不要强迫用户使用复杂密码
source link: https://www.51cto.com/article/718103.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
不要强迫用户使用复杂密码
译文
译者 | 刘涛
策划 | 云昭
在计算机出现的早期,如果不是坐在终端前,计算机之间和用户之间都是彼此隔离的,存储非常昂贵。
因为只要这两个原则都成立,把熵塞进短密码的唯一方法就是让它更复杂。密码复杂度规则就是这样诞生的。此外,为了使密码更难破解,还需要定期修改它,使其成为一个移动靶子,这样破解起来就更加困难。
但是我们不再生活在那个世界里了。
现在计算机是连接的,我们几乎永久地连接到我们的系统。存储也越来越便宜。
因此,现在有一个更好的方法来提高密码的熵值:让密码变长。这样做更好的原因是人们不能很好地处理复杂的密码。这使得它们更难记忆和输入。没有一种熵的级别是通过增加密码长度而无法达到的,这意味着没有理由使用复杂度规则。如果不喜欢10个字符密码的熵,没关系,我们可以让它变成12个,但不要让它变得复杂。同样的,13个,14个等等都可以。此外,熵随密码长度增加的速度比随密码复杂度增加的速度要快。
另外,使用长密码还有一个好处,那就是大多数常用单词都很短。因此,如果要填写一个长密码,就得把单词合并起来(至少在英语中),这样密码就能抵抗字典攻击了。这甚至不需要用户自己去做,因为用户创建密码更容易。
与定期重置密码相比,有一种更好的方法可以防止暴力破解:当一段时间内登陆失败次数过多时通知用户和管理员。也可以在一定时间内限制登录失败的次数。也就是说,不需定期重设密码,因为我们已经不是早期离线计算的时代了。
密码管理器和多因素身份验证技术更有意义。密码管理器可以方便用户管理密码和选择随机密码。实施这些操作的同时,应同时提供给用户使用所需要的培训。
下面的表格及其设置的变量假定:
- 每秒不限次数。
- 用户和管理员将不会被告知暴力破解行为。
- 尽管密码散列是免费提供的,但它们所属的系统在某种程度上是同步的,并且没有人注意到这个漏洞。
- 花5年时间破解密码是不安全的。
- MFA(多因素身份验证)未使用
- 比起51年,2300万年要好得多,因为人类可以活好几个世纪,而且重设密码可以消磨时间。
- 有人闯入了系统,得到了所有的密码散列。
密码复杂度和重新设置不会导致选择预期的随机口令,它会导致用户重复使用有限数量的不同密码,仅改变可预测的数字和日期之类的字符串,这样用户就可以在需要的时候登录和工作。它使密码更易于预测,而且经常离线使用。这会使系统的安全性变得更差!
很多专业人士在2017年出版《NIST800–63》(数字身份指南)之前就明白了这一点,他们在该新技术标准发布后再也找不到任何借口。
遗憾的是,像PCI-DSS之类的一些合规机制仍然要求定期重置密码,我希望以后它们会被更新并要求管理员多因素身份验证。传统是很难改变的!(注:Reddit用户表示,使用“补偿控制”MFA可以获得PCI-DSS认证而无需复杂度规则和密码重置)
全世界的企业浪费了数千小时的用户时间和服务台时间,并且由于他们仍然使用密码复杂度规则和定期密码重置,使得安全变得更加糟糕。是时候停止这种疯狂了。
那该如何做
- 理解自己的职责是帮助用户提高安全性,而不是帮助用户去遵守那些想象中的、毫无根据的规则
- 检查您所保护的应用程序,对其进行配置以限制一段时间内失败的登录尝试次数,并在登录尝试次数过多时通知用户和管理员
- 推广使用密码管理器和多重因素身份验证
- 停止传播关于密码复杂度和重置的不良建议。
原文链接:
https://medium.com/the-ciso-den/when-will-cybersecurity-professionals-stop-hurting-both-their-users-and-security-d9931e6a1150
Recommend
-
53
如何在网络社会中保护自己的个人隐私,长久以来都是一个让人挥之不去的现实问题。几十年的积累,现代人已经完全掌握了密码的“构造”方法,自认为从此便可以真的高枕无忧,然而事实却远非如此。
-
48
新浪科技讯北京时间2月6日上午消息,加州居民莫妮卡·艾莫森(MonicaEmerson)本周对苹果提起集体诉讼,指控苹果提供的iOS更新“经过特别的设计和编程,从2016年11月开始拒绝旧款iPhone充电器给iPhone正常充电”。起诉书
-
13
百度强迫贴吧用户使用 APP 登陆 WinterIsComing (31822)发表于 2020年12月19日 19...
-
11
财联社消息,工信部发布关于提升5G服务质量的通知:客观真实宣传5G业务及资费,不得片面夸大5G优势或优惠项目,隐瞒或淡化限制性条件;不得误导、强迫用户办理或升级5G套餐,未经用户同意不得擅自开通5G套餐、升级包等服务。 附工信部原文...
-
10
更新于 2021/06/26 | 创建于 2021/06/26 为什么 Windows 11 强迫所有人使用 TPM 芯片 微软昨天宣布,Windows 11 将需要在现有和新设备上使用 TPM(可信平台模块...
-
3
苹果强迫用户升级iOS 15 关闭所有老版本更新 Bug不修复 自从有了iOS 15开始,BUG就源源不断,iOS 15的升级率非常低,甚至低于去年同期iOS 14的升级率。 作者:我叫王小白来源:
-
6
教你如何在 Linux 中生成复杂密码并且检查密码强度-51CTO.COM 教你如何在 Linux 中生成复杂密码并且检查密码强度 作者:逄增宝 2022-04-23 16:36:30 在本教程中,我们将讨论如何生成复杂密码并且...
-
7
作者 | Alan Wu 译者 | 弯月 出品 | CSDN(ID:CSDNnews) 在本文中,我们来谈一谈为什么在设计编程语言时,我们应该采取极简主义的思想。 在我看来,在设计编程语言时,有意保持简约的思想被高度低估了。大多数现代编...
-
4
韩国将对谷歌苹果One Store强迫开发者使用平台支付展开调查 2022-08-11 •
-
5
强迫用户接受广告:脸书母公司被欧盟重罚29亿 2023-01-05 12:02 出处/作者:快科技 整合编辑:佚名 0 ...
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK