2018年2月24日 星期六

[研究] 密碼設定建議

[研究] 密碼設定建議

2018-02-24

蘋果日報:密碼安全法則翻新:毋須常更新
2017/08/09
https://tw.news.appledaily.com/international/daily/20170809/37743491/

現代密碼要求數字與字母混合、大小寫,發明者很後悔
2017-08-09發表
https://www.ithome.com.tw/news/116127

15 年前發明煩死人的密碼規則,Bill Burr:抱歉浪費大家時間
2017/8/10
https://www.inside.com.tw/2017/08/10/the-guy-who-invented-those-annoying-password-rules-now-regrets-wasting-your-time

煩死人的密碼規則禍首是他 發明人道歉:放錯重點
2017-08-11
https://udn.com/news/story/7088/2636942


密碼交錯字母、數字與符號不一定安全,密碼規則設定者為這形式感到後悔
發布日期 2017 年 08 月 10 日
https://ccc.technews.tw/2017/08/10/the-guy-who-invented-those-annoying-password-rules-now-regrets-wasting-your-time/

密碼規則的盲點與未來可能發展
邱述琛 -2017 / 12 / 05
https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=8549


********************************************************************************

NIST (National Institute of Standards and Technology,美國國家標準技術研究所)
2017年6月版《數位身分指南》《NIST Special Publication 800-63B Digital Identity Guidelines》
https://pages.nist.gov/800-63-3/sp800-63b.html

其中:

5.1.1.2 Memorized Secret Verifiers 記憶密碼驗證

Verifiers SHOULD NOT impose other composition rules (e.g., requiring mixtures of different character types or prohibiting consecutively repeated characters) for memorized secrets. Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.

不應強加其他組合規則(例如,要求不同字符類型的混合或禁止連續重複的字符),不應要求密碼任意改變(例如,週期性地)

Verifiers SHOULD permit claimants to use “paste” functionality when entering a memorized secret. This facilitates the use of password managers, which are widely used and in many cases increase the likelihood that users will choose stronger memorized secrets.

應該允許使用者在輸入密碼時使用“黏貼/複製貼上”功能。這有助於密碼管理器的使用,在許多情況下增加了使用者選擇更強大的密碼的可能性。

(完)

沒有留言:

張貼留言