有没有人有任何资源为我的用户确定一个合理的密码政策? 我个人倾向于提高密码的复杂性,让他们不那么频繁地改变它们,作为一种妥协。 看起来,我的普通用户比5或10年前对某些数字和特殊字符的混音具有更高的容忍度。
我正在寻找可用于备份我提议的政策变更的经验法则和/或资源。 甚至从经验丰富的人那里轶事的信息。
(我离安全专家很远,所以如果这只是模糊处理,让我们缩小这个问题,只适用于内部的Windowsnetworking密码,但我会对人们在VPN和networking方面做的事情感兴趣服务政策)
在今天这个随机暴力密码攻击的世界中,我倾向于同意这样一个说法:logging好的密码比记忆的密码更好
以下是密码强度的一个很好的比较:
通过考虑用户愿意使用什么来做正确的事情。 如果你强制复杂的密码必须经常改变,你会发现你的便签纸的消费量将会飞涨。
来自Purdue的CERIAS的Gene Spafford对这个话题有一个明智的贡献。 以下是部分引用:
那么“每月更换一次密码”的口号是从哪里来的呢? 早在人们使用大型机而没有networking的时代,最大的不受控制的身份authentication问题就开始破裂。 然而,资源是有限的。 尽我所能,最好的情况是,一些国防部的承包商做了一些后台计算,计算使用大型机运行所有可能的密码需要多长时间,结果是几个月。 因此,他们(有点合理)设置了一个月的密码更改期限,作为打破系统破解企图的手段。 然后这个政策就被发表出来了,多年来基本上被其他人接受了。 随着时间的推移,审计人员开始寻找并最终将其build设成他们预期的“最佳实践”。 它也被写入了几个安全build议清单。
这是DESPITE的事实,任何合理的分析表明,每月密码更改对提高安全性没有多less或没有最终影响!
根据30年前在DoD环境中使用非联网主机的经验,这是一个“最佳实践” – 几乎不适合当今的系统,尤其是在学术界!
我更倾向于使用更长的密码(实际上,这意味着在您要记住的多词词组中),而不是混合使用文字和数字。 如果你强迫人们添加数字,他们更可能做简单的事情,如replace1等等,这不会给你带来很大的安全性。
密码策略上有很多材料。 我build议看看
现在,必须对密码的完整性进行说明 。 事实是,难以记住的密码被写下来。 密码也必须经常更改。 底线,这取决于你保护什么和你的用户群。
该政策应反映用户使用计算机的内容,用户对其处理的敏感信息。 如果仅仅是包含用户的偏好,那么如果其他所有东西都能抵御攻击,那么你并不需要这么做。 如果情况正好相反,我宁愿让用户呻吟一下复杂的密码来记住。
我的头脑中始终有大约20个复杂的密码,而且我已经开始使用键盘上的图案来创build它们,以记住它们。 这使得它更容易,因为我只需要知道的出发点和什么样的模式。 每个人都不喜欢改变密码,但是这种技术可以让我轻松地改变它们,并且记住它们,所以安全性至less对我来说至关重要。 我甚至可以在一张纸上记下一个字母,并且还记得要制作什么样的模式,而且我也不太记得。 如果这对任何人有任何用途,但是..我不知道。
写下一个复杂的密码而不混淆它似乎只是错误的。 如果有人试图闯入计算机,你可以肯定他们会寻找一些说明。
我相信,当我在医疗机构工作时,我们的一些要求来自HIPAA。 我没有看过SOX的注册(我想我现在坚持在保险界),但是他们可能有类似的语言作为这种事情的基础。
除此之外,如果你是一个更大的IT组织的一部分(大公司的分部),公司可能会遵守一些规则。
底线应该是这样的,无论政策得到落实,高层pipe理人员都会对此表示祝贺,最好写在安全或IT政策中,让所有员工都知道/遵守。 它不需要严格(每180天更换一次密码,阿尔法和数字的组合),但应该是公司政策,所以每个人都明确的要求。
一些好的build议,所以我只是要添加这个:
只要你能够确保你可以免除政策…我有一个很好的记忆,所以我个人更喜欢能够使用18个字符的密码是6个月或更多的可笑复杂简单的一个,我必须每月更换一次。
请记住,只使用小写和大写字母和空格的16个字符的密码给出53 ^ 16个组合或3.876 * 10 ^ 27,而使用小写和大写字母,数字和符号的10个字符密码仅给出95 ^ 10或5.987 * 10 ^ 19。