我們當然會想方設法來保護密碼的安全,比如增加密碼長度、使用複雜的語法以及特殊字符等等,這確實有助於增強密碼的安全性,這些方法往往要求你每90天更改一次密碼,但奇怪的是看不到什麼明顯的好處。
壞傢伙們通常會用四種基本的方法得到你的密碼:
(A)直接詢問,所謂的“釣魚”和“社會工程學”的***仍然在進行,並且一直有效
(B)試着用字庫來匹配提示框,希望碰到好運氣
©獲取加密之後的密碼或哈希碼,反過來進行解密
(D)使用keylogger等惡意軟件在你在電腦中輸入時獲取密碼
這四種情況不會因爲你每隔90天更改了一次密碼就從你身邊走開。如果壞人們無法在幾天內攻破哈希碼©,他很可能去尋找更容易的***目標。
(B)也是速戰速決型,壞人們通常只使用前幾百個單詞,如果無效的話馬上就會轉向其他更容易的獵物。如果(B)或©成功,或者***者通過更簡單的(A)或(D)獲知密碼,那麼他們平均只需要45天就足以把你的銀行帳戶弄得一乾二淨,或者把你的電子郵件地址變成發送垃圾郵件的據點。
在過去25年左右的時間裏,密碼過期的概念沒有什麼變化。信息安全技術人員、審計人員、PCI、ISO27002和COBIT等等的要求都保持不變,但威脅已經改變了不少。通常,密碼脆弱的用戶只會用另一個脆弱的密碼來替代。而強迫一個密碼強度已經很高的用戶更改密碼最終反而會惹惱他而使用簡單的密碼。
那麼90天的密碼更改週期到底有什麼意義呢?有一個實際的好處。那就是如果有人有你的密碼而他們想做的一切只是偷偷的閱讀你的電子郵件,那麼你改變密碼可以阻止他們永遠這樣做下去。定期更改密碼並不能抵禦那些想要竊取你的機密的惡意***者,但它確實能讓你擺脫那些偷偷摸摸的潛入者或窺探者。沒錯,這是好的。但是,這點好處是否值得去強迫用戶去不嫌麻煩的每90天更改一次密碼呢,我有些懷疑。
信息安全風險管理的主要工作應該是識別威脅和漏洞,然後選擇對策。但是,如果選擇的對策實際上並不太可能降低所識別的威脅的話,那麼它在安全工作中也是於事無補的。
當然,各方提供的“最佳實踐標準”和審計部門的專員們會迫使我們用它。
我爲一家財富500強企業引入了“每90天改變你的密碼”的規則,我來做個解釋。許多人在多個系統上使用相同的密碼。我發現其中有一臺系統允許用戶查看名稱目錄中隱藏在文本域中的哈希密碼,這是產品本身的弱點,我們發現這個哈希算法很容易破解,於是立即改變了哈希算法並且做出了90天的規則,這樣能夠確保密碼哈希的持續清潔,並且鼓勵員工在外部網站使用與企業內部不同的密碼。
緩解不會改變它的發生概率,但能改變成功的可能性。你所做的假設中所有的密碼竊賊都會在試上幾次強力***後放棄,一般來說是這樣,但並不總是。你暗示我們(審計部門)看不到不斷變化的威脅是不對的,每90天的週期仍然太長,考慮到今天的處理能力。你必須採取長度、複雜性、歷史以及各種各樣的帳戶鎖定策略。
我一直認爲密碼更改間隔應該與當前的處理能力掛鉤。隨着計算能力提高,破解哈希生成彩虹表所花費的時間越來越短。想一想摩爾定律就明白了。我認爲應該使用破解工具作爲基準,算出一個現實的破解哈希密碼所需要的時間,然後來確定到底需要多長時間來改變一次密碼。
我不明白的是更改密碼的要求變得越來越短。10年前,每年更改一次密碼在許多系統上已經足夠了。最近90天是標準。現在我相信很快會看到60天、30天。
用戶有時會共享密碼。這是很讓人頭疼的,而週期性更改密碼的要求會有助於解決這個問題。我贊同強制更改密碼,即使這有可能導致用戶採取低強度的密碼,但要教給他們良好的密碼生成方法,還要給他們提供工具。
你可以每年自己破解密碼哈希幾次,這會迫使那些密碼強度弱的用戶轉變態度。許多用戶使用默認密碼,如果你有5000個用戶,其中至少有100人使用相同的密碼。
破解密碼總是很容易,但重要的是培訓好重要的用戶,或者給他們工具。