國家表演藝術中心國家兩廳院資通安全管理制度
歡迎來到我們的資通安全制度網站,我們深知在數位化時代,資訊安全的重要性日益提升,我們致力於建立一個安全、可信賴的營運環境。
密碼過期政策的時間軸
2025-10-28
密碼應該多久更換一次,90天、120天、180天,由國際標準與現代密碼學訂立的原因,檢視資安思維的變遷。
密碼政策演變的時間軸
時間軸
timeline title 密碼政策演變的關鍵里程碑 section 創始與早期標準化 1970-1085 : 1970 美國國防部引入密碼過期概念 : 1983-1985年 橘皮書》發布與標準化 : 1985年 國防部發布《密碼管理指南》 section 技術擴散與法典化 1980-2000 : 1980-1990 Unix/Linux 實作密碼時效功能 : 1990-2000 微軟將密碼過期整合至 Windows NT : 2000 密碼過期被納入 ISO 27001 和 PCI-DSS section 挑戰與典範轉移 2010 - 2023 : 2010年 學術研究挑戰政策有效性 : 2017年 NIST SP 800-63B 建議放棄定期過期 : 2019年 微軟建議移除密碼過期政策 : 2022年 PCI-DSS 4.0 將過期改為非強制性 : 2023年 ISO 27001(2022) 將固定週期政策改為險導向政策
整理表
| 時間點 | 關鍵事件 |
|---|---|
| 約1970年代 | 美國國防部(DoD)在大型主機系統上引入密碼過期概念,作為對抗當時緩慢雜湊破解能力的防禦手段。 |
| 1983-1985年 | 《受信任電腦系統評估準則》(TCSEC,俗稱「橘皮書」)發布並標準化,建立了以問責制和身份驗證為核心的正式資安框架,為密碼過期等政策提供了理論土壤。 |
| 1985年 | 美國國防部發布《密碼管理指南》,正式確立了定期變更密碼等作法。 |
| 約1980年代末/1990年代初 | Unix/Linux系統透過影子密碼檔(shadow password file)和chage等工具,實作了密碼時效(aging)功能。 |
| 約1990年代 | 微軟將密碼過期政策整合至Windows NT,後續透過Active Directory群組原則進行集中管理,使其在企業界大規模普及。 |
| 約2000年代 | 密碼過期被納入ISO 27001和PCI-DSS等主要合規性框架,成為一項強制性要求。 |
| 約2010年 | 學術研究(如北卡羅來納大學的研究)開始提供強有力的實證數據,證明該政策對使用者行為產生了反效果。 |
| 2017年 | NIST發布特別出版物800-63B,正式建議放棄定期密碼過期政策,轉而採用基於證據的替代方案。 |
| 2019年 | 微軟正式將其安全基準與NIST指南對齊,建議移除密碼過期政策。 |
| 2022年 | PCI DSS 4.0版將90天密碼變更要求改為非強制性,前提是實施了多因素驗證(MFA)等更強的控制措施,標誌著合規性領域的重大轉變。 |
國際標準的變更
ISO 27001
| 特性 | ISO 27001:2013 (A.9.4.3) | ISO 27001:2022 (A.5.17, A.8.5) |
|---|---|---|
| 主要控制項 | A.9.4.3 密碼管理系統 | A.5.17 鑑別資訊 A.8.5 安全鑑別 |
| 變更週期 | 鼓勵固定的、定期的密碼變更 (例如每 90 天) | 不鼓勵固定的變更週期 |
| 變更時機 | 依排程 (Schedule-based) | 依風險(Risk-based),例如懷疑遭外洩時 |
| 控制重點 | 密碼時效性 (Aging) | 1.多因子鑑別 (MFA) 2. 密碼強度 (長度、黑名單) 3. 登入監控 (Throttling) |
PCI-DSS
| 特性 (Feature) | PCI-DSS 3.0 / 3.2.1 | PCI-DSS 4.0 |
|---|---|---|
| 主要控制項 | Req 8.2.4 | Req 8.3.6(定義方法) Req 8.3.9 / 8.3.10(配套) |
| 變更週期要求 | 強制性 (Prescriptive) • 嚴格要求使用者密碼至少每 90 天變更一次。 • 這是唯一被接受的方法。 | 彈性選項 (Flexible) • 提供了兩種路徑: 1.**定義方法 (Defined Approach):**沿用 90 天變更規則 (Req 8.3.6)。 2.客製化方法 (Customized Approach):允許組織不使用 90 天規則,但必須… |
| 替代方案 | 無 | 客製化方法 (Customized Approach) • 組織必須實施替代控制,例如: • 動態分析帳戶安全狀態(風險評估)。 • 在偵測到風險(如異常登入、密碼外洩)時才鎖定或強制變更。 • 前提:組織必須進行詳細的風險分析,並向稽核員 (QSA)證明其客製化方法的安全性等同或高於90 天規則。 |
