NIST出台密码安全新标准：不再强制用户定期修改密码和使用复杂字符密码

美国国家标准和技术协会（NIST）发布了《数字身份验证指南（DAG）》的最新草案，该草案对以前的密码安全设置以及公司在制定相关安全政策时的许多标准和做法都进行了修改和调整。

在新版的密码安全保护方面，该指南不再要求用户定期修改密码。因为经过调查，频繁的更改密码并没有达到保护密码安全的预期目的。

NIST最新建议

1. 在用户想要修改的时候再去修改，

2. 用户发现自己的设备有被攻击的迹象时应立即修改密码，

3. 用户在设置密码的时候没有必要混合大写字母、字符和数字，因为研究显示这样并不能让密码的安全性提高，反而会让用户容易忘记密码，

4. 公司应该允许用户使用emoji（表情符号）来进行加密设置，

5. 最保险的加密办法应该是加盐算法+哈希算法+ MAC算法，

6. 提高用户密码强度的最佳方式就是合理地选择密码字典，并尽量避免直接使用用户名、生日、连续数字这样的简易密码，

7.根据已知的受损凭据列表定期检查用户凭据。

对于以上这些安全建议，NIST起草标准的作者之一保罗•格拉西（Paul Grassi）表示，这些建议都还在征求意见阶段，并不是强制性的，预计草案会在今年年中通过。

CSO的反应

用户通常会通过用特殊字符替换阿尔法符号来对密码进行组合，但是对于黑客来说，他们已经对用户的这种密码设置技巧非常了解了，所以对密码的真实熵来说，安全性就降低了很多。每个人都知道用感叹号代替的是1，或者I，或是密码的最后一个字符，$代替的是S或5。如果我们使用这些众所周知的技巧，那密码几乎没有任何安全性可言。

在新的密码要求方面，保罗•格拉西表示NIST很高兴能为用户提供密码设置方面的建议。从根本上说，新的修订草案能让用户对密码的设置强度有一个更客观地理解。另外，NIST还为安全代理商提供了很多安全保护方面地选择，让他们能够利用用户可能已经拥有的工具，如智能手机，认证应用程序或安全密钥等来提高用户的安全体验。

Nok Nok Labs首席执行官Phil Dunkelberger表示：“用户名和密码的复杂性要求所带来的安全并不如我们一般所认为的那样高而且还用增加使用的方便性，我们很高兴看到像NIST这样的国家组织对其做出客观地说明。”

 Dunkelberger还表示：“绝大多数安全专家都承认，这些草案对用户的密码管理方面的认知做了一次很好的教育，让用户的整体安全性得到提高。我们很高兴看到像NIST这样的国家组织推荐更新并改变不再适用的密码保护。”

用户的反应

SecuredTouch的联合创始人兼首席产品官Ran Shulkind表示“新的密码指南很有意义，人们不得不重新审视以前的密码管理认识误区以及使用特殊字符的结果反而会使安全性降低。在网络威胁日益增加的今天，密码保护比以前都要重要的多，而NIST提出的建议显然给了我们用户很大的帮助。” 

多因子认证（MFA）在某些行业已经开始被采用， Shulkind说：“MFA让安全性提高了一个新的层次，包括你所知道的东西（密码），你所拥有的东西（令牌或短信），或你所指定的东西（指纹或行为）。”

多因子认证是一种我们在许多网银应用中经常使用的一种提升安全的方法，它是在用户名或口令之外额外增加的一种认证措施，因此能够提升用户账户的安全性。如果对某个账户启用了AWS MFA，那么用户在输入该账户用户名和口令之后还需要输入由MFA设备生成的6位数字。这个6位数字可以是通过专门的物理设备生成，也可以是一个虚拟的设备，也就是支持TOTP标准的应用程序。

但Shulkind接着说“MFA的使用虽然增加了安全性，却降低了用户体验，这就是为什么各个安全公司还在努力寻找更加友好的用户安全策略，例如通过行为生物识别的方式既可以提高安全性又有非常好的用户体验。”

Cybric的联合创始人兼首席信息官Mike Kail表示：“行为生物识别技术可以根据用户与设备的物理交互（手指压力，打字速度，手指大小）进行分析和验证，最终完全代替目前的密码保护方式。”

他说：“我认为新建议中的更新是正确的，特别是密码频繁修改的变更。”

Mike Kail希望看到更多的关于密码保护方面的改进策略例如要求Cloud IdP / SSO这样的提供商也加入到监控异常活动中来，他还建议向用户提供密码管理工具。

Exabeam威胁研究总监Barry Shteiman表示：“这是NIST标准的非常积极的变化，黑客使用受损的凭据数据库，并重新验证身份验证机制已经变得非常普遍了，特别是有些信息已经被出售或在线发布。”

密码保护策略

Absolute的全球安全策略师Richard Henderson认为：“这一改变也使得字典密码和彩虹表攻击的威力大幅下降。 在这份草案出来之前，我们在创建和使用密码方面的标准已经非常混乱了。我们可以看到目前很多网站的密码保护政策都各不一样且都非常糟糕，有的甚至仍然存储密码的明文，另外用户的密码设置习惯也导致了广泛的密码重用或弱密码。”

Henderson还认为：“NIST草案中最重要的建议是不断扫描和获取已知的易受攻击和被盗密码列表进行比较研究。除了把密码重用的风险降到最低和避免弱密码之外，还可以提醒企业潜在的密码安全风险。如果像247KangarooKiwi！这样的密码出现在一个受损的列表中，那这很可能是用户使用的密码，可以查看他们的供应商或工作端点设备，并寻找妥协的保护措施。”

Henderson还表示：“NIST的建议是使用完整的ASCII和Unicode的互转，因为这样做可以增加暴力破解的难度。”