NIST 800-63B 密码规则：现代密码策略指南

NIST 800-63B 对密码安全提出了重大更新，取消了许多已被证明效率低下的传统要求，例如强制定期更换密码或要求复杂字符组合（必须包含大写字母、小写字母、数字和特殊符号）。这些要求往往导致用户选择可预测的密码或将密码记录下来，从而降低实际安全性。

现代指南强调 短语密码 的使用，即使用更长且容易记忆的短语而非短而复杂的密码。长短语不仅提高了密码的熵值，也使得密码更难以通过暴力破解或字典攻击猜测。例如，短语“绿色河流2026!”长度适中，组合复杂，但对用户来说易于记忆。

NIST 800-63B 强调 用户友好性。用户应能创建自己容易记住的密码，同时仍保持高安全性。通过这种方式，可以减少密码重复使用和记录密码的情况，从而整体提高账户安全性。

另一个核心要素是 多因素认证 (MFA)。对于高风险系统，MFA 是必需的。结合密码（用户已知信息）、硬件令牌或手机（用户拥有物品）以及生物特征（用户独有信息），能够显著降低仅依赖密码的风险，提高系统整体安全性。

此外，该指南建议检查用户密码是否出现在常用密码或已泄露的密码列表中，从而防止使用易猜测或被泄露过的密码。同时，NIST 不再推荐任意复杂性规则和安全性低的问题用于密码恢复，而是通过结合密码长度、熵值和多因素认证来提升安全性。

总的来说，NIST 800-63B 的现代密码策略优先考虑短语密码、高熵、安全性与用户便利性相结合，并取消过时的密码复杂性和强制更换要求。遵循这些指南可以帮助组织在提升安全性的同时，也提升用户体验，减少数据泄露风险。