最近的一項調查表明, 三分之二的公司不更改密碼。這一統計數據背後的原因更令人擔憂,因為超過一半的員工避免這樣做是因為他們擔心忘記新密碼,認為這種做法很煩人,或者根本不明白這樣做的意義。
健康穩健的密碼管理策略至關重要。公司和員工都需要了解實施正確密碼操作的重要性。美國國家標準與技術研究院 (NIST) 提供的密碼準則被視為美國一般隱私和數據安全合規性的黃金標準。
今年年初,NIST 的官員嘲笑了他們的安全建議可能發生的變化。考慮到這一點,我們想看看當前的 2021 年 NIST 密碼指南,以幫助您識別最佳密碼實踐,以防範當前的網絡安全威脅。
NIST 密碼指南
自 2014 年以來,美國國家標準技術研究院發布了身份驗證指南、建議和控制措施,包括最佳密碼策略實踐。
這些指南多年來一直在發展,因為有幾次修訂,最顯著的是在 2017 年和 2019 年。NIST 密碼指南涵蓋了創建和管理密碼的關鍵實踐以及驗證這些密碼的要求。
NIST 密碼指南的主要目標是為用戶和企業創建強大的密碼安全性並嚴格控制特權訪問。這些準則使組織和公司能夠更好地保護自己免受憑據填充、暴力攻擊和其他入侵企圖的侵害。考慮到所有這些,讓我們首先看一下過時的密碼建議,然後轉到最新的 NIST 2021 年密碼指南。
過時的密碼建議
大多數公司根據一組基本標准採用過時的密碼做法。這些標准通常包括三個主要的密碼安全準則:
- 強制定期更改密碼
- 要求每個新密碼都是唯一的,並且以前沒有以任何形式使用過
- 確保每個密碼都很複雜並且由字母(小寫和大寫)和數字字符以及其他特殊符號組成。
這些準則被許多企業廣泛接受,並已使用了幾十年。雖然上面列出的策略並沒有本質上的錯誤,但它們不夠複雜,無法支持現代安全要求。
事實上,大約 57% 的人仍在採用這些過時的做法,這意味著網絡釣魚和惡意軟件攻擊的大門仍然為攻擊者敞開。我們已經習慣了過時的建議,需要應用新的密碼管理實踐來確保最大的安全性。這將我們帶到下一個關鍵主題。
更新的密碼建議
NIST 發布了一套修訂的指南,其中涵蓋了最適用於當今環境的推薦安全實踐。這個主題需要單獨寫一篇完整的文章,所以我們不會深入討論所有的細節。也就是說,我們想仔細研究與現有安全實踐相關的最新密碼建議:
字母數字字符
字母數字密碼系統似乎自密碼本身就已存在。將小寫和大寫字母與數字和特殊字符結合起來使密碼“更強”是當今幾乎每個安全系統都採用的做法。
但是,NIST 密碼指南指出,該系統不一定能提供更可靠、更安全的密碼。
新的 NIST 密碼指南強調了一個更加動態的系統,在該系統中,用戶可以通過將新密碼與弱密碼和導致洩漏的密碼進行比較來製作密碼。
密碼長度
目前的做法是密碼應該在 8 到 10 個字符左右。這是需要更改的重要方面之一,因為 NIST 密碼指南建議至少應允許 64 個字符的密碼。
擁有如此冗長的密碼似乎很不方便。然而,記住一個獨特的句子作為密碼比使用由隨機數字和字符組成的亂碼要容易得多。
密碼提示
“你兒時的寵物叫什麼名字?”和“您第一位老師的名字”是用戶在需要找回忘記的密碼時使用的日常密碼提示。然而,這些密碼提示的質量往往有很多不足之處,尤其是在當今過度曝光的社交媒體時代。
新的 NIST 密碼指南建議用戶遠離密碼提示。相反,他們應該利用多因素身份驗證作為一種更先進、更安全的密碼安全方法。
您可以將 MFA 設置為根據您的指紋、數字證書、硬件令牌、位置、時間等來識別您。這是一個更難破解的安全步驟,可顯著降低數據洩露的風險。
強制更改密碼
新的 NIST 密碼準則降低了計劃的強制密碼更改的價值。他們支持這一立場,認為用戶尋找密碼模式的弱點(例如僅更改少數數字或切換字符)削弱了密碼並使更改沒有應有的那麼重要。另外,如果黑客已經掌握了用戶的信息,而用戶只是對現有密碼進行了細微的調整,那麼強制更改密碼就毫無意義。
複製粘貼密碼
令人驚訝的是,這是 NIST 自上次修訂以來完全改變其觀點的事情。該研究所以前完全反對在輸入密碼時啟用複制/粘貼功能。然而,新指南旨在推翻這一建議。
此建議更改背後的原因是,必須複製和粘貼複雜的密碼只會鼓勵員工不要使用更簡單的密碼,而是轉向密碼管理器。然後,這些密碼管理器將允許他們隨機生成和存儲密碼以方便使用,而不會損害其安全性。
密碼管理器和 2FA 的重要性
確保密碼最大隱私性和安全性的最佳方法是實施兩種做法:使用密碼管理器和使用雙因素身份驗證。對於後者,每個人都同意使用雙因素身份驗證為您的信息增加了一個非常強大的安全層。所有專家都同意無密碼登錄是未來的方式。公司採用這種身份驗證方法只是時間問題。
然而,當談到密碼管理器時,這就是專家們走到十字路口的地方。對於某些人來說,密碼管理器是確保隱私和安全的必要且非常方便的工具。對於其他人來說,它們只是通過將密碼存儲在另一個密碼後面來掩蓋一般問題的工具。
這是因為很難找到滿足所有標準和要求的 NIST 密碼生成器。您能做的最好的事情就是找到一個可靠且安全的密碼生成器和管理器,以保護您的寶貴數據不落入壞人之手。
因此,使用緊湊型一體式藍牙鑰匙(例如Hideez Key 3或Hideez Key 4 )是滿足密碼管理需求的簡單而優雅的解決方案。它允許您在硬件庫中存儲多達 2,000 個登錄憑據和密碼。此外,它還用作多功能安全密鑰,可幫助您生成唯一且可靠的密碼和一次性密碼以進行多重身份驗證。
最好的部分是,這種密碼管理解決方案不僅可以滿足個人需求,還可以用於企業用途,提供許多更有價值的功能,非常適合多用戶環境。要了解更多信息,請聯繫我們或申請免費的個性化試用:
