微慑信息网

NIST 密码安全新标准更新,旧版作者承认存在不妥

美国国家标准和技术协会( NIST )今年 6 月提供的最新数字身份指南的新版草案中,指出不再推荐用户使用密码混合大写字母、字符和数字,也不再要求定期修改密码。因为研究显示此类要求并不能增加密码强度,NIST 认为最重要的是储存密码必须盐化 + 哈希 + MAC 处理。

不过,对于 2003 年一篇广为流传的密码混合大写字母、字符和数字的 NIST 安全专家建议文章,其作者前 NIST 主管 Bill Burr 开始承认当时提供的建议并不成熟,后来也被证实不是太奏效,当然也有媒体的一些误导总结,导致更多的曲解。根据他当年写的一份文档 NIST Special Publication 800-63,媒体总结为专家建议大家采用混合大写字母、字符和数字,构成一个常用词组的方式(比如 [email protected]!)。事实证明,这种密码对于破解密码工具来说,只需要增加一些代码,根据这种规则的密码强度几乎与弱密码的破解相差无几,倒是催生了许多有创意的网名 ID。

4abcc84252290b6

比如一篇形象的漫画指出根据这样的规则,形似 “ Tr0ub4dor&3 ” 这样的密码只需要用标准技术在三天之内就能够破解,而且你很容易在被破解之前就忘掉自身密码。而一句完全采用英文单词组成的摸不着头脑的短语  “ correct horse battery staple ” 却需要约 550 年破解,而这组词语很容易形成独特的画面,对于人类来说非常容易形成记忆,但对于计算机来说堪比天书,随机性使得它很难被自动化工具猜出。Burr 承认当时的确找错方向。

NIST 数字身份指南的新版草案的作者 Paul Grassi 指出,NIST 此前的密码安全建议都是在摸索中前进,没有前人的尝试也无法摸索出切实有效的密码建议。NIST 也不再要求密码混合大写字母、字符和数字,因为研究显示此类的要求并不能带来强密码。NIST 认为,如果用户想要使用绘文字作为密码,那么就应该允许用户使用。NIST 认为最重要的是储存的密码必须盐化哈希 MAC 处理。

稿源:cnBeta,封面源自图片;

 

from hackernews.cc.thanks for it.

本文标题:NIST 密码安全新标准更新,旧版作者承认存在不妥
本文链接:
(转载请附上本文链接)
http://vulsee.com/archives/vulsee_2017/0808_3065.html
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » NIST 密码安全新标准更新,旧版作者承认存在不妥
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

微慑信息网 专注工匠精神

访问我们联系我们