譯者 | 劉濤

策劃 | 云昭

在計算機出現的早期，如果不是坐在終端前，計算機之間和用戶之間都是彼此隔離的，存儲非常昂貴。

因為只要這兩個原則都成立，把熵塞進短密碼的唯一方法就是讓它更復雜。密碼復雜度規則就是這樣誕生的。此外，為了使密碼更難破解，還需要定期修改它，使其成為一個移動靶子，這樣破解起來就更加困難。

但是我們不再生活在那個世界里了。

現在計算機是連接的，我們幾乎永久地連接到我們的系統。存儲也越來越便宜。

因此，現在有一個更好的方法來提高密碼的熵值：讓密碼變長。這樣做更好的原因是人們不能很好地處理復雜的密碼。這使得它們更難記憶和輸入。沒有一種熵的級別是通過增加密碼長度而無法達到的，這意味著沒有理由使用復雜度規則。如果不喜歡10個字符密碼的熵，沒關系，我們可以讓它變成12個，但不要讓它變得復雜。同樣的，13個，14個等等都可以。此外，熵隨密碼長度增加的速度比隨密碼復雜度增加的速度要快。

另外，使用長密碼還有一個好處，那就是大多數常用單詞都很短。因此，如果要填寫一個長密碼，就得把單詞合并起來（至少在英語中），這樣密碼就能抵抗字典攻擊了。這甚至不需要用戶自己去做，因為用戶創建密碼更容易。

與定期重置密碼相比，有一種更好的方法可以防止暴力破解：當一段時間內登陸失敗次數過多時通知用戶和管理員。也可以在一定時間內限制登錄失敗的次數。也就是說，不需定期重設密碼，因為我們已經不是早期離線計算的時代了。

密碼管理器和多因素身份驗證技術更有意義。密碼管理器可以方便用戶管理密碼和選擇隨機密碼。實施這些操作的同時，應同時提供給用戶使用所需要的培訓。

下面的表格及其設置的變量假定：

• 每秒不限次數。
• 用戶和管理員將不會被告知暴力破解行為。
• 盡管密碼散列是免費提供的，但它們所屬的系統在某種程度上是同步的，并且沒有人注意到這個漏洞。
• 花5年時間破解密碼是不安全的。
• MFA（多因素身份驗證）未使用。
• 比起51年，2300萬年要好得多，因為人類可以活好幾個世紀，而且重設密碼可以消磨時間。
• 有人闖入了系統，得到了所有的密碼散列。

密碼復雜度和重新設置不會導致選擇預期的隨機口令，它會導致用戶重復使用有限數量的不同密碼，僅改變可預測的數字和日期之類的字符串，這樣用戶就可以在需要的時候登錄和工作。它使密碼更易于預測，而且經常離線使用。這會使系統的安全性變得更差！

很多專業人士在2017年出版《NIST800–63》（數字身份指南）之前就明白了這一點，他們在該新技術標準發布后再也找不到任何借口。

遺憾的是，像PCI-DSS之類的一些合規機制仍然要求定期重置密碼，我希望以后它們會被更新并要求管理員多因素身份驗證。傳統是很難改變的！（注：Reddit用戶表示，使用“補償控制”MFA可以獲得PCI-DSS認證而無需復雜度規則和密碼重置）

全世界的企業浪費了數千小時的用戶時間和服務臺時間，并且由于他們仍然使用密碼復雜度規則和定期密碼重置，使得安全變得更加糟糕。是時候停止這種瘋狂了。

那該如何做

• 理解自己的職責是幫助用戶提高安全性，而不是幫助用戶去遵守那些想象中的、毫無根據的規則
• 檢查您所保護的應用程序，對其進行配置以限制一段時間內失敗的登錄嘗試次數，并在登錄嘗試次數過多時通知用戶和管理員
• 推廣使用密碼管理器和多重因素身份驗證
• 停止傳播關于密碼復雜度和重置的不良建議。

譯者介紹

劉濤，51CTO社區編輯，某大型央企系統上線檢測管控負責人，主要職責為嚴格審核系統上線驗收所做的漏掃、滲透測試以及基線檢查等多項檢測工作，擁有多年網絡安全管理經驗，多年PHP及Web開發和防御經驗，Linux使用及管理經驗，擁有豐富的代碼審計、網絡安全測試和威脅挖掘經驗。精通Kali下SQL審計、SQLMAP自動化探測、XSS審計、Metasploit審計、CSRF審計、webshell審計、maltego審計等技術。

原文鏈接：

https://medium.com/the-ciso-den/when-will-cybersecurity-professionals-stop-hurting-both-their-users-and-security-d9931e6a1150