密码是生活中的事实 我们大多数人都有太多的密码
系统管理员和普通用户可能会喜欢的矛头发生了巨大的变化- 他们与密码协议有关。
密码是生活中的事实 - 我们大多数人都有太多的密码。我们不记得所有这些,除非我们开始写下它们,否则几乎没有办法跟踪它们。另一种方法是只记住您经常使用的密码,并在需要访问其他站点时要求密码重置 - 但这是很多密码重置!像微软研究员科马克赫利(Cormac Herley)这样的专家已经谈到了密码重置的巨大时间成本,以及如何每年为大公司带来数百万美元的成本。它还会花费数百万分钟的时间,啄掉键盘,无论他们是在试图查看个人数据,注册服务还是从电子商务商店购买东西。
所以,我们能做些什么?我们的密码使用最阻碍和烦人的方面是什么让我们想要将我们的计算机和设备推出窗外?
新的报告显示,作为一个社会,我们可能即将摆脱一些恼人的密码问题。随着对网络安全的新研究,我们可能会超越一些目前的安全标准,这些标准在过去几年中给我们带来了如此大的压力。
“华尔街日报”的一篇文章甚至引出了其中一些规则背后的同伴,并得到了他们为什么不再需要这些规则的意见。
2017年8月7日,华尔街日报作家罗伯特麦克米兰以2003年论文的作者比尔·伯尔(Bill Burr)的一篇调查文章的形式发表了一篇重磅炸弹,最终对公司密码标准产生了重大影响。伯尔曾在负责评估美国技术创新的联邦机构 国家标准与技术研究所工作
“撰写这本关于密码管理的书的人承认了这一点,”麦克米兰的作品开头说道。“他吹了它。”
从那里开始,文章继续描述数字时代的两个错误,它们使我们的生活变得复杂化。第一个是在密码中包含特殊字符的加重要求。另一种是经常更改密码。
调查:告诉我们您如何在商业中使用AI和ML(并赢得100美元的亚马逊礼品卡!)
通过回答这个快速调查,帮助我们了解企业如何理解和使用AI和ML!调查完成后将自动为您赢取100美元的亚马逊礼品卡!
当你谈论几十个单独的密码时,这两种做法都需要花费很多时间。不过,第一个也是“坏界面”的经典案例 - 它只是不直观,它迫使人们进行变通办法。
认知不协调与群体心理
我们大多数人都可以“感觉”这些密码标准如何导致我们的大脑混乱。面对如何在密码中包含数字和特殊字符的非常抽象的选择,这是一个字母字符串,我们中的许多人将简单地用“1!”来表示,这实际上并不会影响黑客。事实上,我们选择相同的通用选择越多,破解密码就越容易。(了解有关黑客的更多信息,安全研究是否真的帮助黑客?)
除此之外,还要求用户每月或每三个月左右更新一次密码。
这个要求背后的原因是旧密码应该变成完全不同的东西 - 但往往不是它的工作方式。试图处理记住一个全新密码的额外脑力,用户将使用旧密码并更改一个字母或数字。现在,旧密码是新密码的主要“告诉” - 它变成了一种责任。
特别出版物800-63-3是对原始版本的更新,它完成了一些专家认为应该一直实施的许多内容。
首先,它消除了组合规则,例如必须在密码中加上感叹号,以及常规到期的要求。
NIST 800-63-3增加的是对“现实”安全实践的关注。
新规则强调多因素身份验证,编写者将其描述为将密码(您记得的东西)与物理密钥或密钥卡(您拥有的东西)或一块生物识别数据(属于您的一部分)混合在一起。其他建议包括使用加密密钥,以及需要接受所有可打印的ASCII字符,以及最长64个字符,最小长度为8个。(了解有关无源生物识别技术如何帮助IT数据安全的生物识别技术的更多信息。)
在一个名为“迈向更好的密码要求” 的公共幻灯片演示中,安全研究专家Jim Fenton详细列出了许多这些修复内容,即“你应该”和“你不应该”,还解释了NIST如何建议创建一个易于破解密码的字典这应该是自动禁止的。
“如果这不容易,用户就会作弊,”Fenton写道,检查了一些常见的规则,这些规则会使弱密码更难以破坏网络。
专家们还建议用户使用密码“密码”或一组单词,而不是我们经过培训提供的字母数字汤的混乱。
为什么密码更好?
