为什么应该用密码短语替代传统密码

本文深入探讨了密码短语相比传统复杂密码的安全优势,分析了有效熵值的重要性,并提供了实施密码短语策略的具体步骤和工具建议,帮助企业提升认证安全性。

为什么应该用密码短语替代传统密码

数十年来,密码建议从未改变:使用包含大写字母、小写字母、数字和符号的复杂密码。这样做的目的是让黑客更难通过暴力方法破解密码。但最新指南显示,我们的重点应该放在密码长度上,而不是复杂性上。长度是更重要的安全因素,而密码短语是让用户创建(并记住!)更长密码的最简单方法。

重要的数学原理

当攻击者从数据泄露中窃取密码哈希值时,他们会通过每秒哈希数百万次猜测来进行暴力破解,直到找到匹配项。这个过程所需时间取决于一件事:存在多少种可能的组合。

一个传统的8字符"复杂"密码(如P@ssw0rd!)提供大约218万亿种组合。这听起来令人印象深刻,直到你意识到现代GPU设置可以在几个月内测试这些组合,而不是几年。如果将其增加到16个字符且仅使用小写字母,你将看到26^16种组合,破解难度增加了数十亿倍。

这就是有效熵值:攻击者必须处理的实际随机性。三到四个随机常见词语串联在一起(如"carpet-static-pretzel-invoke")比在短字符串中塞入符号能提供更多的熵值。而且用户实际上能够记住它们。

为什么密码短语在各方面都更优

支持密码短语的理由不是理论上的,而是操作上的:

  • 减少重置次数:当密码易于记忆时,用户就不会把它们写在便利贴上,也不会在不同账户间重复使用类似变体。你的服务台工单会减少,仅此一点就足以证明这种改变的合理性。

  • 更好的攻击抵抗能力:攻击者会针对模式进行优化。他们测试带有常见替换(如用@代替a,用0代替o)的字典词,因为人们就是这样做的。一个四词密码短语完全避开了这些模式——但前提是这些词语是真正随机且不相关的。

  • 符合当前指南:NIST已经明确表示:优先考虑长度而非强制复杂性。传统的8字符最小值真的应该成为过去。

值得遵循的一条规则

停止管理47条密码要求。给用户一个明确的指示:

选择3-4个不相关的常见词语+一个分隔符。避免使用歌词、专有名称或著名短语。切勿在不同账户间重复使用。

示例:mango-glacier-laptop-furnace 或 cricket.highway.mustard.piano

就这样。没有强制的大写字母,没有必需的符号,没有复杂性表演。只有长度和随机性。

无混乱地推出

认证更改可能会引发阻力。以下是如何最小化摩擦:

从试点小组开始,从不同部门抽取50-100名用户。给他们新的指南并监控(但不强制执行)两周。观察模式:人们是否默认使用流行文化中的短语?他们是否 consistently 达到最小长度要求?

然后在全组织范围内切换到仅警告模式。当用户的新密码短语较弱或已被泄露时,他们会看到警报,但不会被阻止。这在不创建支持瓶颈的情况下提高了意识。

只有在测量了以下指标后才强制执行:

  • 密码短语采用百分比
  • 服务台重置减少情况
  • 来自阻止列表的禁止密码命中次数
  • 用户报告的摩擦点

将这些作为KPI进行跟踪。它们会告诉你这是否比旧政策更有效。

使用正确的策略工具使其持久

你的Active Directory密码策略需要进行三次更新以正确支持密码短语:

  • 提高最小长度:从8个字符提高到14+个字符。这适应了密码短语,而不会给仍偏好传统密码的用户带来问题。

  • 取消强制复杂性检查:停止要求大写字母、数字和符号。长度以更少的用户摩擦提供更好的安全性。

  • 阻止泄露的凭据:这是不可协商的。即使是最强的密码短语,如果它已经在泄露事件中被泄露,也无济于事。你的策略应该实时检查提交的密码是否在已知泄露列表中。

在过渡期间,自助密码重置(SSPR)可以提供帮助。用户可以在自己的时间安全地更新凭据,而你的服务台不应成为瓶颈。

密码审计让你能够了解采用率。你可以识别仍在使​​用短密码或常见模式的账户,然后针对这些用户提供额外指导。

像Specops Password Policy这样的工具可以处理所有三个功能:扩展策略最小值,阻止超过40亿个泄露密码,并与SSPR工作流集成。策略更新同步到Active Directory和Azure AD,无需额外基础设施,并且随着新泄露事件的出现,阻止列表每日更新。

实际应用场景

假设你的策略要求15个字符,但取消了所有复杂性规则。用户在下次密码更改时创建umbrella-coaster-fountain-sketch。像Specops Password Policy这样的工具会检查它是否在泄露密码数据库中——它是干净的。用户无需密码管理器就能记住它,因为它是四个具体图像连接在一起。他们不会重复使用它,因为他们知道它是特定于此账户的。

六个月后,没有重置请求。没有便利贴,也没有因为输错符号而打电话给服务台。没有什么革命性的——只是简单有效。

你实际需要的安全

密码短语不是银弹。MFA仍然重要。泄露凭据监控仍然重要。但如果你要在密码策略更改上投入资源,这就是应该投入的地方:更长的最小值、更简单的规则以及对泄露凭据的真实保护。

攻击者仍然会窃取哈希值并进行离线暴力破解。改变的是我们对什么真正能减慢他们速度的理解,所以你的下一个密码策略应该反映这一点。有兴趣尝试吗?预约Specops Password Policy的现场演示。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次