dcsimg

通过密码策略达成适当的平衡

制定密码策略是一种平衡行为-在可用性和安全性之间进行权衡

 By 保罗·鲁本斯
第1页,共2页

“最好的密码策略是根本不使用密码。”这是安全界的一个老笑话,但确实突显了一个非常真实的事实 问题:即使在许多网络上,密码也有望在保护信息和提供对资源的访问方面起关键作用 在安全性和可用性之间取得适当的平衡确实是一项非常艰巨的任务。

简而言之,这是一个问题:由随机字符的长字符串组成的密码很难破解或猜测,但它们也是 很难记住。简单的密码(例如“阿森纳”或“拉布拉多”)很容易记住,但提供的安全性却很少。

公司密码策略的作用是为密码定义规则,以确保它们足够安全。也许最 重要的规则决定着它们的构成,长度以及应该多久更换一次。

对于网络管理员来说,问题在于,这些规则是任意的,因此,什么时候应该考虑 制定密码策略以确保在安全性和可用性之间取得适当的平衡?

密码组成

试图猜测密码或破解密码哈希的恶意黑客的第一行攻击是尝试列出“明显”字词, 例如“密码”,公司名称,用户名,或已知的配偶,子女或宠物的名称。如果失败,黑客将 然后可能会进行“字典式攻击”,有条不紊地尝试一长串单词中的每个单词。这些列表可能包括字母和 数字模式,例如“ abcde”,“ qwerty”,“ asdf”和“ 12345”,以及常见的替换方式,例如也将“ 3”替换为“ e”或将“ 5”替换为“ s” 例如在每个单词之前或之后添加一,两位或三位数字,或向后拼写词典单词。

如果字典攻击失败,则黑客可能会采取蛮力攻击,尝试使用所有字母组合或大写字母 大写和小写字母或大写和小写字母和数字,或大写和小写字母,数字和其他字符(例如 $,%,^, &等等),以增加长度的密码。防范此类攻击的主要方法是确保 使用中的密码是从大量可能的密码中提取的,以至于成功将密码强行强行压入密码中的可能性很大。 相当短的时间是可以接受的。密码设置的字符集对这种可能性的影响很大。 以及密码中每个字符的随机性。

为了理解这一点,让我们做一些数学运算。如果密码由六个随机的小写字母组成,那么有多少种可能性 那里?答案是26 x 26 x 26 x 26 x 26 x 26或26 ^ 6,或308,915,776,或大约3亿。如果我们假设计算机可以检查10 如果每秒猜出100万个密码,那么检查这六个字符的密码中的所有3亿个都需要30秒。

如果密码可以由大写和小写字母(总共52个)加上十个数字0-9组成,该怎么办?现在有62 ^ 6六个 字符密码(大约570亿。)检查所有这六个字符大约需要一个半小时。 passwords.

由此可见,增加了一个字符池,从中随机抽取一个密码的每个字符- 包括大写和小写字母和数字(如果可能,还包括特殊字符)-对时间的影响很大 需要用暴力破解,因此大大提高了密码的安全性。

这告诉我们如何制定密码策略?理想情况下,密码应由随机的上位密码和 小写字母,数字和特殊字符。但这假设需要这些密码的应用程序将接受所有 这些类型的字符。它还假定用户可以记住这些随机字符串。

在现实世界中,用户无法轻易记住长随机字符串-长度超过7个字符的字符显得特别难-因此 强迫他们使用以此方式构成的密码有效地迫使他们将它们写下来。这构成了内部安全 风险:可以物理访问办公室的人员(例如同事或维护人员)将看到密码写在 便条纸并用于访问受限资源或将其传递给组织外部的人员。它不做的就是做 对于从外部闯入网络以破解密码的黑客来说,这更容易。

本文最初于2009年9月15日发布
通过网络更新新闻获取最新消息