Kara Marfia Asked: 2009-05-05 10:25:35 +0800 CST2009-05-05 10:25:35 +0800 CST 2009-05-05 10:25:35 +0800 CST 用户密码年龄/复杂性策略 772 有没有人有任何资源来为我的用户确定合理的密码策略?我个人的倾向是提高密码的复杂性,并允许他们减少更改密码的频率,以作为一种妥协。与 5 或 10 年前相比,我的普通用户似乎对混合某些数字和特殊字符的容忍度更高。 我正在寻找可用于支持我提议的政策变更的经验法则和/或资源。甚至是来自有更多经验的人的轶事信息。 (我远不是安全专家,所以如果这只是模糊处理,让我们将问题缩小到仅适用于内部 Windows 网络密码,尽管我会对人们在 VPN 和网络方面所做的事情感兴趣服务政策) security password 9 个回答 Voted Best Answer Brent 2009-05-05T10:46:55+08:002009-05-05T10:46:55+08:00 在当今随机暴力密码攻击的世界中,我倾向于同意这样的说法:写下来的好密码比容易猜到的记忆密码更好 Scott 2009-05-05T10:39:18+08:002009-05-05T10:39:18+08:00 这是密码强度的一个很好的比较: http://www.lockdown.co.uk/?pg=combi user640 2009-05-05T10:36:34+08:002009-05-05T10:36:34+08:00 通过考虑用户愿意使用的内容,您正在做正确的事情。如果您强制使用必须经常更改的高度复杂的密码,您会发现您的便利贴消费量会猛增。 Liudvikas Bukys 2009-05-05T12:58:49+08:002009-05-05T12:58:49+08:00 Purdue's CERIAS 的 Gene Spafford对这个主题做出了明智的贡献。这是部分引用: 那么“每月更改一次密码”的格言是从哪里来的呢?早在人们在没有网络的情况下使用大型机的时代,最大的不受控制的身份验证问题就是破解。然而,资源是有限的。据我所知,一些国防部承包商做了一些粗略的计算,计算使用他们的大型机运行所有可能的密码需要多长时间,结果是几个月。因此,他们(有些合理地)设置了 1 个月的密码更改期,作为阻止系统破解尝试的一种手段。然后,这被载入政策,该政策已出版,多年来在很大程度上被其他人所接受。随着时间的推移,审计人员开始寻找这一点,并最终将其构建到他们期望的“最佳实践”中。 尽管任何合理的分析都表明每月更改一次密码对提高安全性的影响很小或没有最终影响,但这是事实! 这是基于 30 年前在 DoD 环境中使用非联网大型机的经验得出的“最佳实践”——几乎无法与当今的系统相匹敌,尤其是在学术界! Wilka 2009-05-05T10:51:41+08:002009-05-05T10:51:41+08:00 我更赞成使用更长的密码(实际上,这意味着你会记住它们的多词短语)而不是混合单词和数字。如果你强迫人们添加数字,他们更有可能做一些简单的事情,比如用 1 替换 i 等,这不会给你带来太多的安全感。 http://www.iusmentis.com/security/passphrasefaq/ Pierre-Luc Simard 2009-05-05T11:25:58+08:002009-05-05T11:25:58+08:00 有大量关于密码策略的材料。我建议看看 关于密码策略的维基百科文章 SANS密码策略文档。 NIST sp800-118 草案标题为企业密码管理指南 现在,必须说一下密码健全性。事实是,很难记住的密码被写下来了。对于必须经常更改的密码也是如此。最重要的是,这取决于您要保护的内容和您的用户群。 The Fairy 2009-07-02T01:17:49+08:002009-07-02T01:17:49+08:00 该策略应反映用户使用计算机的目的、用户处理计算机上的敏感信息的程度。如果它只是为了包含用户的偏好,那么如果其他一切都准备就绪来击退攻击,那么您实际上并不需要对其进行大量强化。如果情况相反,我宁愿让那些抱怨要记住的复杂密码的用户感到恼火。 我脑子里一直有大约 20 个复杂的密码,我已经开始使用键盘上的模式来创建它们来记住它们。它更容易,因为我只需要知道起点和制作什么样的图案。每个人都讨厌更改密码,但这种技术让我可以轻松地更改密码并记住它们,所以安全性很严格......至少对我来说。