面向系统设计师的现代密码安全性指南

本指南为致力于打造安全无虞的在线应用的设计师和工程师提供现代密码指南、示范和建议。《面向用户的现代密码安全性指南》这一相关指南则为最终用户提供指导。本指南介绍了在构建基于密码的身份验证系统时需要考虑的各种选项。它还提出了一系列以用户为中心的关于密码政策和存储的建议,其中包括平衡密码强度和易用性。

从计算的早期开始,技术界就一直努力对密码进行改进。由于信息可能会落入坏人之手或者被遗忘,因此共享知识身份验证就存在问题。由于一些系统不支持现实世界安全用例,并且一些用户经常决定走捷径,此问题变得更加严重。

根据 2019 年 Yubico/Ponemon 的研究,69% 的受访者承认与同事分享过访问账号的密码。超过半数 (51%) 的受访者将平均五个密码在公司账号和个人账号之间重复使用。此外,虽然双重身份验证 (2FA) 在用户名和密码之外提供了额外的保护,但它并没有得到广泛使用。67% 的受访者在个人生活中没有使用任何形式的 2FA,55% 的受访者在工作中没有使用 2FA。

专为现代应用设计的密码系统还可能允许(甚至鼓励)用户使用不安全的密码。只允许单重凭据以及实施无效安全政策的系统会使此问题更加严重。使用任意规则和不一致的规则会导致用户以不安全的方式处理密码,并且密码恢复系统可能会让用户和应用容易受到意外威胁类别的攻击。

概览

本文档概述了以下内容:

  • 详尽周全的密码安全性研究资料的可信来源
  • 向设计密码管理系统的工程师提出的建议
  • 关于密码安全性的常见反面素材和传闻
  • 其他研究主题

要阅读完整的白皮书,请点击以下按钮:

下载 PDF