证书颁发机构不再用更改密码啦！

通过一年多的努力，Ballot SC3近日被CA /B论坛一致经过。 这是论坛网络安全工做组提出的网络和证书系统安全要求的第一次重大升级。 它包含几个重要的改进，但其中一个特别重要：删除密码每90天更改一次的要求。 Ballot SC3容许证书颁发机构按期进行强制性密码更改策略，但声明若是没有理由更改它们（如妥协证据），密码必须至少保持有效两年。

许多年前，NIST建议公司要求用户按期更改密码。 大致思路是为了防止破坏旧密码的攻击者可以将它们用于当前系统。 这个建议被普遍采用，许多安全标准要求按期更改密码。

问题是，”好“的密码一般不适合用户记忆。若是存在额外的任意复杂性要求，例如须要包含大写字母，数字和/或特殊字符，则更难以记住它们。每90天生成并记住一个新的，独特且强大的密码，知足全部这些要求，这大大超出了正常人脑的能力。研究代表，这些强制性密码更改会显著引发用户找客服帮忙以及密码重置的必要性。

人们以各类可预测的方式适应了这些要求。大写字母一般是第一个字符，数字一般在结尾处，特殊字符位于两端之间，两个组件之间，或以可预测的方式替换字母（例如，'0'表明'o'，' 1'表明'l'，''表明'e'）。当他们须要更改密码时，他们也会以可预测的方式更改密码，例如经过递增数字或将大写字母移动到下一个字母。彻底厌倦了这些要求的用户使用“Summer2018！”这样的密码并不罕见，甚至这个密码如今极可能被您的一个用户使用。

因为这些更改是可预测的，所以很容易找到一种算法，该算法能够有效地找到用户的旧密码。 该研究于2010年发布（https://www.cs.unc.edu/~reiter/papers/2010/CCS.pdf）。 所以，密码更改策略会致使用户选择较弱的密码，增长支持成本，而且不会对攻击者形成重大成本。 这与良好的安全策略彻底背道而驰。

改变要求的部分阻力是公司一般必须遵照多种审计方案。 撤消此要求须要时间。 虽然Ballot SC3容许证书颁发机构当即放宽这些要求，但它会给予他们两年的宽限期，以便肯定如何遵照新要求。 幸运的是，NIST已经在NIST SP800-63B的附录A中发布了一些出色的指导，它正确地指出密码最重要的特征是它的长度，而且用户应该选择他们能够容易记住的强密码，但攻击者能够“猜猜”。 Lifewire提供了一种建立安全密码的简便方法。

一些组织已经更新了他们的标准以符合NIST的新指南，包括FedRamp在内的其余组织已表示他们但愿人们在预期将来更新时遵照该标准。 关于取消90天密码更改要求的最多见投诉，来自一样必须遵照PCI DSS要求的公司。采用NIST标准并取消90天密码更改要求将使公司无需单独管理PCI和非PCI系统的密码策略，而且能够下降没必要要的密码更改致使PCI兼容系统密码较弱的风险。

遗憾的是，论坛的网络安全工做组的任务已经到期，而且在CA /浏览器最近的治理改革变动下还没有更新。 但愿这项工做的成功能引导从新创建网络安全工做组，于是使咱们能够继续对网络和证书系统安全要求进行重要和必要的更改。

 

【来自SSL中国】