對(duì)標(biāo)一下NIST的密碼建議���,看看你的密碼是不是安全�?
2021年10月29日
美國(guó)科學(xué)研究室與國(guó)家標(biāo)準(zhǔn)技術(shù)研究院NIST會(huì)經(jīng)常發(fā)布密碼安全準(zhǔn)則�����,我們可以參考這些標(biāo)準(zhǔn)來(lái)提高密碼安全性���。其中有些標(biāo)準(zhǔn)可能與我們通常認(rèn)為的提高密碼安全性的做法不同�,比如NIST準(zhǔn)則指出�����,建議使用短語(yǔ)密碼���,因?yàn)樗鼈儽葟?fù)雜的密碼更安全���。
終端用戶密碼是整個(gè)安全協(xié)議中最弱的部分,大多數(shù)用戶傾向于在工作帳戶和個(gè)人帳戶之間重用密碼����。
他們還可能選擇相對(duì)較弱的密碼,雖然這些密碼可以滿足公司密碼策略的要求��,但很容易被猜測(cè)或強(qiáng)行使用����,而且公司的用戶也可能無(wú)意中使用了違反密碼的公司帳戶密碼。
NIST擁有一個(gè)網(wǎng)絡(luò)安全框架��,可幫助組織解決其環(huán)境中常見的網(wǎng)絡(luò)安全漏洞�,包括弱密碼,重復(fù)使用的密碼和違反密碼規(guī)則的密碼。這篇文章將仔細(xì)介紹了NIST密碼準(zhǔn)則��,并了解如何有效審核密碼策略以確保它們符合NIST推薦的標(biāo)準(zhǔn)��。
NIST密碼準(zhǔn)則和優(yōu)秀做法
在標(biāo)題為“存儲(chǔ)的秘密驗(yàn)證者”的一章中介紹了有關(guān)密碼的特定指南��,NIST在密碼管理方面有一些建議:
1.密碼長(zhǎng)度不少于8個(gè)字符;
2.ASCII字符可以和空格一起使用;
3.如果服務(wù)提供商隨機(jī)選擇密碼�����,則密碼長(zhǎng)度必須至少為6個(gè)字符;
4.應(yīng)將密碼與已知的常用密碼�,預(yù)期密碼或已泄露的密碼進(jìn)行比較。
什么類型的密碼是常用的����、預(yù)期的或被破壞的?
1.以前違反密碼規(guī)則的密碼;
2.字典單詞;
3.連續(xù)或重復(fù)的字符;
4.與上下文相關(guān)的單詞(包括用戶名、企業(yè)名稱等)��。
NIST還推薦了以下其他密碼安全機(jī)制�����,包括:
1.限速登錄嘗試失敗;
2.不強(qiáng)制用戶在任意天數(shù)后更改密碼;
3.如果有證據(jù)表明帳戶密碼被泄漏(即密碼被泄漏)�����,則強(qiáng)制更改密碼;
4.應(yīng)該向用戶提供有關(guān)特定密碼策略要求的指南。
審核Active Directory密碼策略
如今�����,大多數(shù)企業(yè)組織都使用Microsoft Active Directory作為其集中式身份源和訪問(wèn)管理解決方案�。許多策略使用組策略提供的內(nèi)置Active Directory密碼策略��,作為組策略帳戶策略的一部分��,內(nèi)置的密碼策略提供了為Active Directory環(huán)境創(chuàng)建密碼策略的基本功能�����。
下面是配置有默認(rèn)密碼策略設(shè)置的默認(rèn)域策略的示例�����,包括:
1.密碼最長(zhǎng)使用期限;
2.最短密碼期限;
3.最小密碼長(zhǎng)度�����。
密碼必須符合復(fù)雜性要求
默認(rèn)的域策略密碼策略
正如你在“密碼策略”屬性中看到的那樣��,沒有內(nèi)置的方法可以檢測(cè)到違反的密碼或上傳用于自定義字典目的的密碼列表文件�����。根據(jù)NIST建議的密碼準(zhǔn)則,此策略不符合NIST標(biāo)準(zhǔn)���。
如果你有許多不同的密碼策略�,并且可能有許多不同的密碼設(shè)置和配置�����,該怎么辦?你如何有效地審核Active Directory密碼策略���,以查看它們?nèi)绾畏螻IST標(biāo)準(zhǔn)和其他標(biāo)準(zhǔn)的建議?
