美國(guó)政府要求政府項(xiàng)目承包商必須滿足 DFARS 密碼要求，不遵守要求的承包商可能會(huì)受到巨額罰款和集體訴訟。

政府合同對(duì)于任何組織來說都是非常有吸引力的，從最近科技公司為國(guó)防部 JEDI 項(xiàng)目的激烈競(jìng)爭(zhēng)就可以看出來，該項(xiàng)目的資金超過一百億美元。

與政府機(jī)構(gòu)進(jìn)行合作的組織必須遵守一套安全標(biāo)準(zhǔn)和規(guī)范，其中最關(guān)鍵的是由美國(guó)國(guó)家科學(xué)技術(shù)研究院(NIST)在安全領(lǐng)域制定的標(biāo)準(zhǔn)，包括識(shí)別、認(rèn)證、信息存儲(chǔ)和處理等。

國(guó)防部希望與其合作的組織也必須遵守《國(guó)防聯(lián)邦采購法規(guī)補(bǔ)充條款》(DFARS)，這是一套適用于美國(guó)民用和國(guó)防單位的標(biāo)準(zhǔn)。

便利與安全

多年來，安全專家建議使用由小寫字母、大寫字母、數(shù)字和符號(hào)組成的長(zhǎng)且復(fù)雜的密碼(要求用戶輸入類似!V4Dv$hJUF2g%J的密碼)。此外，這還不夠，還要求用戶為每個(gè)賬戶設(shè)計(jì)唯一的密碼，并且每隔幾個(gè)月就更改一次。

事實(shí)上，復(fù)雜的密碼很難被人記住，大多數(shù)的用戶不會(huì)找到合適的解決辦法。很多人會(huì)將密碼存儲(chǔ)在文本文件中，或者在不同賬戶間重用相同的密碼。

出于這些考慮，NIST 放寬了有關(guān)密碼的要求。復(fù)雜的密碼不必要定期更改，NIST 建議使用介于 8 到 64 個(gè)字符的密碼，并在懷疑密碼泄露的時(shí)候進(jìn)行修改即可。在修改新密碼前，還要對(duì)照已泄露的密碼列表進(jìn)行檢查，例如Have I Been Pwned。

NIST 認(rèn)為密碼的復(fù)雜度已經(jīng)達(dá)到極限了，計(jì)算機(jī)每年都在變得越來越快，功能也越來越強(qiáng)大。

密碼存儲(chǔ)和管理

組織一旦解決了密碼復(fù)雜度的問題，密碼存儲(chǔ)就會(huì)變成更大的問題。密碼存儲(chǔ)在服務(wù)器之前，必須進(jìn)行哈希處理。實(shí)際上，純文本密碼存儲(chǔ)比簡(jiǎn)單的密碼還糟糕。

如今，大多數(shù)組織都能夠保證存儲(chǔ)密碼的哈希值。但僅僅這樣還不夠，還必須控制對(duì)這些密碼的訪問，并確保未經(jīng)授權(quán)的人員不能訪問密碼。例如，F(xiàn)acebook 的純文本密碼存儲(chǔ)可供員工進(jìn)行搜索。

組織面臨的另一個(gè)挑戰(zhàn)是檢測(cè)并阻止惡意訪問嘗試，必須檢測(cè)并阻止多次失敗的訪問嘗試，

多因子身份驗(yàn)證

顯然，僅憑密碼不足以保護(hù)用戶。簡(jiǎn)而言之，MFA 通過要求用戶提供他們知道的信息(如密碼)、持有的信息(如移動(dòng) App 或安全密鑰)、擁有的信息(如生物特征)來驗(yàn)證用戶身份。

DFARS 認(rèn)證某些類型的多因子認(rèn)證，包括安全存儲(chǔ)在端點(diǎn)上的證書(如鑰匙串、TPM 或 TEE)。此外，還必須嚴(yán)格保護(hù)密鑰，防止未授權(quán)的密鑰泄露。最后，組織必須確保密鑰不能在多個(gè)設(shè)備之間傳遞。

不過使用多因子認(rèn)證也會(huì)遇到問題，許多用戶每次訪問賬戶都會(huì)遇到輸入密碼的問題。在登錄過程中輸入額外的一次性密碼或生成物理密鑰所帶來的麻煩通常令人反感，優(yōu)選的話用戶會(huì)完全禁用多因子認(rèn)證。

為政府合同做好準(zhǔn)備

CISO 和 IT 安全團(tuán)隊(duì)的最終目標(biāo)是最大程度地提高安全性，同時(shí)保持員工的可訪問性與易用性。當(dāng)增加遵守嚴(yán)格的網(wǎng)絡(luò)安全和隱私法律的需求時(shí)，這可能更難實(shí)現(xiàn)，成本也會(huì)更加高昂。用戶身份驗(yàn)證的挑戰(zhàn)也許正表明了便利和安全的沖突。幸運(yùn)的是，如今各種解決方案可為所有的數(shù)字資產(chǎn)提供更好的安全性、更方便的合規(guī)性和更高的用戶滿意度，幫助組織為各種情況做好準(zhǔn)備。