专注:网络安全、系统安全、应用安全、数据库安全、运维安全,趋势分析。

安全从业者2000人超级群:187297569 沟通:1255197 技术:75140776 北京:107606822 西安:53210718 渗透:50806427 站长QQ:55984512


NIST密码安全新标准更新后 旧版建议作者承认有不妥也被误导

2017-08-09 07:01 推荐: 浏览: 139 views 评论 字号:

摘要: 美国国家标准和技术协会(NIST)今年6月提供的最新数字身份指南的新版草案中,已经不再推荐用户使用密码混合大写字母、字符和数字,也不再要求定期修改密码。因为研究显示此类的要求并不能带来强密码,NIST认为最重要的是储存的密码必须盐化+哈希+MAC处理。 不过...

美国国家标准和技术协会(NIST)今年6月提供的最新数字身份指南的新版草案中,已经不再推荐用户使用密码混合大写字母、字符和数字,也不再要求定期修改密码。因为研究显示此类的要求并不能带来强密码,NIST认为最重要的是储存的密码必须盐化+哈希+MAC处理。

不过对于2003年一篇广为流传的密码混合大写字母、字符和数字的NIST安全专家建议文章,其作者72岁的前NIST主管Bill Burr开始承认当时其提供的建议并不成熟,后来也被证实不是太奏效,当然也有媒体的一些误导总结,导致更多的曲解。根据他当年写的一份文档NIST Special Publication 800-63,媒体总结为专家建议大家采用混合大写字母、字符和数字,构成一个常用词组的方式([email protected]!),事实证明这种密码对于破解密码工具来说,只需要增加一些代码,根据这种规则的密码强度几乎与弱密码的破解相差无几,倒是催生了许多有创意的网名ID。

比如一篇形象的漫画指出根据这样的规则,形似“Tr0ub4dor&3”这样的密码只需要用标准的破解技术在三天之内就能够破解,而且你很容易在被破解之前就忘掉自己的密码。而一句完全采用英文单词组成的摸不着头脑的短语 “correct horse battery staple”却需要约550年来破解,而这组词语很容易形成独特的画面,对于人类来说非常容易形成记忆,但与计算机来说其堪比天书,随机性使得它很难被自动化工具猜出。

现在Burr承认:最终,这样复杂的要求可能让普通人们很难理解,实际上当时的确是找错了方向。

NIST数字身份指南的新版草案的作者 Paul Grassi指出,NIST此前的密码安全建议都是在摸索中前进,没有前人的尝试也无法摸索出切实有效的密码建议。

NIST 也不再要求密码混合大写字母、字符和数字,因为研究显示此类的要求并不能带来强密码。NIST 认为,如果用户想要使用绘文字作为密码,那么就应该允许用户使用。NIST 认为最重要的是储存的密码必须盐化哈希 MAC 处理。

来源:cnBeta.COM

更多资讯

  1. 利用名字相似性传播恶意程序
  2. 美国政府公布调查结果:大疆不存在数据泄漏问题
  3. 进京证系统服务商被曝泄露个人信息
  4. 男子伙同黑客入侵快递公司系统 下载50万条个人信息牟利30余万
(信息来源于网络,安华金和搜集整理)
联系站长租广告位!

中国首席信息安全官


关闭


关闭