我有Windows域需要密码策略。 现在没有一个。 任何人都有一个很好的平衡,弱密码和用户密码如此强大,他们只是把它们写下来的反馈?
由于没有人有过期的密码,我想我可以通过从用户帐户中删除“密码永不过期”属性来分阶段进入用户。 这样,我(和帮助台)就不会因为问题/密码重置而受到如此的抨击。 任何反馈?
美国国家标准与技术研究院(NIST) 在计算机安全方面有一些很好的出版物 。 他们是很好的资源……你要找的出版物是NIST特刊800-53。 (相信我,它不像听起来那么糟糕)
国际海事组织的密码政策应该是这样的:
请记住,您的政策限制性越强,需要解锁帐户的用户或重置密码的次数越多。 您的政策限制性越小,您的组织面临的风险越高。
默认情况下,您无法定义域密码策略的复杂程度(至less到2003年)。 有改变规则的方式方法,但是从我的理解来看,这是非常复杂的,而不是为了虚心。 换句话说,你不能决定你想要你的用户密码是3大写,2特殊,2数字等
在默认域组策略中启用 密码必须满足复杂性要求设置时,将会设置以下内容:
密码必须符合复杂性要求。
此安全设置确定密码是否必须符合复杂性要求。 如果启用此政策,则密码必须符合以下最低要求:
不包含超过两个连续字符的用户的帐户名称或用户全名的部分长度至less为六个字符
包含以下四个类别中的三个字符:
英文大写字母(A到Z)
英文小写字母(a>到z)
基地10位数(0到> 9)
非字母字符(例如,!,$,#,%)
在更改或创build密码时强制执行复杂性要求。
但是你可以设置的是:
在我们所有的域名中,我们使用复杂性,最less8个字符,最小年龄14天,最多90天,密码历史logging14个,无效login尝试5次,locking时间30分钟
duffbeer703的链接是好的。 某些密码限制和最低要求有一些技术原因。 如果您不在完全同质的环境中,您尤其需要探究这些限制。
无论如何,八字,四字组规则三是非常标准的。 我个人所做的就是训练我的用户创build密码而不是密码。 这使得密码变得容易得多,而且他们没有花太多的时间去想出如何处理所有这些angular色需求。 一个密码,如“这是阳光,Yippee!” 很容易想出和记住。
这种方法存在一个问题,但是如果人们在写密码时使用了正确的英语语法,从而限制了可能的组合总数。 也就是说,一个以大写字母开始,以句点结束的密码,不仅仅是因为它包含大写字母和句点,而且由于我们可以预先猜测这个字符而变弱。
其他标准的Windows域规则是好的,IMO,除了我只需要每季度更改一次密码。 就我个人而言,我不会以密码过期的概念出售。 如果一个帐户被盗用,甚至30天也是永恒的。 无论如何,当他们需要更改密码时,人们会感到非常愤怒。
既然连安全专家都没有就密码方面的问题达成一致,我认为大多数build议都是愚蠢的,除非你特别处于高度的安全状态。 我认为最重要的是,我有用户真正签署的是类似的声明:“不要与任何人共享密码。我不关心他们是谁或他们为什么需要在您的计算机上当你度假时,你的密码的安全是你的责任。“ 我见过的最大的帐户滥用来自共享密码的人。 所有其他的一百三十三吨黑客东西在一个普通的老业务中几乎不受关注。
那么,你最好了解你的用户,所以如果你认为让密码过期是一种方式,那就去做吧。 它是一个很好的select。
至于密码策略,它总是一个完美的安全性(即13个字符长,4个帽子,2个符号,3个数字,其余小写)和完美的便利性(即没有任何政策…… autologin)之间的权衡。 基本上,如果你的安全性太差,你会发现有人把他们的密码粘贴在键盘的底部,或者贴在他们的显示器旁边,如果你为了方便起见,你会得到很差的安全性和容易被猜到的密码。
对于我们的组织,我们至less需要7个字符的密码,至less有1个数字,1个大写字母和1个小写字母(符号可以用于任何要求)。 这似乎对我们的用户来说很好,并且没有受到任何阻碍。 祝你好运,希望这会有帮助。
Nist发布可以,你的域名密码策略不像用户的教育不分享他们的密码一样重要。 只要没有粘到他们的键盘上,他们就不分享它,没有任何内在的错误。 基本上你设置的任何参数都会很好,最重要的两件事情是:
帐户locking阈值(无效login尝试)帐户locking持续时间
这个限制是人们蛮横暴力的安全的能力。 我通常推荐5个门槛和2个小时的时间,但这当然取决于情况。 正如Boden所指出的那样,甚至安全专家也不能就安全的密码策略达成一致。 事实上,我会实施服务器和域的隔离之前,我担心我的密码政策。 那时我会给你我的密码 – 你还没有进入我的资源。
从领域的一些准则:)
教育用户更好的密码,即使它并不复杂。 (经过validation的研究显示,高复杂度的小密码比长更简单的密码快速破解)
保持密码过期为7的倍数,如28,42,91。这确保了周期性的密码在到期之后重置均匀分布在工作日。 当您拥有数千个帐户时,这很重要。 例如,如果您在星期一重置密码,则您的下一个密码到期仅在星期一开始。
保持合理的帐户locking政策。 从适度的事情开始,然后监视相关的帮助台呼叫,并根据需要调整locking策略。 例如太多的电话,然后放松一下locking政策。
如有可能购买密码自助服务产品,以便用户可以自己重置密码或解锁他们的帐户。 (这里大概有30%到40%的服务台电话)
最后使用密码破解工具定期检查人们设置的密码强度,并用非常简单的密码提醒用户select更好。 记住黑客只需要一个帐户就可以进入你的networking。
用密码记住的一件大事永不过期。 一旦您将密码策略生效,如果密码将根据上次更改过期,只要您将该标志切换为closures状态,密码将过期。 所以你需要提醒用户这个事实。
微软针对Windows Server 2003的高安全build议曾经是:
然而,这与我与之交stream过的审计员并不一致。 我见过的最宽松的要求24小时解锁,在24小时内不超过10次失败,60天到期。 我见过的最不宽松的情况是在24小时内没有超过3次失败的自动解锁,并且有30天的失效时间。 所有字符的最小字符长度都是一致的,全部24个密码都logging下来,复杂度也是一样的。
您可以实现密码而不是密码。 所以就像“为什么密码太复杂了? 可能是密码。
是的,我同意亚当品牌 ,并发现它在实践中的作品,东西给你的用户做广告可能是这个XKCD漫画: