不知道在哪里问这个问题。 我的老板问我平时多久换一次密码? 我们现在正在开发一个需要高安全性的系统。
EDIT: 我的意思是在强制用户更改密码之前有多less天。
密码长度并不是那么重要, 只要它超过一定的门槛,复杂性就成了最重要的事情。 你说你需要很高的安全性,所以我会再次推荐使用类似于RSA密码和密码的东西。
多久才能改变一下呢,这要看真的。 执行密码更改是针对尚未使用的妥协密码提供的保护级别。 改变太频繁,你只会惹恼用户(并增加他们写下来的风险),改变不够频繁,你失去了保护。 可以说这是有益的。
更有效的反暴力破解企图是某种forms的账户locking。 在连续三次不正确的密码后,locking一个帐户30秒,将会阻止一个蛮力攻击死亡。
告诉我们更多关于这个系统。 是内部还是外部? 数据有多敏感? 这些因素将决定是否有任何build议是矫枉过正(或者不足)。
请参阅密码过期策略以进行良好的讨论。
我的看法是,在大多数情况下,强制密码更改比真正的安全更“安全剧院”。 特别是比90天更频繁。
根据我的经验,用户要求更改密码的次数越多,密码就越会写在键盘上,隐藏在键盘下面,除非他们的工作实际上保存着密码,他们还有其他的事情要考虑每周或每月记住一个新密码。
作为一个大拇指,我会说比每隔一个月更应该这样做。
取决于谁想要闯入你的数据。
如果没有有用的数据,那么8个字符和4个中的2个(小写,大写,数字,符号)可能是好的。
如果你有一些有用的数据,那么10个字符和4个中的3个是好的。
如果你有敏感的数据,那么至less有12个字符,所有4个是4个。你也可以考虑获得RSA密钥卡或智能卡。
要进一步阅读密码破解的当前状态,请阅读Cloud中的破解密码 。
正如其他人所说,密码更改时间非常主观。 但总的来说6个月是一个很好的时间框架。 如果你觉得你需要更短或更长的时间,那么你的networking比我们更了解你。 太短将导致粘滞便笺卡在监视器与密码。 太长时间使暴力攻击变得更可行(尽pipe如果你有一个好的locking机制,仍然不太可能)。
如果运行Windows Server 2008,默认安全设置是一个非常好的起点。
为了从密码更改中获得严重的安全性好处,您需要更频繁地更改它们,而不是更容易被破解。 在现实世界中这当然是不现实的,所以你需要根据你自己的风险评估提出一些任意的数字。 只要记住,越是强迫人们更改密码的人越多,这些密码就越容易预测。 毕竟,他们需要记住,没有人想定期学习一个新的复杂的密码。 有可能制定一个否定人为因素的政策,但是所有你要做的事情都是让用户失望,他们将开始写下这些密码,这当然会破坏目的。