Kar*_*fia 18 security password
有没有人有任何资源可以为我的用户确定合理的密码策略?我个人的倾向是提高密码的复杂性,并允许他们减少更改密码作为一种妥协。与 5 或 10 年前相比,我的普通用户似乎对混合某些数字和特殊字符的容忍度更高。
我正在寻找可用于支持我提议的政策更改的经验法则和/或资源。或者甚至是来自更有经验的人的轶事信息。
(我远不是安全专家,所以如果这只是模糊处理,让我们缩小问题范围以仅适用于内部 Windows 网络密码,尽管我对人们在 VPN 和网络方面所做的事情感兴趣服务政策)
Bre*_*nt 20
在当今随机蛮力密码攻击的世界中,我倾向于同意这样的说法:写下来的好密码比容易猜到的记住的密码要好
普渡大学 CERIAS 的 Gene Spafford对这个主题做出了明智的贡献。这是部分引用:
那么“一个月换一次密码”这句名言从何而来?回到人们在没有网络的情况下使用大型机的时代,最大的不受控制的身份验证问题是破解。然而,资源是有限的。尽我所能,一些国防部承包商对使用他们的大型机运行所有可能的密码需要多长时间进行了一些粗略的计算,结果是几个月。因此,他们(有些合理地)设置了 1 个月的密码更改期,以此作为挫败系统破解尝试的一种手段。这随后被载入政策,并被公布,并且多年来被其他人广泛接受。随着时间的推移,审计师开始寻找这一点,并最终将其构建为他们所期望的“最佳实践”。
尽管任何合理的分析都表明每月更改密码对提高安全性几乎没有或没有最终影响!
这是基于 30 年前在 DoD 环境中使用非联网大型机的经验的“最佳实践”——几乎无法与当今的系统相匹配,尤其是在学术界!
| 归档时间: |
|
| 查看次数: |
1232 次 |
| 最近记录: |