PCI DSS对密码的要求是什么？

支付卡行业数据安全标准（PCI-DSS）规定了那些处理或存储持卡人数据的公司的行为准则。这些标准对于大多数在线销售商来说至关重要。

密码管理是PCI法规中最重要的方面之一。遵守相关规定的组织需要遵循符合PCI-DSS要求的密码策略。但实际上，这意味着什么呢？组织该如何调整其密码管理政策以符合法规要求呢？

PCI-DSS 4.0对合规性提出了重大修改，这些修改对企业如何保护持卡人数据产生了重要影响。了解这些更新后的要求对于保持合规性和避免处罚至关重要。

在本文中，我们将解释其中的关键内容。PCI-DSS 4.0对密码的要求同时，还需要列出符合行业规范所需的各项操作。此外，我们还将介绍一些重要的更新内容，比如密码规则以及更强大的认证方式。

PCI-DSS 4.0究竟是什么？

PCI DSS 4.0这是支付卡行业标准的最新版本，其中包含了一些重要的合规性变更。这一版本的主要特点如下：

• 更加重视云服务提供商和服务提供商的作用
• 扩展后的要求涵盖了更多的领域/范围
• 强调基于风险的安保策略
  
  

合规的截止日期是2024年3月31日，而许多新规定则将在2025年3月1日之前成为强制性规定。

其中一个重要的变化是“定制式解决方案”的引入。这一方法让企业能够更灵活地实现安全目标。企业可以根据自身需求来调整安全措施。其他更新还包括加强身份验证措施（例如采用多因素认证）、制定更严格的密码规则，以及提高对网络钓鱼攻击的防护能力。

许多新的要求都相当复杂且成本高昂，因此企业需要一定的时间来遵守这些要求。如果您所在的公司需要处理持卡人的数据，那么现在就应该开始为这些变化做好规划了。

了解PCI DSS 4.0中关于密码要求的规定

密码是攻击者最重要的攻击手段之一。这些数据可以被数据盗窃者和其他恶意行为者利用。攻击者可以通过暴力攻击来窃取用户的凭证，或者在线购买已泄露的密码。他们有时还会使用默认的密码来访问应用程序和持卡人的数据。

与密码相关的安全风险有很多。因此，PCI DSS 4.0的合规性要求中包含了一系列关于加强密码使用安全的措施。

密码安全是一般网络安全系统中的常见问题。要满足PCI支付卡行业对密码的要求，其实并不复杂。不过，……那些遵守规定的组织必须做到彻底、严谨。这个过程涉及许多步骤和措施，而这份清单则涵盖了所有这些方面。

要求1：使用强密码

一个强大的密码应该是…几乎无法猜测，而且与用户个人的信息无关。PCI-DSS 4.0的安全标准中包含了一组严格的要求，这些要求与强密码的使用密切相关。网络上的每个用户都必须遵守这些规定。

• 密码长度密码的长度应至少为7个字符。这是最低要求。理想情况下，各组织会要求使用更长的密码。更多 超过12个字符时，效果最佳。因此，超过这个最小长度就是更好的选择。 更理想的选择。密码中的字符数量越多，进行暴力攻击所需的计算量也就越大。因此，增加密码的长度是有意义的。
• 密码的复杂性指的是使用多种字符来创建密码。用户不应仅依赖由字母构成的简单密码。管理员必须要求用户同时使用大写字母和小写字母。此外，用户还应至少添加一个数字和一个特殊字符。
  
  

重要的是同时要求使用复杂的密码以及包含多种字符的密码。如果让用户独自处理密码生成任务的话，他们通常会选择使用由多个单词组成的长密码。这类密码通常被视为较弱的密码。虽然这些密码容易记忆，但也很容易被猜测到。因此，将多个单词组合在一起使用，就可以解决这个问题了。

要求2：选择独特的密码。

密码应该为每个用户单独设置，且不能重复。用户不应使用同一个账户来共享密码。每个用户都必须拥有自己的ID和密码。如果违反此政策，将会受到纪律处分。

用户不应在不同的服务上使用相同的密码。——甚至包括那些在个人生活中使用的服务。许多人依赖这些熟悉的术语来让生活变得更简单，但这样做是非常危险的。如果攻击者能够在某个平台上获取用户的凭据，那么他们就可以在所有的网关上访问用户的登录信息了。

