密码：我们的第一道防线

Darin Roberts //

“当（你最喜欢的策略）只推荐8字符最小密码时，为什么你建议采用15字符密码策略？“最近我不止一次被问到这个问题。

提出这些问题时，我看到了两种不同的策略。首先是NIST策略。根据NIST 800-63指南，“记忆秘密[应]至少8字符长度”。记忆秘密被定义为包括密码。NIST指南最近进行了更新，但密码最小长度仍保持为8字符。摘自https://blog.didierstevens.com/2017/02/28/password-history-analysis/。

另一个策略是Microsoft Office 365的策略。该策略指出，“为保持组织尽可能安全"的一个建议是"维持8字符最小长度要求（更长不一定更好）"。摘自https://docs.microsoft.com/en-us/office365/admin/misc/password-policy-recommendations?view=o365-worldwide

我不同意这两种策略，并强烈反对微软的策略。我将解释我的理由，并希望能说服那些使用8字符密码策略的人改为更强的策略。

当我在进行渗透测试时，我首先做的事情之一就是查看是否有可以进行密码喷洒的地方。这些门户通常是电子邮件，但有时是自定义登录门户、VPN门户或员工使用的其他登录门户。如果密码策略是最小8字符，我通常都能进入。只要有足够大的用户群（通过侦察发现），几乎总是至少有一个用户的密码是Fall2019、Summer19!或Company123。过去发生这种情况时很有趣，但现在发生得如此频繁，以至于只是令人悲伤。

你可能会对自己说：“我所有的外部门户都使用双因素认证，所以我很安全。“嗯，双因素认证（2FA）的好坏取决于其实现方式。我的一个同事能够进入受2FA保护的电子邮件账户，因为其中一种2FA方法发送到了Skype电话号码。听起来很安全，但Skype账户只使用单因素认证。她以受害者身份登录Skype，将2FA请求发送到Skype账户，然后登录电子邮件。

我绝不是说我们不应该使用2FA，因为它可以被绕过。如果正确使用，2FA可以阻止许多攻击。我只是说我们不应该忽视第一种保护方法——密码。如果你的第一种认证方法难以绕过，许多攻击者甚至无法到达第二种认证方法。

那么你应该制定什么样的密码策略？简单的答案是至少15个字符。为什么是这个长度？本周我们将就此主题举办网络研讨会，你可以在下面注册。还会有一篇后续博客提供更多解释。

网络研讨会： 注册参加我们下一次网络研讨会——密码：你是最弱的一环——于2019年12月5日下午1:00 EST举行：https://attendee.gotowebinar.com/register/4720742581883580684