| 配套的密碼要求 | Req 8.2.3: 長度最少7字元。 Req 8.2.5: 密碼歷史(不得重複)最少4次。 | Req 8.3.9: 長度最少12字元。 Req 8.3.10: 密碼歷史(不得重複)最少12次。 |
PCI-DSS 規則分析
PCI-DSS 4.0 在密碼變更週期上的立場,與 NIST 和 ISO 的最新指引一致:
- 不鼓勵無意義的 90 天密碼變更。
- 鼓勵組織實施更有效的控制,如:
- MFA (多因子鑑別) (在 v4.0 中被大幅強化)。
- 更長的密碼 (12 字元)。
- 基於風險的鑑別 (動態分析)。
NIST 800-63B
| 特性 | 傳統方法 (NIST SP 800-63B 之前) | 現代方法 (NIST SP 800-63B 及之後) | 變更理由 |
|---|---|---|---|
| 過期 | 強制性、定期變更(例如,每60-90天)。 | 無定期變更。僅在有洩漏證據時才變更。 | 定期變更導致密碼弱化且可預測,對現代威脅幾乎無益。 |
| 長度 | 通常較短(例如,最小8個字元)。 | 鼓勵使用長密碼(例如,單因素驗證15個字元以上)。 | 長度是抵抗離線暴力破解攻擊的最重要因素。 |
| 複雜性 | 強制性的組成規則(例如,混合字元類型)。 | 不強加組成規則。允許任何字元,包括空格和Unicode。 | 強制規則導致可預測的使用者模式(例如P@ssword1),妨礙記憶,且未顯著增加強度。 |
| 密碼歷史 | 強制執行以防止立即重用舊密碼(例如,記住最近24個)。 | 重要性降低;被封鎖清單篩選所取代。 | 封鎖清單篩選更有效,它能阻止重用任何已知的不良密碼,而不僅僅是使用者自己的近期密碼。 |
| 變更觸發 | 日曆(時間的流逝)。 | 洩漏的證據(例如,在資料外洩中發現密碼、可疑登入)。 | 將安全措施集中於實際、已確認的風險,而非籠統的、基於時間的預防措施。 |
NIST 800-63B 規則差異
- 主要差異
- NIST 800-63B 之前 (NIST 800-63-2 為代表): 強制 至少每 90 天變更一次密碼。
- NIST 800-63B (現行版本): 明確建議不要 強制定期變更密碼。
- NIST 800-63-2 的邏輯
- 邏輯:如果攻擊者竊取了密碼,而使用者在 90 天後更換了密碼,攻擊者的存取權就會失效。
- 研究:
- 攻擊即時性: 攻擊者竊取密碼後,通常會立即使用,而不是等待 89 天。
- 可預測的行為: 為了應付每 90 天的強制變更,使用者會發展出「最小變動」策略,例如
Password!Spring24、Password!Summer24、Password!Fall24使得新密碼變得極易猜測,反而降低了安全性。 - 依賴複雜性: 強制要求 (A, a, 1, !) 的組合,也導致了可預測的模式,例如大多數人會將 ! 和 1 放在密碼結尾。
- NIST 800-63B 的邏輯
- 邏輯: 與其防禦一個已經失效的「老化」威脅,不如專注於防禦「密碼被猜到」和「密碼被盜用」。
- 研究(替代控制):
- 密碼黑名單 (SHALL): 系統必須阻止使用者設定 password123, qwerty 或任何在已知外洩事件中出現過的密碼。這比「複雜性」規則能更有效地過濾掉弱密碼。
- 長度優於複雜性: NIST 鼓勵使用更長的「密碼片語 (Passphrase)」(例如 correct-horse-battery-staple),並不建議強制使用符號組合,因為長度才是對抗暴力破解的關鍵。
- 多因子鑑別 (MFA): 800-63B 大幅提升了 MFA 的重要性,認為這才是應對密碼外洩最有效的單一控制措施。
- 基於風險的變更 (SHALL): 只有在密碼真正出問題時(例如在暗網上被兜售),才強制使用者變更,這樣使用者會更嚴肅地對待變更請求。
NIST 800-63B 使用的主要研究報告
- 北卡羅來納大學(University of North Carolina)
- The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Analysis
- https://www.cs.unc.edu/~reiter/papers/2010/CCS.pdf
- https://www.cs.unc.edu/~fabian/papers/PasswordExpire.pdf
- 卡爾頓大學(Carleton University)
- Quantifying the Security Advantage of Password Expiration Policies
- http://people.scs.carleton.ca/~paulv/papers/expiration-authorcopy.pdf
- 卡內基梅隆大學(Carnegie Mellon University)
- Measuring Password Guessability for an Entire University
- https://www.cylab.cmu.edu/_files/pdfs/tech_reports/CMUCyLab13013.pdf