我们正试图为我们的域上的Windows密码提供所需的密码强度策略。 我倾向于至less10个字符,特殊字符和大写字母。 我们有一个政策,经过一些不正确的猜测后locking帐户,所以结合最小长度和复杂性要求,在今天的环境中是否足够? 还有什么其他的密码措施可以/应该采取?
(我知道以前也有类似的问题,但是过去一两年密码安全的状况已经发生了很大的变化。)
这可能是一个卡通,但它是一个很好的观点。 特殊字符和混合案例可能会让一些人难以记忆。 更长的密码可以非常容易记住,并且更安全。 只是一个想法,要记住的东西。
密码安全和密码pipe理是值得注意的危险。
一些常见的安全策略包括但不限于:
有人认为做上述就够了,但也有人认为还不够。
其他人认为,密码的复杂性应该足以保证密码的安全,但是密码更复杂的问题是用户难以记忆,这意味着他们会记下密码或使用以前密码的变体; 这两者都是需要考虑的风险。
更不用说有些人认为字母replace就足够了; 喜欢,而不是hackers的密码,你使用4@ck3r5 。 如果有人正在使用带有replacealgorithm的通用密码数据库,那么这与人们相信无关。
一个有趣的途径是让用户使用密码而不是密码。 区别? 密码更容易记忆,并且固有地考虑到了你所有的密码复杂度要求。 例如: I'm the 1st king of England! 是复杂的,如果不是比adf983l3.2-aa!#s0更复杂,前者更容易记住。
注意:使用密码策略并不是保护系统免受入侵者攻击的最终目标。 这只是需要采取的其他措施之一,您应该始终考虑到您的系统和用户的能力。 你可以用世界上最新的,最好的和最安全的系统来保护你的networking,但是如果你的用户仍然把他们的密码写在便签纸上,并把它粘贴在显示器的边上,你就会变得更大问题。