要求3：定期更改用户的密码

最终，所有的密码都暴露了。PCI-DSS 4.0中的密码要求通过要求每个网络用户定期更换密码来解决这个问题。

PCI法规规定，用户应当……每90天更换一次密码。管理员不应依赖用户的主动行为来进行修改操作。90天的限制应该是这样的。 这是合规的密码策略的一部分。用户应在期限到期之前收到提醒邮件。如果未能在规定时间内做出任何更改，则访问权限将被拒绝。

管理员还应该防止用户重复使用相同的密码。为了方便起见，用户可以同时使用两个不同的密码。但从安全角度来看，这种方式存在风险。

要求4：对密码数据进行加密处理

各组织必须对其服务器上存储的所有密码数据进行加密处理，或者确保云服务提供商能够对所托管的数据进行加密处理。此外，网络传输过程中涉及的密码数据也应当被加密。建议使用256位级别的加密算法，因为该算法不存在已知的弱点。同时，应采用安全的存储方式来限制对加密密钥的访问权限。

要求5：在登录尝试失败后，排除这些用户。

密码策略应该包含相应的措施来……避免未经授权的登录行为PCI标准规定：用户最多只能进行六次登录尝试。

如果用户未能提供正确的凭据，系统就会拒绝其访问权限。此时，用户将无法访问该系统，直到他们通过安全渠道更改密码为止。与其让用户被长时间锁在门外，不如直接拒绝他们访问权限。用户需要向管理员报告这个问题。管理员可以检查是否存在潜在的威胁，并采取必要的措施来应对。

同样重要的是……确保用户不会重复使用已被破解的密码。用户通常会选择熟悉的密码来让事情变得更简单。但是，被破解的密码始终会带来安全风险。因此，应该让系统自动拒绝那些已经使用过的密码，并提示用户重新选择一个新的密码。

要求6：强制实施会话超时机制

不活跃的用户构成了严重的安全威胁，PCI标准也认可这一点。不活跃状态可能意味着员工已经离开了他们的工作站。如果员工是在远程工作时出现这种情况，那么安全团队就无法知道在员工离开期间设备是否仍然处于暴露状态。

为了实现PCI合规性，管理员应在用户处于不活动状态超过15分钟后，自动将其排除在外。警报可以提醒用户，超时时间即将到来。不过，强制实施超时机制是降低数据泄露风险的有效方法。

要求7：更改所有供应商的默认密码

企业在其持卡人数据环境中依赖第三方应用程序和设备。所有这些服务都带有默认设置，其中包括密码。这些密码通常要么公开可用，要么很容易被猜出。

如果管理员未能更改默认密码，那么攻击者很容易就能获取信用卡信息。因此，应将此类更改纳入基本安全策略中。同时，必须为所有账户设置独特的密码。

PCI 4.0的密码要求是否足以防止网络攻击呢？

PCI-DSS 4.0中的密码管理规定，不应被视为能够完全防范网络攻击的防护措施。这些规定旨在保护持卡人的数据，降低数据泄露的风险。不过，如果没有相应的加强措施，这些规定仍然给攻击者留下了很大的可乘之机。依赖PCI-DSS的相关规定是一种风险较高的策略。

密码并非唯一的网络安全问题。企业还需要制定相应的策略来应对这些挑战。加固网络设备，保护网络边缘的安全性防火墙、威胁检测系统以及访问管理都发挥着各自的作用。

远程访问也是一种重要的安全风险。强大的密码也无法消除这种风险。与远程工作相关的安全风险企业需要使用安全的网关和虚拟私人网络来加密传输的数据。此外，他们还需要……培训员工，以预防网络钓鱼攻击。如果员工通过点击恶意链接来破坏网络资产，那么密码政策就毫无意义了。