使用Specops Password Auditor工具對(duì)標(biāo)NIST標(biāo)準(zhǔn)
如果你擁有一個(gè)可提供所有Active Directory密碼策略可見性的工具以及這些策略如何符合領(lǐng)先的行業(yè)標(biāo)準(zhǔn)��,情況會(huì)怎樣? Specops Password Auditor是一個(gè)強(qiáng)大的工具����,不僅使你可以快速查看Active Directory環(huán)境中的危險(xiǎn)密碼����。它還使你可以根據(jù)頂級(jí)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)快速審核現(xiàn)有密碼策略,以確保符合這些策略�。
如你所見,Specops Password Auditor工具使你可以快速查看組織的Active Directory環(huán)境中的危險(xiǎn)密碼�。比如:
空白密碼
違反密碼設(shè)置的密碼
相同的密碼
管理員帳號(hào)
過(guò)期的管理員帳戶
非必須密碼
永久密碼
密碼過(guò)期
密碼過(guò)期
密碼策略
密碼策略用法
密碼政策合規(guī)
Specops密碼審核員
Specops Password Auditor的“密碼策略合規(guī)性”報(bào)告將現(xiàn)有Active Directory密碼策略中的設(shè)置與以下標(biāo)準(zhǔn)進(jìn)行比較:
MS研究
MS TechNet
NCSC
NIST
PCI
SANS管理員
SANS用戶
你可以快速查看你現(xiàn)有的密碼策略是否滿足各種網(wǎng)絡(luò)安全標(biāo)準(zhǔn)建議的要求�,當(dāng)執(zhí)行審核以使安全策略與不同的網(wǎng)絡(luò)安全框架(如NIST)保持一致時(shí)����,它可以抵消IT或安全管理員的巨大負(fù)擔(dān)。如你所見���,cloud.local策略就不符合NIST��。
Specops Password Auditor密碼策略合規(guī)性報(bào)告
如果你點(diǎn)擊NIST下的“紅框”查看特定的域密碼策略,你會(huì)看到為什么該策略不符合特定的標(biāo)準(zhǔn)�。我們看到最小長(zhǎng)度和字典設(shè)置都失敗了。
將你的密碼政策與NIST標(biāo)準(zhǔn)進(jìn)行比較
使用Specops Password Auditor和Specops密碼策略
通過(guò)Specops Password Auditor�,你可以很好地查看Active Directory密碼策略與行業(yè)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的對(duì)比。使用Specops密碼策略�,你可以輕松實(shí)現(xiàn)Active Directory密碼策略的更高級(jí)組合,包括自定義詞典文件和查看違背密碼保護(hù)的功能�����。
總結(jié)
使用推薦的網(wǎng)絡(luò)安全優(yōu)秀實(shí)踐(如NIST)來(lái)維護(hù)Active Directory環(huán)境的可見性和合規(guī)性�,是增強(qiáng)環(huán)境安全性的好方法。 NIST是著名的行業(yè)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全框架��,可為密碼安全提供更好的指導(dǎo)���。
當(dāng)今���,大多數(shù)企業(yè)都在環(huán)境中使用Active Directory密碼策略�����。根據(jù)NIST標(biāo)準(zhǔn)對(duì)密碼策略進(jìn)行審核有助于查看現(xiàn)有策略中可能需要重新訪問(wèn)的所有方面�����。
Specops Password Auditor使密碼安全審核過(guò)程非常容易��,它會(huì)自動(dòng)提取環(huán)境中現(xiàn)有密碼策略的所有設(shè)置���,并將其與行業(yè)標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全框架(例如NIST)進(jìn)行比較。Specops密碼策略可以輕松實(shí)現(xiàn)NIST建議和其他如自定義字典和較弱的密碼保護(hù)���。
