acm-header
登录

ACM通信

BLOG@CACM

密码策略正在失去控制


卡内基梅隆大学副教授Jason Hong说

很久以前我就明白了一个道理:一个人的低效就是另一个人的底线。这个简单的观察解释了我们在世界范围内面临的许多大问题。不过,我不想讨论这些棘手的政治话题,而是想以这个观察结果为出发点,讨论困扰我们所有人的问题:密码策略。

事实上,我认为我找到了当今存在的最困难的密码策略。当然,这是一个美国政府网站。以下是该网站的密码策略:
  • 密码规则:最少8个字符
  • 必须包含至少一个大写字母
  • 必须包含至少1个小写字母
  • 必须包含至少1个数字
  • 必须包含至少1个特殊字符
  • 不能包含连续字符(abc或cba)
  • 不能包含重复字符(aa, bb等)
  • 同一字符不能包含两次以上
  • 输入的密码不能与最近10次使用的密码相同
  • 24小时内不可更改
实际上,我花了十几次尝试才创建了一个涵盖所有标准的密码,加上我有机会记住的东西。以下是密码失败的例子:
  • My_P@$$w0rd(因为重复字符而失败)
  • USg0v8(因为太短而失败)
  • $tuPidP@55(因为重复字符而失败)
  • 77pasS@77(失败,因为同一个字符超过两次)
我甚至尝试了一些随机生成的密码,保证是强密码,但也没有达到一些必要的标准。
当然,这个密码在60天后就会过期(在一个我只需要每90天使用一次的网站上)。当密码到期的时候,我只花了15分钟的时间才想清楚该打电话给谁重置密码,再加上13分钟的等待,我的密码终于被重置了。
人们不禁要问,这些措施到底能提供多少真正的安全性,尤其是考虑到配备一个服务台的成本,以及最终用户不得不重置密码所浪费的时间。
为什么网站有如此严格的密码政策?
这一切都回到了开场白:你的低效率是别人的底线。在许多组织中,有一个人的角色是保证计算系统的安全。当事情出错时,他们会被训斥,他们的工作也岌岌可危。在极端情况下,无论最终用户的成本是多少,无论在实践中是否有效,不断增加安全性成为完全理性的行为。(把“计算系统”换成“航空旅行”,我们就能对TSA面临的挑战给出一个合理的解释。)
事实上,微软研究院的两位研究人员Dinei Florencio和Cormac Herley在2010年的一篇论文中提出了这一观点75个不同网站的密码策略分析.他们发现,几乎与直觉相反,“一些互联网上规模最大、价值最高、受攻击最多的网站,如贝宝(Paypal)、亚马逊(Amazon)和富达投资(Fidelity Investments)允许相对较弱的密码,”主要是因为这些网站通过让人们登录来赚取收入。
相比之下,政府和大学网站往往有更严格(和更不实用)的政策。他们对这些结果的解释是,“原因不在于更高的安全要求,而在于更大程度上与贫穷的后果隔绝。
可用性。大多数组织都有安全专业人员,他们需要更强大的策略,但只有一些组织有足够强大的可用性需求。当提倡可用性的声音缺失或微弱时,安全措施就变得没有必要了
限制。”
不幸的是,这里没有很多前进的道路。密码既便宜又普遍,而且不会很快消失。强迫所有国会议员和所有将军亲自体验使用这些网站的乐趣也是不现实的,即使这是非常可取的。
从长远来看,我们需要更多的方法来更好地协调所有利益攸关方的动机。将帮助台成本和信息安全成本放在相同的预算和同一个人的管理下是一个良好的开端,因为它将迫使人们更多地考虑安全政策的相对成本和收益。将客户满意度作为信息安全人员的绩效指标的一部分也会有所帮助。
与此同时,在可用性思维和整体思维在计算机安全中变得更加普遍之前,我们其余的人将不得不继续忍受更严格的密码政策带来的痛苦。

评论


匿名

这是完全正确的,而且矛盾的是,我确信密码规则越严格,被黑客攻击的风险就越大。奇怪而奇妙的规则极大地增加了你把密码写在某个地方的必要性,当然,因为每个网站都有一些不同的相关规则,通常密码旁边会有一个有用的指示。
我拒绝写下我的密码,结果是很多网站,包括我的一个信用卡网站,迫使我每次都要求重置密码。每次我需要做一些网上账户时,那家公司可能都能听到我沮丧的尖叫。


匿名

Keepass (http://keepass.info/)将为您生成此密码,但非重复元素将其标记为不太安全。

规则是:ulds[ulds]{4} -解释在:http://keepass.info/help/base/pwgenerator.html#pattern


匿名

好吧,就像CAPTHA是完全电脑可读的。但理智的人是看不懂的。所以这条评论可能永远不会被发布:)


匿名

有趣的是,特定密码策略中的所有措施实际上使密码变得更弱而不是更强,因为它们提供了一系列所有密码都要遵守的规则,减少了密码破解者的搜索空间。哦,快乐。


匿名

谢谢Jason,有趣而真实的评论。

就像你说的:一个人的低效率是另一个人的底线。

这里我们有终端用户的安全性与易用性的冲突;还要与服务台的生产力相比较。

引入一项技术并将最终用户流程设置到位,那么组织就有可能实现it安全性制定的安全需求,同时避免用户忘记密码的麻烦——这是复杂密码策略的真正成本。

根据您组织的需求,您可以找到适合您的不同商业软件包。我们已经开发了FastPass解决方案,它帮助大型组织中的50多万用户获得高级的密码策略,而不会成为用户和服务台的负担。

问候
芬恩詹森
FastPassCorp.com


匿名

如此严格的密码策略会导致密码难以记忆,用户只能简单地把它写下来,放在键盘附近。在这一点上,所有的安全优势都失去了。


匿名

我在密码策略中实施的唯一限制是最小字符数(不少于12)。这就是您需要做的所有事情,以确保更强的密码,同时让用户更容易记住它们。认为句子。


匿名

如果政策不允许重复,它会减少可能的组合数量
根据众所周知的公式n!/(n-k)!重复组合的数量(和pwd的顺序关系)是n^k

N -可用的不同字符的数目
用于密码的字符数

但这可能是为了简化密码强度和策略检查的妥协,并防止像aaaaaaaa这样的密码:)
所以这部分只是懒惰的开发者/管理员vs懒惰的用户。


匿名

优秀的文章。不过,我有一个疑问:如果你是负责设置密码策略的人,你会设置哪些规则?


匿名

我认为,与其拥有如此疯狂的复杂性,或许安全专业人士更应该对设置重试限制/定时锁定、限制他们的web服务以及其他减少自动攻击威胁的措施感兴趣,而不是如此努力地设计“聪明的”复杂性需求……如果你担心的是其他人,那么人类知道查看你的键盘下面,你的桌子里,你的显示器后面或任何你可能保存了你写下的复杂密码的地方。

对于用户数据库可能被直接破坏的说法,也许你需要在一开始就更好地保护它。

密码应该适度复杂,但不要达到您所描述的这个网站的程度。这太疯狂了。

不管怎样,谢谢你写这篇文章!- j


查看更多评论

Baidu
map