如何加强PCI支付安全密码的要求呢？

在线企业应采取一切可能的措施来降低数据泄露的风险。PCI-DSS中关于密码管理的要求虽然有用，但远远不够。还有其他多种方式可以补充PCI-DSS的规定，比如增加额外的控制措施来确保敏感数据的安全性。

实施多因素认证机制。

MFA和双因素认证（2FA）又增加了防止未经授权访问的屏障。这两种系统共同起到了保护系统安全的作用。在允许访问请求之前，需要用户提供额外的凭证或认证信息。

设计多因素认证解决方案的方法有很多。例如，双因素认证可以通过电子令牌或智能手机来发送一次性密码来实现。此外，多因素认证还可以利用生物识别技术，比如视网膜扫描和指纹识别等方式来实现。

MFA的最佳实践建议，是在没有充分规划的情况下不要使用多种认证方式。尽可能简化访问流程是非常重要的。如果用户体验过于复杂，用户可能会通过不安全的手段来绕过认证系统。因此，需要权衡MFA与2FA各自的优缺点，同时考虑企业的实际情况。

重点保护持卡人数据环境中的关键部分。这样就能满足PCI-DSS的要求，同时减少网络中其他部分需要进行的繁琐认证流程。

2. 使用安全的密码管理器来管理密码。

密码管理器可以自动化许多与PCI认证相关的密码管理要求，从而让管理员和用户的操作变得更加简单。这样的密码管理解决方案将会带来诸多好处：

• 自动生成强大且独特的术语。
• 确保密码不会被重复使用。
• 禁止不同账户之间共享密码。
• 通过加密方式，确保密码数据的安全存储。
• 简化用户更改密码或解决访问问题的流程。
  
  

使用密码管理器后，用户可以在不损害安全性的情况下自动填写登录表单。密码不会被存储在本地，而是采用极其安全的加密技术进行保护，从而有效防止凭证被窃取的情况发生。

这些先进的密码管理器将各种功能与密码存储功能相结合。这些安全的认证令牌可以替代基于字符的密码，同时还能很好地与移动设备配合使用。

3. 使用威胁情报工具来筛查被泄露的密码。

网络攻击者经常窃取并出售用户的认证信息。不过，那些被列为目标的组织，并不总能意识到有信息泄露的情况发生。这样一来，就为通过窃取密码来进行攻击提供了机会。攻击者可以轻易地劫持现有的账户，而用户或管理员根本不会察觉到他们的行为。

威胁情报数据库提供了一种解决方案。这些工具能够帮助我们应对各种威胁。持续监控暗网以及其他市场，以发现被窃取的用户凭据。当网络用户试图使用被盗取的密码时，系统会自动发出警报。如果系统检测到有匹配的密码，就会强制要求用户更换密码。

4. 维护一个密码黑名单。

用户通常选择使用简单的密码来简化访问流程。但从 PCI 合规性的角度来看，这种方式风险太大了。企业应该利用所有可用的工具，将数据库中不再使用的简单密码淘汰掉。首先，屏蔽常用的术语是一个不错的开始方式。.

密码拦截列表中包含一些常用的词汇，比如“ABC123”或“default”这样的密码。你可以修改拦截列表的设置，以添加常见的词汇。让阻塞行为具有上下文特异性。例如，您可能希望屏蔽与用户的职位、姓名或所在地相关的任何关键词。

结论：通过精心规划，可以满足PCI认证密码的相关要求。

有效的密码政策是满足PCI合规要求的关键部分。PCI-DSS法规要求各组织必须对此加以重视。使用强度高且定期更换的密码。遵守规定的公司必须……对密码数据进行加密处理，管理失败的登录尝试，并对不活跃的用户实施超时限制。此外，共享用户的密码也是绝对被禁止的。

多因素认证、密码管理器以及威胁情报工具需要增加额外的安全措施。虽然对于较低级别的PCI合规性来说，这些措施可能并不必要，但在更高级别的PCI合规性要求下，这些措施则至关重要。

实施这些措施需要一定的规划。密码策略必须涵盖所有用户，包括那些拥有CDE访问权限的第三方用户。管理员们也需要采取相应的措施来保障这一点。需要评估供应商提供的应用程序，以移除其中的默认密码。