有没有人有任何资源来为我的用户确定合理的密码策略?我个人的倾向是提高密码的复杂性,并允许他们减少更改密码的频率,以作为一种妥协。与 5 或 10 年前相比,我的普通用户似乎对混合某些数字和特殊字符的容忍度更高。
我正在寻找可用于支持我提议的政策变更的经验法则和/或资源。甚至是来自有更多经验的人的轶事信息。
(我远不是安全专家,所以如果这只是模糊处理,让我们将问题缩小到仅适用于内部 Windows 网络密码,尽管我会对人们在 VPN 和网络方面所做的事情感兴趣服务政策)
AskOverflow.Dev
在当今随机暴力密码攻击的世界中,我倾向于同意这样的说法:写下来的好密码比容易猜到的记忆密码更好
这是密码强度的一个很好的比较:
http://www.lockdown.co.uk/?pg=combi
通过考虑用户愿意使用的内容,您正在做正确的事情。如果您强制使用必须经常更改的高度复杂的密码,您会发现您的便利贴消费量会猛增。
Purdue's CERIAS 的 Gene Spafford对这个主题做出了明智的贡献。这是部分引用:
我更赞成使用更长的密码(实际上,这意味着你会记住它们的多词短语)而不是混合单词和数字。如果你强迫人们添加数字,他们更有可能做一些简单的事情,比如用 1 替换 i 等,这不会给你带来太多的安全感。
http://www.iusmentis.com/security/passphrasefaq/
有大量关于密码策略的材料。我建议看看
现在,必须说一下密码健全性。事实是,很难记住的密码被写下来了。对于必须经常更改的密码也是如此。最重要的是,这取决于您要保护的内容和您的用户群。
该策略应反映用户使用计算机的目的、用户处理计算机上的敏感信息的程度。如果它只是为了包含用户的偏好,那么如果其他一切都准备就绪来击退攻击,那么您实际上并不需要对其进行大量强化。如果情况相反,我宁愿让那些抱怨要记住的复杂密码的用户感到恼火。
我脑子里一直有大约 20 个复杂的密码,我已经开始使用键盘上的模式来创建它们来记住它们。它更容易,因为我只需要知道起点和制作什么样的图案。每个人都讨厌更改密码,但这种技术让我可以轻松地更改密码并记住它们,所以安全性很严格......至少对我来说。我什至可以在一张纸上记下一个字母,仍然记得要制作什么图案,而且我真的不太记得。但是,如果这对任何人都有用..我不知道。
写下一个复杂的密码而不混淆它对我来说似乎是错误的。如果有人试图以物理方式闯入计算机,您可以确定他们会寻找一些线索。
我相信,当我在一家医疗机构工作时,我们的一些要求来自 HIPAA。我没有看过 SOX regs(我想我现在在保险界遵守),但他们可能有一些类似的语言作为这类事情的基础。
除此之外,如果您是大型 IT 组织(大型公司的分支机构)的一部分,则该公司可能有可以遵守的规则。
底线必须是,无论实施何种政策,高级管理层都会对其进行祝福,并且最好将其写入所有员工都需要了解/遵守的安全或 IT 政策中。它不需要是严格的(每 180 天更改一次密码,字母和数字的组合),但它应该是公司政策,所以每个人都对要求非常清楚。
有一些很好的建议,所以我只想添加这个:
只要您能够确保您可以免除该政策...我的记忆力很好,所以我个人更喜欢能够使用 18 个字符的密码,这对于 6 个月或更长时间来说非常复杂简单的一个,我必须每月更换一次。
请记住,仅使用小写和大写字母和空格的 16 字符密码给出 53^16 组合或 3.876*10^27,而使用小写和大写字母、数字和符号的 10 字符密码仅给出 95^10 或 5.987 *10^19。