关注网络安全
和行业未来

证书颁发机构再也不用更改密码啦!

经过一年多的努力,Ballot SC3近日被CA /B论坛一致通过。 这是论坛网络安全工作组提出的网络和证书系统安全要求的第一次重大升级。 它包含几个重要的改进,但其中一个特别重要:删除密码每90天更改一次的要求。 Ballot SC3允许证书颁发机构定期进行强制性密码更改策略,但声明如果没有理由更改它们(如妥协证据),密码必须至少保持有效两年。

许多年前,NIST建议公司要求用户定期更改密码。 大体思路是为了防止破坏旧密码的攻击者能够将它们用于当前系统。 这个建议被广泛采用,许多安全标准要求定期更改密码。

问题是,”好“的密码通常不适合用户记忆。如果存在额外的任意复杂性要求,例如需要包含大写字母,数字和/或特殊字符,则更难以记住它们。每90天生成并记住一个新的,独特且强大的密码,满足所有这些要求,这大大超出了正常人脑的能力。研究表明,这些强制性密码更改会显著引起用户找客服帮忙以及密码重置的必要性。

人们以各种可预测的方式适应了这些要求。大写字母通常是第一个字符,数字通常在结尾处,特殊字符位于两端之间,两个组件之间,或以可预测的方式替换字母(例如,'0'代表'o',' 1'代表'l',''代表'e')。当他们需要更改密码时,他们也会以可预测的方式更改密码,例如通过递增数字或将大写字母移动到下一个字母。完全厌倦了这些要求的用户使用“Summer2018!”这样的密码并不罕见,甚至这个密码现在很可能被您的一个用户使用。

由于这些更改是可预测的,因此很容易找到一种算法,该算法可以有效地找到用户的旧密码。 该研究于2010年发布(https://www.cs.unc.edu/~reiter/papers/2010/CCS.pdf)。 因此,密码更改策略会导致用户选择较弱的密码,增加支持成本,并且不会对攻击者造成重大成本。 这与良好的安全策略完全背道而驰。

改变要求的部分阻力是公司通常必须遵守多种审计方案。 撤消此要求需要时间。 虽然Ballot SC3允许证书颁发机构立即放宽这些要求,但它会给予他们两年的宽限期,以便确定如何遵守新要求。 幸运的是,NIST已经在NIST SP800-63B的附录A中发布了一些出色的指导,它正确地指出密码最重要的特征是它的长度,并且用户应该选择他们可以容易记住的强密码,但攻击者可以“猜猜”。 Lifewire提供了一种创建安全密码的简便方法。

一些组织已经更新了他们的标准以符合NIST的新指南,包括FedRamp在内的其他组织已表示他们希望人们在预期未来更新时遵守该标准。 关于取消90天密码更改要求的最常见投诉,来自同样必须遵守PCI DSS要求的公司。采用NIST标准并取消90天密码更改要求将使公司无需单独管理PCI和非PCI系统的密码策略,并且可以降低不必要的密码更改导致PCI兼容系统密码较弱的风险。

遗憾的是,论坛的网络安全工作组的任务已经到期,并且在CA /浏览器最近的治理改革变更下尚未更新。 希望这项工作的成功能引导重新建立网络安全工作组,因而使我们可以继续对网络和证书系统安全要求进行重要和必要的更改。

稿源:DigiCert

 

评论 1

  1. #1

    所有的规范都是最终需要人去遵守的,违反人类本性的规范必将淘汰,被淹没

    匿名6年前 (2018-09-16)回复