NIST发布最新密码安全指南：告别复杂性，强调长度与安全性

NIST发布最新密码安全指南：告别复杂性，强调长度与安全性

美国国家标准与技术研究所（NIST）近日发布了最新的密码安全指南，对传统的密码安全实践提出了重大变革。这些新建议不仅改变了我们对密码复杂性的认知，还对密码的使用和管理方式提出了新的要求。

NIST的新密码安全建议

NIST在其特别出版物800-63B中提出了多项重要建议，其中最引人注目的是对密码复杂性的新看法。长期以来，人们普遍认为包含大小写字母、数字和特殊字符的复杂密码更安全。然而，NIST现在建议取消这种强制性要求，转而强调密码长度的重要性。

NIST网络安全专家Paul Turner博士解释说：“较长的密码通常更安全，也更容易被用户记住。我们正在摒弃通常会导致可预测模式的复杂规则，转而鼓励使用独特、较长的密码。”

根据新指南，NIST建议密码长度至少为8个字符，更倾向于更长的密码，并建议组织允许密码长度至少为64个字符以容纳密码短语。

取消定期更改密码的规定

另一个重大变化是取消了强制定期更改密码的规定。NIST认为频繁重置密码通常会导致密码强度降低，并鼓励用户进行微小的、可预测的更改。相反，只有在有证据表明密码被盗用时才应更改密码。

Turner解释道：“强迫用户定期更改密码并不能提高安全性，实际上可能适得其反。监控被盗用的凭证并仅在必要时要求更改密码才是更有效的做法。”

其他重要建议

• 组织应维护最新的弱密码黑名单，并阻止用户选择此列表中的任何密码。
• 不使用密码提示或基于知识的身份验证问题，因为这些问题通常很容易被猜到或通过社会工程学发现。
• 对于存储密码，建议使用加盐哈希算法，该算法的工作因子使离线攻击的计算成本高昂。

专家观点

密码管理公司SecurePass的首席技术官Sarah Chen表示：“NIST的最新指南与安全研究人员多年来一直倡导的理念相一致。它们在安全性和可用性之间取得了良好的平衡。”

随着组织实施这些新准则，用户可以预期看到各种平台和服务的密码策略发生变化。虽然所有系统可能需要时间来适应，但专家认为从长远来看，这些变化将带来更有效的密码安全。

NIST强调，这些指南不仅适用于联邦机构，也是所有关注网络安全的组织的最佳实践。

总结

随着网络威胁不断演变，及时了解最新的安全建议对于保护敏感信息和系统仍然至关重要。NIST的新密码安全指南为我们提供了一个更科学、更实用的密码安全管理框架，值得个人和组织认真参考和实施。