美國政府要求政府項目承包商必須滿足 DFARS 密碼要求，不遵守要求的承包商可能會受到巨額罰款和集體訴訟。

政府合同對于任何組織來說都是非常有吸引力的，從最近科技公司為國防部 JEDI 項目的激烈競爭就可以看出來，該項目的資金超過一百億美元。

與政府機(jī)構(gòu)進(jìn)行合作的組織必須遵守一套安全標(biāo)準(zhǔn)和規(guī)范，其中最關(guān)鍵的是由美國國家科學(xué)技術(shù)研究院(NIST)在安全領(lǐng)域制定的標(biāo)準(zhǔn)，包括識別、認(rèn)證、信息存儲和處理等。

國防部希望與其合作的組織也必須遵守《國防聯(lián)邦采購法規(guī)補(bǔ)充條款》(DFARS)，這是一套適用于美國民用和國防單位的標(biāo)準(zhǔn)。

便利與安全

多年來，安全專家建議使用由小寫字母、大寫字母、數(shù)字和符號組成的長且復(fù)雜的密碼(要求用戶輸入類似!V4Dv$hJUF2g%J的密碼)。此外，這還不夠，還要求用戶為每個賬戶設(shè)計唯一的密碼，并且每隔幾個月就更改一次。

事實上，復(fù)雜的密碼很難被人記住，大多數(shù)的用戶不會找到合適的解決辦法。很多人會將密碼存儲在文本文件中，或者在不同賬戶間重用相同的密碼。

出于這些考慮，NIST 放寬了有關(guān)密碼的要求。復(fù)雜的密碼不必要定期更改，NIST 建議使用介于 8 到 64 個字符的密碼，并在懷疑密碼泄露的時候進(jìn)行修改即可。在修改新密碼前，還要對照已泄露的密碼列表進(jìn)行檢查，例如Have I Been Pwned。

NIST 認(rèn)為密碼的復(fù)雜度已經(jīng)達(dá)到極限了，計算機(jī)每年都在變得越來越快，功能也越來越強(qiáng)大。

密碼存儲和管理

組織一旦解決了密碼復(fù)雜度的問題，密碼存儲就會變成更大的問題。密碼存儲在服務(wù)器之前，必須進(jìn)行哈希處理。實際上，純文本密碼存儲比簡單的密碼還糟糕。

如今，大多數(shù)組織都能夠保證存儲密碼的哈希值。但僅僅這樣還不夠，還必須控制對這些密碼的訪問，并確保未經(jīng)授權(quán)的人員不能訪問密碼。例如，F(xiàn)acebook 的純文本密碼存儲可供員工進(jìn)行搜索。

組織面臨的另一個挑戰(zhàn)是檢測并阻止惡意訪問嘗試，必須檢測并阻止多次失敗的訪問嘗試，

多因子身份驗證

顯然，僅憑密碼不足以保護(hù)用戶。簡而言之，MFA 通過要求用戶提供他們知道的信息(如密碼)、持有的信息(如移動 App 或安全密鑰)、擁有的信息(如生物特征)來驗證用戶身份。

DFARS 認(rèn)證某些類型的多因子認(rèn)證，包括安全存儲在端點上的證書(如鑰匙串、TPM 或 TEE)。此外，還必須嚴(yán)格保護(hù)密鑰，防止未授權(quán)的密鑰泄露。最后，組織必須確保密鑰不能在多個設(shè)備之間傳遞。

不過使用多因子認(rèn)證也會遇到問題，許多用戶每次訪問賬戶都會遇到輸入密碼的問題。在登錄過程中輸入額外的一次性密碼或生成物理密鑰所帶來的麻煩通常令人反感，優(yōu)選的話用戶會完全禁用多因子認(rèn)證。

為政府合同做好準(zhǔn)備

CISO 和 IT 安全團(tuán)隊的最終目標(biāo)是最大程度地提高安全性，同時保持員工的可訪問性與易用性。當(dāng)增加遵守嚴(yán)格的網(wǎng)絡(luò)安全和隱私法律的需求時，這可能更難實現(xiàn)，成本也會更加高昂。用戶身份驗證的挑戰(zhàn)也許正表明了便利和安全的沖突。幸運的是，如今各種解決方案可為所有的數(shù)字資產(chǎn)提供更好的安全性、更方便的合規(guī)性和更高的用戶滿意度，幫助組織為各種情況做好準(zhǔn)備。