我什至可以在一张纸上记下一个字母,仍然记得要制作什么图案,而且我真的不太记得。但是,如果这对任何人都有用..我不知道。 写下一个复杂的密码而不混淆它对我来说似乎是错误的。如果有人试图以物理方式闯入计算机,您可以确定他们会寻找一些线索。 Milner 2009-05-05T10:34:48+08:002009-05-05T10:34:48+08:00 我相信,当我在一家医疗机构工作时,我们的一些要求来自 HIPAA。我没有看过 SOX regs(我想我现在在保险界遵守),但他们可能有一些类似的语言作为这类事情的基础。 除此之外,如果您是大型 IT 组织(大型公司的分支机构)的一部分,则该公司可能有可以遵守的规则。 底线必须是,无论实施何种政策,高级管理层都会对其进行祝福,并且最好将其写入所有员工都需要了解/遵守的安全或 IT 政策中。它不需要是严格的(每 180 天更改一次密码,字母和数字的组合),但它应该是公司政策,所以每个人都对要求非常清楚。 teh dave 2009-07-01T23:42:08+08:002009-07-01T23:42:08+08:00 有一些很好的建议,所以我只想添加这个: 只要您能够确保您可以免除该政策...我的记忆力很好,所以我个人更喜欢能够使用 18 个字符的密码,这对于 6 个月或更长时间来说非常复杂简单的一个,我必须每月更换一次。 请记住,仅使用小写和大写字母和空格的 16 字符密码给出 53^16 组合或 3.876*10^27,而使用小写和大写字母、数字和符号的 10 字符密码仅给出 95^10 或 5.987 *10^19。
在当今随机暴力密码攻击的世界中,我倾向于同意这样的说法:写下来的好密码比容易猜到的记忆密码更好
这是密码强度的一个很好的比较:
http://www.lockdown.co.uk/?pg=combi
通过考虑用户愿意使用的内容,您正在做正确的事情。如果您强制使用必须经常更改的高度复杂的密码,您会发现您的便利贴消费量会猛增。
Purdue's CERIAS 的 Gene Spafford对这个主题做出了明智的贡献。这是部分引用:
我更赞成使用更长的密码(实际上,这意味着你会记住它们的多词短语)而不是混合单词和数字。如果你强迫人们添加数字,他们更有可能做一些简单的事情,比如用 1 替换 i 等,这不会给你带来太多的安全感。
http://www.iusmentis.com/security/passphrasefaq/
有大量关于密码策略的材料。我建议看看
现在,必须说一下密码健全性。事实是,很难记住的密码被写下来了。对于必须经常更改的密码也是如此。最重要的是,这取决于您要保护的内容和您的用户群。
该策略应反映用户使用计算机的目的、用户处理计算机上的敏感信息的程度。如果它只是为了包含用户的偏好,那么如果其他一切都准备就绪来击退攻击,那么您实际上并不需要对其进行大量强化。如果情况相反,我宁愿让那些抱怨要记住的复杂密码的用户感到恼火。
我脑子里一直有大约 20 个复杂的密码,我已经开始使用键盘上的模式来创建它们来记住它们。它更容易,因为我只需要知道起点和制作什么样的图案。每个人都讨厌更改密码,但这种技术让我可以轻松地更改密码并记住它们,所以安全性很严格......至少对我来说。我什至可以在一张纸上记下一个字母,仍然记得要制作什么图案,而且我真的不太记得。但是,如果这对任何人都有用..我不知道。
写下一个复杂的密码而不混淆它对我来说似乎是错误的。如果有人试图以物理方式闯入计算机,您可以确定他们会寻找一些线索。
我相信,当我在一家医疗机构工作时,我们的一些要求来自 HIPAA。我没有看过 SOX regs(我想我现在在保险界遵守),但他们可能有一些类似的语言作为这类事情的基础。
除此之外,如果您是大型 IT 组织(大型公司的分支机构)的一部分,则该公司可能有可以遵守的规则。
底线必须是,无论实施何种政策,高级管理层都会对其进行祝福,并且最好将其写入所有员工都需要了解/遵守的安全或 IT 政策中。它不需要是严格的(每 180 天更改一次密码,字母和数字的组合),但它应该是公司政策,所以每个人都对要求非常清楚。
有一些很好的建议,所以我只想添加这个:
只要您能够确保您可以免除该政策...我的记忆力很好,所以我个人更喜欢能够使用 18 个字符的密码,这对于 6 个月或更长时间来说非常复杂简单的一个,我必须每月更换一次。
请记住,仅使用小写和大写字母和空格的 16 字符密码给出 53^16 组合或 3.876*10^27,而使用小写和大写字母、数字和符号的 10 字符密码仅给出 95^10 或 5.987 *10^19。