执行交易。这也是为什么公司企业一直在找寻更加用户友好的组件的原因,比如用行为特征以减少冲突,获得更顺畅的设备互动和更高风险交易。

麦克·凯尔,Cybric共同创始人兼CIO,称行为特征终将完全淘汰对口令的需求。行为特征基于用户与其设备的物理互动,比如指压、输入速度、手指大小等,进行分析和身份验证。

“我认为该框架的更新是战术方向上正确的一步,尤其是口令轮转修改要求的去除。”

他希望看到更具战略性的方法,比如要求云端综合数据处理(IdP)/单点登录(SSO),监视异常行为,以及为用户提供口令管理工具。

巴里·施特曼,Exabeam威胁研究总监,称这是NIST标准一个非常积极的变化。“凭证问题(使用被泄露的凭证数据库,在身份验证机制中反复出现)已经相当常见,尤其是在泄露信息被倒卖或公开的情况下。”

理查德·亨德森,Absolute全球安全策略师,认为该改变还让字典和彩虹表攻击没了用武之地。“很可惜,我们在创建和使用口令上这么多年都是听着混乱矛盾的建议过来的,造成了验证实现上的混乱和普通互联网用户的迷惑。”

只要想想还有那么多网站采用糟糕透顶的口令策略,或者更让人无语的——明文存储口令,人们的习惯导致大范围口令重用或弱口令这种事,真的让人惊讶吗?

亨德森称,最重要的一点建议就是,对照已知漏洞和被盗口令列表进行持续扫描。“除了可以最小化口令重用和创建弱口令的风险,还可以警醒公司防范用户数据泄露。如果247KangarooKiwi! 这样的口令出现在某被泄列表上,且这是公司某用户使用的口令,那无疑就是大大的红色警报,要去检查公司或工作终端设备,找寻入侵证据了。”

NIST建议采用完整的ASCII和Unicode键空间,这建议非常好,可以大幅增加攻击者暴力猜解口令的难度。

特洛伊·吉尔,AppRiver安全研究经理,想起了经常听到了一句话:口令已死。“过去10年,新身份验证技术有了很大进展。但是,这几年在线服务大规模激增,其中大部分服务又要求口令验证,让口令有点到达临界值了。”

他指出,这些建议与去年英国国家计算机安全中心(NCSC)提出的大部分相同。

理想世界中,要求口令每隔几个月改一次是很好的想法。但作为人类,明知怎么做才最安全,但就是不愿意做的情况太常见。我们会用符合最低要求但能轻易达成的方法,替代掉复杂但安全的方式。面对现实吧,现今人们需要记住的独特口令真的太多了,而且其中大多数都要求定期更改,这记忆量,简直让人望而却步。

这种经常性的厌烦感,不可避免地让用户采用常见的、可预测的口令,将口令记录在不安全的地方,多个在线账户共用口令,修改口令也仅做最微小的调整。30/60/90天口令修改要求是适得其反的。

“事件驱动”的口令重置,是比定期口令修改要求更合理的方式。比如说,某公司怀疑遭到数据泄露之后要求全面修改口令就是很恰当的。其他需要修改口令的事件还包括特定用户从未识别设备或非预期位置登录。“投入增强此类事件的检测能力,可以锻造更强壮的安全态势。”

吉尔称,要求更多算法复杂性的做法,常常会产生容易被预测的结果。比如NIST指南中列的例子:某口令“password”变形为“password1”,然后再改成“password1!”。这种很容易猜到的口令修改,有什么意义吗?

最后一个口令迭代看起来似乎更加复杂了,符合字母+数字+特殊字符的规则、但是,跟初始口令真的差别不大,既常用,又在计算上是很容易预测的。即便用‘passphrase’代替‘password’都要好得多,因为更长的口令句既容易记忆,也难以暴力破解。

使用常见口令和被泄口令列表也是很容易实现的。公司企业应投入一定力量在Web监视上,那里是被泄口令集散地,可以找寻有没有包含自家用户/客户的被泄口令列表。

埃里克·阿维格多,Gemalto产品管理总监,认为口令一直都是很弱的安全工具,而普遍看法是,消费者应创建复杂口令并经常更新。

现实却是,无论有多复杂,修改多么频繁,口令都是很弱的,而且人们往往就在一两个口令里来回换。即便你口令超级长超级复杂,中间人攻击或浏览器中间人攻击依然能取得你的口令——IT管理员可以看到你的口令,你的银行也可以看到。

阿维格多称,新指南承认了口令问题的解决办法就是要接受口令脆弱的现实,添加其他身份验证补充因素——无论是移动或硬件OTP(一次性口令)令牌,还是基于PKI(公钥基础设施)的USB令牌或智能卡都好。

带智能卡的PKI令牌应得到更多采用。这种方式要求输入仅有智能卡拥有者才知道的PIN码。

相关阅读

研究揭示口令命名惨不忍睹 把口令写下来竟成最佳实践?
暗网不只是黑产基地 Facebook从黑市购买口令以保护账户安全

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章