And*_*ras 3 security active-directory password-policy
我是一家拥有约 500 名员工的小公司的新初级 IT 经理,当前的密码政策强制要求密码在 30 天内过期,密码历史记录为 5。
正如您所理解的,这会导致人们拥有像January16 之类的密码,在屏幕上的便签上的密码等等等等……归结为这些政策时通常如此。
据我所知,理想的密码是 10 个字符长度的密码,其中包含大写字母、小写字母数字和符号。
因为我认为这里有人是安全审计员,也有人在这些问题上有更多经验,所以我问你这个问题。
下次审计员来访时,我可以向他们展示什么,以便他们允许我们将密码过期策略更改为 1 年?
在我的脑海里,我会向他们提供有关长而复杂的密码强度的数据,以及来自蛮力密码检索应用程序的数据,这些数据涉及使用最先进的硬件可以实现多少 p/s,以及每天运行一次的脚本,以显示 AD 中是否有任何已创建的新帐户作为安全措施,以防有人设法闯入网络并创建自己的帐户。
任何帮助将不胜感激。
我要做的第一件事就是找出谁真正制定了安全策略。手头的信息,坐下来与他们交谈。询问安全策略的目标是什么,希望从中获得什么,以及当前的策略如何实现该目标。其中最重要的部分是你倾听他们的回答。
可能有更安全的方法来实现您的目标。首先,拥有更多字符胜过高/低/数字/特殊字符要求。 https://xkcd.com/936/和https://www.explainxkcd.com/wiki/index.php/936:_Password_Strength应该足够了。
更安全的是使用 2FA 代替直接密码。
如前所述,频繁更改密码会导致忘记/错误输入密码的增加。这将体现在与密码相关的求助电话的增加,或书面或可预测密码的增加。
本次对话中最重要的部分是了解目标,了解当前政策如何被认为是实现这些目标的,并与您的队友合作(记住,这都是一家公司......)避免对抗或侮辱。
| 归档时间: |
|
| 查看次数: |
125 次 |
| 最近记录: |