證書頒發機構不再用更改密碼啦！

通過一年多的努力，Ballot SC3近日被CA /B論壇一致經過。 這是論壇網絡安全工做組提出的網絡和證書系統安全要求的第一次重大升級。 它包含幾個重要的改進，但其中一個特別重要：刪除密碼每90天更改一次的要求。 Ballot SC3容許證書頒發機構按期進行強制性密碼更改策略，但聲明若是沒有理由更改它們（如妥協證據），密碼必須至少保持有效兩年。

許多年前，NIST建議公司要求用戶按期更改密碼。 大致思路是爲了防止破壞舊密碼的攻擊者可以將它們用於當前系統。 這個建議被普遍採用，許多安全標準要求按期更改密碼。

問題是，」好「的密碼一般不適合用戶記憶。若是存在額外的任意複雜性要求，例如須要包含大寫字母，數字和/或特殊字符，則更難以記住它們。每90天生成並記住一個新的，獨特且強大的密碼，知足全部這些要求，這大大超出了正常人腦的能力。研究代表，這些強制性密碼更改會顯著引發用戶找客服幫忙以及密碼重置的必要性。

人們以各類可預測的方式適應了這些要求。大寫字母一般是第一個字符，數字一般在結尾處，特殊字符位於兩端之間，兩個組件之間，或以可預測的方式替換字母（例如，'0'表明'o'，' 1'表明'l'，''表明'e'）。當他們須要更改密碼時，他們也會以可預測的方式更改密碼，例如經過遞增數字或將大寫字母移動到下一個字母。徹底厭倦了這些要求的用戶使用「Summer2018！」這樣的密碼並不罕見，甚至這個密碼如今極可能被您的一個用戶使用。

因爲這些更改是可預測的，所以很容易找到一種算法，該算法能夠有效地找到用戶的舊密碼。 該研究於2010年發佈（https://www.cs.unc.edu/~reiter/papers/2010/CCS.pdf）。 所以，密碼更改策略會致使用戶選擇較弱的密碼，增長支持成本，而且不會對攻擊者形成重大成本。 這與良好的安全策略徹底背道而馳。

改變要求的部分阻力是公司一般必須遵照多種審計方案。 撤消此要求須要時間。 雖然Ballot SC3容許證書頒發機構當即放寬這些要求，但它會給予他們兩年的寬限期，以便肯定如何遵照新要求。 幸運的是，NIST已經在NIST SP800-63B的附錄A中發佈了一些出色的指導，它正確地指出密碼最重要的特徵是它的長度，而且用戶應該選擇他們能夠容易記住的強密碼，但攻擊者能夠「猜猜」。 Lifewire提供了一種建立安全密碼的簡便方法。

一些組織已經更新了他們的標準以符合NIST的新指南，包括FedRamp在內的其餘組織已表示他們但願人們在預期將來更新時遵照該標準。 關於取消90天密碼更改要求的最多見投訴，來自一樣必須遵照PCI DSS要求的公司。採用NIST標準並取消90天密碼更改要求將使公司無需單獨管理PCI和非PCI系統的密碼策略，而且能夠下降沒必要要的密碼更改致使PCI兼容系統密碼較弱的風險。

遺憾的是，論壇的網絡安全工做組的任務已經到期，而且在CA /瀏覽器最近的治理改革變動下還沒有更新。 但願這項工做的成功能引導從新創建網絡安全工做組，於是使咱們能夠繼續對網絡和證書系統安全要求進行重要和必要的更改。

 

【來自SSL中國】