我是一个约500名员工的小公司的新IT初级经理,目前有关密码的政策已经在30天内强制密码过期,密码历史logging为5。
正如你可以理解的,这导致人们有像1月16日等密码,在他们的屏幕上的便签上的密码等等等等等等。
据我所知,什么是理想的长度为10个字符的密码,首字母,小写字母和符号。
既然我认为这里有人是安全审计员,还有其他人对这些事情有更多的经验,我问你这个问题。
下一次他们来的时候,我可以向审计人员提供什么,以便他们允许我们将密码到期的政策更改为1年?
关于我的头顶,我会向他们提供有关长而复杂的密码的优势的数据,以及来自powershell密码检索应用程序的数据,关于他们可以使用最先进的硬件达到多lessp / s,以及每天运行一次的脚本,以显示AD中是否有任何新帐户被创build用作安全措施,以防有人设法插入networking并创build自己的帐户。
任何援助将不胜感激。
我要做的第一件事是找出谁实际设置了安全策略。 那个信息在手,坐下来和他们交谈。 询问安全政策的目标是什么,希望从中获得什么,以及目前的政策如何实现这一目标。 这个最重要的部分是你听他们的答案。
有可能更安全的手段来实现你的目标。 首先,有更多的字符胜过上/下/数/特殊字符的要求。 https://xkcd.com/936/和https://www.explainxkcd.com/wiki/index.php/936:_Password_Strength应该足够引物。
更安全的是使用2FA来代替直接的密码。
如上所述,频繁更改密码会导致忘记/错误input密码的增加。 这将增加与帮助台相关的密码相关的调用,或增加书面或可预测的密码。
这次对话中最重要的部分是理解目标,理解当前的政策如何实现这些目标,并与队友(记住,这都是一家公司)合作,避免对抗或侮辱。