有很多方法可以解释为什么像“总蛋自行车驴”这样的长密码将比“MisterA1”更强大的密码选择 - 但最简单的方法是使用一个非常容易理解的指标:长度。
新NIST法规的核心理念之一是,在某些方面,我们将密码策略建立在对人类有意义的基础上,同时忽略了对机器有意义的东西。
一些随机字符可能会让人类黑客感到困惑,但计算机不太可能在密码末尾受到额外数字或字符的影响。这是因为,与人类不同,计算机不会为了意义而读取密码。他们只是用字符串读取它们。
一个蛮力攻击是当计算机经过字符的所有可能的排列,试图“打破”通过找到正确的组合,最初由用户选择的一个。当这些攻击发生时,重要的是你的密码有多复杂 - 而且每个附加角色都会增加一个巨大的,接近指数级的复杂性。
考虑到这一点,密码将成倍增长 - 即使它“看起来”对人眼更容易。
通过将密码的最大长度扩展为64个字符,新的NIST指南为用户提供了所需的密码强度,而不会施加大量违反直觉的规则。
没有提示!
很多管理员都喜欢摆脱特殊的角色要求和所有这些劳动密集型的密码更新,但是还有另外一个功能,当专业人士阅读新的NIST指南时,这个功能也会受到影响。
许多系统要求新用户在入职期间向数据库添加关于他们自己的事实:这个想法是,如果他们忘记了密码,系统可以根据他们过去的其他人不会知道的一些想法对他们进行身份验证。例如:你的第一辆车是什么?你的第一只宠物叫什么名字?你妈妈的娘家姓什么?
这是我们许多人感到不舒服的另一个趋势之一。有时,这些问题似乎具有侵入性。此外,有安全意识的怀疑论者会指出,我们中有很多人首先驾驶雪佛兰,或者在年轻时充满活力,将我们的第一只狗命名为“Spot”。
然后是维护数据库的工作量,并在需要时匹配答案。
可以肯定地说,当有更好的选项使用户活动真正安全时,没有太多人会对“密码提示”功能的消失感到失望。
不,这不是华夫饼屋!腌制,哈希和拉伸
在其他创新中,专家现在还建议使用“salting”密码,这涉及在“散列”过程之前创建随机字符串,该过程将一个数据集映射到另一个数据集,从而改变密码的构成并使其更难以破解。还有一个名为“拉伸”的过程专门用于阻止暴力攻击,部分原因是评估过程较慢。
所有这些功能的共同之处在于它们发生在管理领域,而不是用户的指尖。普通用户不想与这些程序性事物无关 - 他或她只是想要访问并进行网络系统中的任何操作,无论是完成工作任务,与朋友建立联系,还是购买或出售某些东西线上。因此,通过取消“客户端”密码规则并制作大量安全管理,公司和其他利益相关者可以真正改善用户体验。
这是一个关键点,因为改善用户体验是许多新技术创新的意义所在。我们已经从我们的计算机,智能手机和其他设备中榨取了许多功能- 我们将在未来几年取得的许多进展包括使虚拟任务更容易完成,并摆脱笨拙体验:例如非移动优先网站,毛躁的界面,糟糕的电池寿命......或繁琐的登录!这就是密码创新的用武之地。回到多因素身份验证的想法,生物识别技术很可能会解锁设备的更多易用性 - 为什么当你可以向你的设备展示你的设备时,点击并输入长密码带指纹?
实际实施:仍然存在一些挑战
正如我们所说的那样,我们暂时坚持使用密码和密码。例如,一些较新的操作系统已从四个数字的PIN切换到一个六个数字的PIN,使我们中的许多人在我们的设备上的绘制速度慢得多。
NIST推荐的“密码短语”方法的一个问题是仍然会有密码重置(如Naked Security上的这个主题中所讨论的)。人们仍然会忘记密码。有些人认为,当原始密码更长时,IT人员可能会更难发出新密码。
但是,在涉及多因素身份验证时,可能会有一些潜力。生物识别技术还没有真正流行起来,但几乎每个人都有手机。许多在线银行系统和其他系统正在使用SMS来验证用户身份。这可能是检查密码丢失或遗忘的帐户的简单方法。如上所述,这也是加强密码的关键方法。
从本质上讲,联邦机构似乎在告诉管理者:放松。让用户直观地做他们的工作,更好的加密,禁用字符串的字典,以及更多功能的更长输入字段。不要教他们用星号和可爱的特殊字符给他们的密码加油。并且不要让他们每隔几周重新整理整个过程。
所有这一切都将使一个给定的平台更精简和更精简。只需消除密码提示即可消除具有所有资源要求的重要代码库。新的NIST规则将密码安全性置于其所属的位置:在特殊用户的手中,进入一个模糊的地方,技术功能使昨天的蛮力攻击成为历史。他们让我们所有人都采取了一种新的冷静方法来处理尝试过程:为数字生活的每个角落制作独特的小词和短语。这是迈向更直观的用户界面世界的又一步 - 一个新的和改进的数字世界,我们所做的事情感觉更自然,更少混乱。