弱密码是所有安全人士和IT系统管理人员最为头疼的“牛皮癣”问题之一,弱密码之所以有着顽强的生命力,主要原因是容易记忆,但这也意味着弱密码很容易被攻击者猜到或者“撞”到。
虽然NIST等机构都推出过密码强化指南,指出一味强调密码复杂度和修改频率并无助于提升密码强度,但是业界对于如何强化密码(管理)一直没有达成真正简洁明了的、有可行性的、完全一致的共识。
近日,英国国家网络安全中心(NCSC)提出了一个全新的、实用性更强的、更容易被用户理解的密码强化规则——三随机词法,建议那些不愿意或未能使用密码管理器用户选择三个随机单词作为密码而不是像过去那样为了满足复杂的要求(例如密码中必须包含字母、数字、字符串等),因为用户为了满足后者的要求,往往会创建出类似“pa55word”这样的弱密码。
“三随机词法”可以在不牺牲密码强度的情况下大大提升密码的可用性和易用性。鼓励三个随机词的主要原因是解决这样一个事实,即人们记不住东西——尤其是长而复杂的密码,与此同时当下的密码管理器采用率仍然“非常低”。
NCSC还批评必须记住密码而不是存储密码的建议,鼓励人们将密码存储在密码管理器、浏览器或一张纸上。
但NCSC力推“三随机词法”还有其他原因,包括该方法能够产生更长的密码,用长度换取强度,这是一种易于解释和理解的密码策略,同时可用且非常实用。
鼓励“三随机词法”的另一个关键原因是三个随机词有助于增加密码的多样性,这使得攻击者更难使用搜索算法低成本地发现密码,然后破坏账户。
“目前,复杂性要求正在积极对抗密码多样性(出于上述所有原因)。这导致了策略的趋同和密码多样性的减少,”NCSC社会技术安全小组解释说。
“为了增加多样性,我们需要鼓励人们使用其他密码构建策略(例如‘三个随机词’),使用长度而不是字符集来达到所需的强度。”
最后,NCSC承认有针对人类生成的“复杂”密码(迄今为止最常用的类型)优化的搜索算法,其中包括针对三随机词优化的搜索算法,但NCSC认为更多的密码多样性会增加攻击者的成本,因为每个人在选择“三随机词”时都有“自己的想法”和独特方式,这导致任何优化算法的有效性都会降低。在现实世界中,这意味着攻击者必须尝试多种算法,这比仅尝试一种算法更难(并且需要更长的时间)。
参考资料
https://www.ncsc.gov.uk/blog-post/the-logic-behind-three-random-words
声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。