我们目前有几乎事实上的标准,要求在我们的Windows AD域上使用复杂的密码。 但是这个XKCD卡通片在几个月前引起了我的注意,当时我想Coding Horror:
http://xkcd.com/936/
有没有人更改过他们的密码政策,即需要一个长的短语,而不是一个非字母字符较短的一个? 如果是这样,你有没有第三方审计的问题? 我们经常接受我们的制药客户的审计,我不确定他们会买这个。
这对我来说很有意义 – 特别是当发现密码被写下来,因为它们不能被记住。
是。 如果您有联邦客户和其他types的审计员,您将遇到PCI审计和联邦审计方面的问题。
尽pipe一个容易记住的长度为32个字符的密码在技术上可能更安全,但审计人员并不在意 – 他们只是制定了一些需要一定的密码复杂度要求的政策,如果你偏离了原则,他们将会接受你的情况。
例如,我的公司有一个审计员,明确规定使用标准的活动目录(2008R2)密码复杂度要求。 这些密码复杂性要求包括上限,特殊字符等
编辑:所以在此期间,直到密码复杂性的范式转移发生,鼓励你的用户使用像KeePass或LastPass或任何其他密码pipe理程序。
正确书写的句子通过Windows AD密码复杂性设置 。 “我爱我的狗巴尼。” 有三种字符types,这是Windows所需要的(至less)。 它明显通过了长度的要求。 所以,“密码短语”可以很容易地遵守AD密码策略。
你不能在技术上强制执行通行短语,所以这是一个文化变革,你必须为你的用户提倡。 发送信息电子邮件给他们,教他们如何使用通行短语与密码,然后告诉他们你会增加分钟到10,但他们可以使用通行短语,使生活更容易…举一个例子。
这个辩论并不新鲜 ,我在2004年被SANS的名人Jason Fossen用密码破解分析电子表格卖给了他们。