美国政府要求政府项目承包商必须满足 DFARS 密码要求,不遵守要求的承包商可能会受到巨额罚款和集体诉讼。
政府合同对于任何组织来说都是非常有吸引力的,从最近科技公司为国防部 JEDI 项目的激烈竞争就可以看出来,该项目的资金超过一百亿美元。
与政府机构进行合作的组织必须遵守一套安全标准和规范,其中最关键的是由美国国家科学技术研究院(NIST)在安全领域制定的标准,包括识别、认证、信息存储和处理等。
国防部希望与其合作的组织也必须遵守《国防联邦采购法规补充条款》(DFARS),这是一套适用于美国民用和国防单位的标准。
便利与安全
多年来,安全专家建议使用由小写字母、大写字母、数字和符号组成的长且复杂的密码(要求用户输入类似!V4Dv$hJUF2g%J的密码)。此外,这还不够,还要求用户为每个账户设计唯一的密码,并且每隔几个月就更改一次。
事实上,复杂的密码很难被人记住,大多数的用户不会找到合适的解决办法。很多人会将密码存储在文本文件中,或者在不同账户间重用相同的密码。
出于这些考虑,NIST 放宽了有关密码的要求。复杂的密码不必要定期更改,NIST 建议使用介于 8 到 64 个字符的密码,并在怀疑密码泄露的时候进行修改即可。在修改新密码前,还要对照已泄露的密码列表进行检查,例如Have I Been Pwned。
NIST 认为密码的复杂度已经达到极限了,计算机每年都在变得越来越快,功能也越来越强大。
密码存储和管理
组织一旦解决了密码复杂度的问题,密码存储就会变成更大的问题。密码存储在服务器之前,必须进行哈希处理。实际上,纯文本密码存储比简单的密码还糟糕。
如今,大多数组织都能够保证存储密码的哈希值。但仅仅这样还不够,还必须控制对这些密码的访问,并确保未经授权的人员不能访问密码。例如,Facebook 的纯文本密码存储可供员工进行搜索。
组织面临的另一个挑战是检测并阻止恶意访问尝试,必须检测并阻止多次失败的访问尝试,
多因子身份验证
显然,仅凭密码不足以保护用户。简而言之,MFA 通过要求用户提供他们知道的信息(如密码)、持有的信息(如移动 App 或安全密钥)、拥有的信息(如生物特征)来验证用户身份。
DFARS 认证某些类型的多因子认证,包括安全存储在端点上的证书(如钥匙串、TPM 或 TEE)。此外,还必须严格保护密钥,防止未授权的密钥泄露。最后,组织必须确保密钥不能在多个设备之间传递。
不过使用多因子认证也会遇到问题,许多用户每次访问账户都会遇到输入密码的问题。在登录过程中输入额外的一次性密码或生成物理密钥所带来的麻烦通常令人反感,优选的话用户会完全禁用多因子认证。
为政府合同做好准备
CISO 和 IT 安全团队的最终目标是最大程度地提高安全性,同时保持员工的可访问性与易用性。当增加遵守严格的网络安全和隐私法律的需求时,这可能更难实现,成本也会更加高昂。用户身份验证的挑战也许正表明了便利和安全的冲突。幸运的是,如今各种解决方案可为所有的数字资产提供更好的安全性、更方便的合规性和更高的用户满意度,帮助组织为各种情况做好准备。