NIST密碼安全新標(biāo)準(zhǔn)更新 舊版建議作者承認(rèn)有不妥
責(zé)編:mhshi |2017-08-09 15:12:16美國國家標(biāo)準(zhǔn)和技術(shù)協(xié)會(NIST)今年6月提供的最新數(shù)字身份指南的新版草案中,已經(jīng)不再推薦用戶使用密碼混合大寫字母、字符和數(shù)字,也不再要求定期修改密碼。因為研究顯示此類的要求并不能帶來強密碼,NIST認(rèn)為最重要的是儲存的密碼必須鹽化+哈希+MAC處理。
不過對于2003年一篇廣為流傳的密碼混合大寫字母、字符和數(shù)字的NIST安全專家建議文章,其作者72歲的前NIST主管Bill Burr開始承認(rèn)當(dāng)時其提供的建議并不成熟,后來也被證實不是太奏效,當(dāng)然也有媒體的一些誤導(dǎo)總結(jié),導(dǎo)致更多的曲解。根據(jù)他當(dāng)年寫的一份文檔NIST Special Publication 800-63,媒體總結(jié)為專家建議大家采用混合大寫字母、字符和數(shù)字,構(gòu)成一個常用詞組的方式(比如P@ssW0rd123!),事實證明這種密碼對于破解密碼工具來說,只需要增加一些代碼,根據(jù)這種規(guī)則的密碼強度幾乎與弱密碼的破解相差無幾,倒是催生了許多有創(chuàng)意的網(wǎng)名ID。
比如一篇形象的漫畫指出根據(jù)這樣的規(guī)則,形似“Tr0ub4dor&3”這樣的密碼只需要用標(biāo)準(zhǔn)的破解技術(shù)在三天之內(nèi)就能夠破解,而且你很容易在被破解之前就忘掉自己的密碼。而一句完全采用英文單詞組成的摸不著頭腦的短語 “correct horse battery staple”卻需要約550年來破解,而這組詞語很容易形成獨特的畫面,對于人類來說非常容易形成記憶,但與計算機來說其堪比天書,隨機性使得它很難被自動化工具猜出。
現(xiàn)在Burr承認(rèn):最終,這樣復(fù)雜的要求可能讓普通人們很難理解,實際上當(dāng)時的確是找錯了方向。
NIST數(shù)字身份指南的新版草案的作者 Paul Grassi指出,NIST此前的密碼安全建議都是在摸索中前進,沒有前人的嘗試也無法摸索出切實有效的密碼建議。
NIST 也不再要求密碼混合大寫字母、字符和數(shù)字,因為研究顯示此類的要求并不能帶來強密碼。NIST 認(rèn)為,如果用戶想要使用繪文字作為密碼,那么就應(yīng)該允許用戶使用。NIST 認(rèn)為最重要的是儲存的密碼必須鹽化哈希 MAC 處理。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