为什么密码规则和限制不起作用

2021-03-23 15:51:40来源：

密码规则令人沮丧，但值得这么做，对吗?好吧，也许不是。安全领域的想法是组织和企业将制定严格的安全策略，但是这些策略通常没有什么安全益处，有时甚至会降低安全性。

我们可以看一下与密码相关的两个示例，这是我们都熟悉的安全领域。安全性剧院的第一个示例是强制用户每90天更改一次密码，第二个示例是强制执行对密码中必须包含的数字和符号的复杂要求。

要了解为什么这些限制无效，我们必须首先查看它们声称可以防御的攻击类型。这些是猜测攻击，有两种形式

在线猜测：计算机程序伪装成用户，然后尝试使用猜测的用户名和密码来一次又一次地登录。任何人或任何计算机都可以尝试这种猜测。

脱机猜测：仅当所有用户密码列表已从组织中泄露时，才会发生这种情况。在这种情况下，应该使用强加密技术来保护列表中的密码。如果是这样，攻击者需要尝试猜测密码，因为它们仍然是加密的。重要的是，对于此攻击，攻击者可以将所有计算能力集中在自己的掌握上，以离线猜测列表中的密码。

在RTÉRadio 1的Ryan Tubridy节目中，安·奥康纳(Ann O'Connor)谈论了她的诗《密码逝世》(Death By Password)

为了防止这些攻击，组织强迫用户定期更改其密码，并强迫他们在密码中包含特定的字符类型。但是，为什么这些规则无效?

“您必须每90天更改一次密码”

密码更改规则，例如“您必须每90天更改一次密码”，目的是减少攻击者猜测帐户密码或对其做出响应的机会。

首先让我们看一下它对离线猜测的有效性。攻击者已经成功地离线猜测了用户的密码，但希望是在黑客使用它时，该用户的密码已被更改。

作为安全措施，存在两个问题。首先，组织应该知道他们的密码文件何时泄露，以便他们可以让所有用户更改密码(如果发生)。不必定期设置密码以防万一。

来自RTÉRadio 1的Drivetime，来自SKOUT Secure Intelligence的Aidan Kehoe，研究了容易受到网络攻击和数据泄露的密码

其次，许多用户的先前密码与他们新选择的密码之间存在紧密的联系。一旦攻击者获得了先前的密码，他们就可以在少数猜测中找出当前密码。

从“ P @ sswordMay”更改为“ P @ sswordJune”

因此，更改密码的好处必须来自提供防止在线猜测的保护。这里的安全逻辑基于这样的想法：用户可以更改密码，然后迫使攻击者开始猜测，以便他们可以完成详尽的搜索(选中每个选项)。

但是，攻击者应该始终只能进行有限数量的在线猜测(例如，“如果您输入错误的密码10次，您将被锁定”)，因此实际上，攻击者将永远不会进行详尽的搜索。超过1%的用户将选择密码“ 123456”，少于1%的用户将选择密码“ password”。攻击者希望毫不费力地破解尽可能多的帐户，因此攻击者只会尝试最常见的猜测。防御详尽的攻击不会带来什么好处。

在RTÉRadio 1的News At One中，那个多年前第一次推荐那些烦人的复杂密码的人现在说他错了。

定期更改密码很不方便，并且使密码更难以记住。大多数知道他们需要每90天更改一次密码的人会选择较弱且更可预测的密码，从而进一步降低了安全性。

为什么我们使用“ 1”或“!”用我们的密码

当要求大多数人在密码中输入数字时，他们会在末尾输入1或出生年份。当要求包含符号时，许多人会使用感叹号。除了增加字符的可预测性外，密码中复杂的字符要求也无效。它们不够强大，无法防御脱机猜测攻击，而对于防御联机猜测攻击则过于僵化。

在线猜测的攻击者在被锁定之前，应该只限于一定数量的错误猜测。如果您的密码不在前10,000个最差密码的列表中，那么您应该是安全的。

在RTÉRadio 1的Ray D'Arcy Show中，技术安全专家Ian Breslin讨论了最常用的密码和不常用的密码

对于离线猜测，攻击者拥有时间和资源。建造一台可以在一个月内完成100,000,000,000,000次猜测的计算机的成本仅为1,500欧元。实际上，为了承受这种情况，您需要确保密码中没有可预测的内容，这将使您很难记住它。

因此，诸如您必须在密码中包含字母，数字和符号之类的强制性规则对这两种猜测类型均无济于事，但带来的主要不便是。

起作用的安全规则

重要的是，在引入安全规则之前，我们必须确保它们实际上对我们试图防御的实际攻击有效。对于那些不得不忍受的人来说无法使用的密码策略是没有用的。人们需要完成工作，他们会规避他们觉得太麻烦的任何政策。

但是，如果研究反复表明这些政策不值得，那么为什么组织和公司仍然乐于让其员工使用它们?是否表明组织对实际安全性和用户的关心比对安全性剧院的关心少?安全剧院是一把双刃剑，在提供错误的安全感的同时，还给用户带来了极大的不便。

组织应该做什么