NIST密碼安全新標準更新后 舊版建議作者承認有不妥也被誤導(dǎo)

美國國家標準和技術(shù)協(xié)會（NIST）今年6月提供的最新數(shù)字身份指南的新版草案中，已經(jīng)不再推薦用戶使用密碼混合大寫字母、字符和數(shù)字，也不再要求定期修改密碼。因為研究顯示此類的要求并不能帶來強密碼，NIST認為最重要的是儲存的密碼必須鹽化+哈希+MAC處理。

不過對于2003年一篇廣為流傳的密碼混合大寫字母、字符和數(shù)字的NIST安全專家建議文章，其作者72歲的前NIST主管Bill Burr開始承認當(dāng)時其提供的建議并不成熟，后來也被證實不是太奏效，當(dāng)然也有媒體的一些誤導(dǎo)總結(jié)，導(dǎo)致更多的曲解。根據(jù)他當(dāng)年寫的一份文檔NIST Special Publication 800-63，媒體總結(jié)為專家建議大家采用混合大寫字母、字符和數(shù)字，構(gòu)成一個常用詞組的方式（比如P@ssW0rd123!），事實證明這種密碼對于破解密碼工具來說，只需要增加一些代碼，根據(jù)這種規(guī)則的密碼強度幾乎與弱密碼的破解相差無幾，倒是催生了許多有創(chuàng)意的網(wǎng)名ID。

比如一篇形象的漫畫指出根據(jù)這樣的規(guī)則，形似“Tr0ub4dor&3”這樣的密碼只需要用標準的破解技術(shù)在三天之內(nèi)就能夠破解，而且你很容易在被破解之前就忘掉自己的密碼。而一句完全采用英文單詞組成的摸不著頭腦的短語 “correct horse battery staple”卻需要約550年來破解，而這組詞語很容易形成獨特的畫面，對于人類來說非常容易形成記憶，但與計算機來說其堪比天書，隨機性使得它很難被自動化工具猜出。

現(xiàn)在Burr承認：最終，這樣復(fù)雜的要求可能讓普通人們很難理解，實際上當(dāng)時的確是找錯了方向。

NIST數(shù)字身份指南的新版草案的作者 Paul Grassi指出，NIST此前的密碼安全建議都是在摸索中前進，沒有前人的嘗試也無法摸索出切實有效的密碼建議。

NIST 也不再要求密碼混合大寫字母、字符和數(shù)字，因為研究顯示此類的要求并不能帶來強密碼。NIST 認為，如果用戶想要使用繪文字作為密碼，那么就應(yīng)該允許用戶使用。NIST 認為最重要的是儲存的密碼必須鹽化哈希 MAC 處理。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。