譯者 | 劉濤

策劃 | 云昭

在計(jì)算機(jī)出現(xiàn)的早期，如果不是坐在終端前，計(jì)算機(jī)之間和用戶之間都是彼此隔離的，存儲(chǔ)非常昂貴。

因?yàn)橹灰@兩個(gè)原則都成立，把熵塞進(jìn)短密碼的唯一方法就是讓它更復(fù)雜。密碼復(fù)雜度規(guī)則就是這樣誕生的。此外，為了使密碼更難破解，還需要定期修改它，使其成為一個(gè)移動(dòng)靶子，這樣破解起來就更加困難。

但是我們不再生活在那個(gè)世界里了。

現(xiàn)在計(jì)算機(jī)是連接的，我們幾乎永久地連接到我們的系統(tǒng)。存儲(chǔ)也越來越便宜。

因此，現(xiàn)在有一個(gè)更好的方法來提高密碼的熵值：讓密碼變長。這樣做更好的原因是人們不能很好地處理復(fù)雜的密碼。這使得它們更難記憶和輸入。沒有一種熵的級別是通過增加密碼長度而無法達(dá)到的，這意味著沒有理由使用復(fù)雜度規(guī)則。如果不喜歡10個(gè)字符密碼的熵，沒關(guān)系，我們可以讓它變成12個(gè)，但不要讓它變得復(fù)雜。同樣的，13個(gè)，14個(gè)等等都可以。此外，熵隨密碼長度增加的速度比隨密碼復(fù)雜度增加的速度要快。

另外，使用長密碼還有一個(gè)好處，那就是大多數(shù)常用單詞都很短。因此，如果要填寫一個(gè)長密碼，就得把單詞合并起來（至少在英語中），這樣密碼就能抵抗字典攻擊了。這甚至不需要用戶自己去做，因?yàn)橛脩魟?chuàng)建密碼更容易。

與定期重置密碼相比，有一種更好的方法可以防止暴力破解：當(dāng)一段時(shí)間內(nèi)登陸失敗次數(shù)過多時(shí)通知用戶和管理員。也可以在一定時(shí)間內(nèi)限制登錄失敗的次數(shù)。也就是說，不需定期重設(shè)密碼，因?yàn)槲覀円呀?jīng)不是早期離線計(jì)算的時(shí)代了。

密碼管理器和多因素身份驗(yàn)證技術(shù)更有意義。密碼管理器可以方便用戶管理密碼和選擇隨機(jī)密碼。實(shí)施這些操作的同時(shí)，應(yīng)同時(shí)提供給用戶使用所需要的培訓(xùn)。

下面的表格及其設(shè)置的變量假定：

• 每秒不限次數(shù)。
• 用戶和管理員將不會(huì)被告知暴力破解行為。
• 盡管密碼散列是免費(fèi)提供的，但它們所屬的系統(tǒng)在某種程度上是同步的，并且沒有人注意到這個(gè)漏洞。
• 花5年時(shí)間破解密碼是不安全的。
• MFA（多因素身份驗(yàn)證）未使用。
• 比起51年，2300萬年要好得多，因?yàn)槿祟惪梢曰詈脦讉€(gè)世紀(jì)，而且重設(shè)密碼可以消磨時(shí)間。
• 有人闖入了系統(tǒng)，得到了所有的密碼散列。

密碼復(fù)雜度和重新設(shè)置不會(huì)導(dǎo)致選擇預(yù)期的隨機(jī)口令，它會(huì)導(dǎo)致用戶重復(fù)使用有限數(shù)量的不同密碼，僅改變可預(yù)測的數(shù)字和日期之類的字符串，這樣用戶就可以在需要的時(shí)候登錄和工作。它使密碼更易于預(yù)測，而且經(jīng)常離線使用。這會(huì)使系統(tǒng)的安全性變得更差！

很多專業(yè)人士在2017年出版《NIST800–63》（數(shù)字身份指南）之前就明白了這一點(diǎn)，他們在該新技術(shù)標(biāo)準(zhǔn)發(fā)布后再也找不到任何借口。

遺憾的是，像PCI-DSS之類的一些合規(guī)機(jī)制仍然要求定期重置密碼，我希望以后它們會(huì)被更新并要求管理員多因素身份驗(yàn)證。傳統(tǒng)是很難改變的！（注：Reddit用戶表示，使用“補(bǔ)償控制”MFA可以獲得PCI-DSS認(rèn)證而無需復(fù)雜度規(guī)則和密碼重置）

全世界的企業(yè)浪費(fèi)了數(shù)千小時(shí)的用戶時(shí)間和服務(wù)臺(tái)時(shí)間，并且由于他們?nèi)匀皇褂妹艽a復(fù)雜度規(guī)則和定期密碼重置，使得安全變得更加糟糕。是時(shí)候停止這種瘋狂了。

那該如何做

• 理解自己的職責(zé)是幫助用戶提高安全性，而不是幫助用戶去遵守那些想象中的、毫無根據(jù)的規(guī)則
• 檢查您所保護(hù)的應(yīng)用程序，對其進(jìn)行配置以限制一段時(shí)間內(nèi)失敗的登錄嘗試次數(shù)，并在登錄嘗試次數(shù)過多時(shí)通知用戶和管理員
• 推廣使用密碼管理器和多重因素身份驗(yàn)證
• 停止傳播關(guān)于密碼復(fù)雜度和重置的不良建議。

譯者介紹

劉濤，51CTO社區(qū)編輯，某大型央企系統(tǒng)上線檢測管控負(fù)責(zé)人，主要職責(zé)為嚴(yán)格審核系統(tǒng)上線驗(yàn)收所做的漏掃、滲透測試以及基線檢查等多項(xiàng)檢測工作，擁有多年網(wǎng)絡(luò)安全管理經(jīng)驗(yàn)，多年P(guān)HP及Web開發(fā)和防御經(jīng)驗(yàn)，Linux使用及管理經(jīng)驗(yàn)，擁有豐富的代碼審計(jì)、網(wǎng)絡(luò)安全測試和威脅挖掘經(jīng)驗(yàn)。精通Kali下SQL審計(jì)、SQLMAP自動(dòng)化探測、XSS審計(jì)、Metasploit審計(jì)、CSRF審計(jì)、webshell審計(jì)、maltego審計(jì)等技術(shù)。

原文鏈接：

https://medium.com/the-ciso-den/when-will-cybersecurity-professionals-stop-hurting-both-their-users-and-security-d9931e6a1150