本指南提供現代化的密碼使用指南和建議,讓建構安全線上應用程式的設計人員和工程師取得相關資訊。相關指南「提供給使用者的現代化密碼安全性建議」可為使用者提供指引。本指南將說明建構密碼驗證系統時,應考慮的多種選項。並針對密碼政策和儲存空間,建立一套以使用者為重點的建議,包括密碼強度和可用性的平衡。
自電腦運算的早期開始,科技界就一直致力於改善密碼。共用知識驗證方式存在問題,因為資訊可能會落入他人手中,或遭遺忘。系統不支援實際安全用途,以及使用者經常選擇捷徑,都會放大這個問題。
根據 2019 年 Yubico/Ponemon 研究,69% 的受訪者承認會與同事分享密碼,以便存取帳戶。超過半數的受訪者 (51%) 會在商務和個人帳戶中重複使用平均五個密碼。此外,雖然雙重驗證 (2FA) 可提供比使用者名稱和密碼更強的保護,但仍未廣泛使用。在受訪者中,有 67% 的人在個人生活中不使用任何形式的 2FA,且 55% 的人在工作中不使用 2FA。
為現代應用程式設計的密碼系統,也可能允許甚至鼓勵使用者使用不安全的密碼。系統如果只允許單一因素憑證,且實施的安全性政策效率不彰,就會加劇這個問題。任意且不一致的規則會讓使用者以不安全的方式處理密碼,而密碼救援系統可能會讓使用者和應用程式遭受未考慮到的威脅類型攻擊。
總覽
本文將概述以下內容:
- 可信賴的來源,提供經過深思熟慮的密碼安全性研究資訊
- 針對設計密碼管理系統的工程師提供的最佳化建議
- 常見的反面模式和密碼安全性都市傳說
- 需要進一步研究的主題
如要讀取完整的白皮書,請點選以下按鈕: