經過一年多的努力,Ballot SC3近日被CA /B論壇一致通過。 這是論壇網路安全工作組提出的網路和證書系統安全要求的第一次重大升級。 它包含幾個重要的改進,但其中一個特別重要:刪除密碼每90天更改一次的要求。 Ballot SC3允許證書頒發機構定期進行強制性密碼更改策略,但宣告如果沒有理由更改它們(如妥協證據),密碼必須至少保持有效兩年。
許多年前,NIST建議公司要求使用者定期更改密碼。 大體思路是為了防止破壞舊密碼的攻擊者能夠將它們用於當前系統。 這個建議被廣泛採用,許多安全標準要求定期更改密碼。
問題是,”好“的密碼通常不適合使用者記憶。如果存在額外的任意複雜性要求,例如需要包含大寫字母,數字和/或特殊字元,則更難以記住它們。每90天生成並記住一個新的,獨特且強大的密碼,滿足所有這些要求,這大大超出了正常人腦的能力。研究表明,這些強制性密碼更改會顯著引起使用者找客服幫忙以及密碼重置的必要性。
人們以各種可預測的方式適應了這些要求。大寫字母通常是第一個字元,數字通常在結尾處,特殊字元位於兩端之間,兩個元件之間,或以可預測的方式替換字母(例如,'0'代表'o',' 1'代表'l',''代表'e')。當他們需要更改密碼時,他們也會以可預測的方式更改密碼,例如通過遞增數字或將大寫字母移動到下一個字母。完全厭倦了這些要求的使用者使用“Summer2018!”這樣的密碼並不罕見,甚至這個密碼現在很可能被您的一個使用者使用。
由於這些更改是可預測的,因此很容易找到一種演算法,該演算法可以有效地找到使用者的舊密碼。 該研究於2010年釋出(www.cs.unc.edu/~reiter/pap… 因此,密碼更改策略會導致使用者選擇較弱的密碼,增加支援成本,並且不會對攻擊者造成重大成本。 這與良好的安全策略完全背道而馳。
改變要求的部分阻力是公司通常必須遵守多種審計方案。 撤消此要求需要時間。 雖然Ballot SC3允許證書頒發機構立即放寬這些要求,但它會給予他們兩年的寬限期,以便確定如何遵守新要求。 幸運的是,NIST已經在NIST SP800-63B的附錄A中釋出了一些出色的指導,它正確地指出密碼最重要的特徵是它的長度,並且使用者應該選擇他們可以容易記住的強密碼,但攻擊者可以“猜猜”。 Lifewire提供了一種建立安全密碼的簡便方法。
一些組織已經更新了他們的標準以符合NIST的新指南,包括FedRamp在內的其他組織已表示他們希望人們在預期未來更新時遵守該標準。 關於取消90天密碼更改要求的最常見投訴,來自同樣必須遵守PCI DSS要求的公司。採用NIST標準並取消90天密碼更改要求將使公司無需單獨管理PCI和非PCI系統的密碼策略,並且可以降低不必要的密碼更改導致PCI相容系統密碼較弱的風險。
遺憾的是,論壇的網路安全工作組的任務已經到期,並且在CA /瀏覽器最近的治理改革變更下尚未更新。 希望這項工作的成功能引導重新建立網路安全工作組,因而使我們可以繼續對網路和證書系統安全要求進行重要和必要的更改。
【來自SSL中國】
