只是想知道除了通用的密码策略之外是否还有更多的密码策略,例如“最小密码年龄”、“密码必须满足复杂性要求”等。我想为管理员创建更强大的密码策略。有没有办法增加密码要求的复杂性?
另一件事,有没有办法阻止用户做这样的事情:
旧密码:password1 (expires...) 新密码:password2 (expires...) 等等。
我们发现很多用户只是在密码末尾添加了一个新数字。
提前致谢,
马特
问问题
374 次
4 回答
2
我们发现很多用户只是在密码末尾添加了一个新数字。
这是密码复杂性的一个众所周知的问题,尤其是老化要求 - 它们通常会降低安全性,因为人们会写下密码,因为他们不记得它们。如果您的用户正在这样做,那么这很好地表明您的密码过期太快了。
另请参阅:密码复杂性策略 - 有任何证据吗?
于 2010-06-11T14:54:23.157 回答
0
如今,密码强度和可用性经常不一致。如果您是具有前瞻性思维的组织的一员,那么我发现的最佳技术是鼓励用户使用既能解决您的问题又能解决他们问题的应用程序,例如Password Managers。 KeePass和Password Safe就是这样的两个应用程序,但还有很多其他应用程序。这是新政策:
- 鼓励用户创建 1 个他们拥有并维护的强密码,这是他们本地/私有加密数据库的密码。
- 要求他们使用内置功能来生成随机的强密码。
- 鼓励他们简单地使用密码管理器中的复制/粘贴功能到您的应用程序
这种方法有几个优点/缺点;但请相信我,当用户不必处理这些天密码所需的所有不友好的废话时,他们会更快乐,并且他们实际上可能会停止缩短您的策略。
于 2010-06-11T22:02:19.640 回答
0
只是想知道除了通用的密码策略之外是否还有更多的密码策略,例如“最小密码年龄”、“密码必须满足复杂性要求”等。我想为管理员创建更强大的密码策略。有没有办法增加密码要求的复杂性?
最小和最大密码使用期限、密码历史记录(与最短使用期限有关)、一次性密码、使用令牌或智能卡等加密硬件的基于加密的方法,......许多安全选项。
如果您只是想让密码本身更复杂,......只需确定您的目标是什么(例如,想要避免出现在彩虹表中,想要进行攻击至少需要 X 小时/天/周/月)并选择基于此的复杂性要求。
如果您说密码必须包含字母、数字、符号,至少为 16 个字符,并且其中没有单词(包括 leeted 单词),那么您可能是相当安全的,除非您的管理员已经编写了密码把它放在他们的键盘下面。
另一件事,有没有办法阻止用户做这样的事情:
旧密码:password1 (expires...) 新密码:password2 (expires...) 等等。
我们发现很多用户只是在密码末尾添加了一个新数字。
这很容易。通常将最短密码使用期限与以明文形式保存 N 个历史密码(但绝对不是当前密码)相结合,以防止人们快速重复使用密码。只需决定新密码的不同程度,并检查新密码与每个历史密码的编辑距离。
于 2010-06-15T23:23:43.810 回答
0
正如 Sponsz 上校所指出的,有一些研究数据表明,这些政策通常会使事情变得更糟。
我建议尝试使用一些免费工具,例如无状态密码生成器(例如Getpass),因为它们默认生成高度复杂(对于现代标准)的密码。此外,与云密码管理器不同,它们不存储密码或任何其他客户端数据。它们是免费和开源的。
于 2019-07-29T19:02:39.193 回答