gak*_*gak 14 security password
我在几个案例中发现,强制用户定期更改他们的密码对维护来说更像是一种压力,而不是对安全的帮助。此外,我看到用户写下他们的新密码,因为他们要么没有足够的时间来记住他们的密码,要么懒得重新学习另一个密码。
强制更改密码有什么安全优势?
ret*_*ile 11
猜测密码时强制更改密码(通过始终对所有用户运行密码猜测程序)。
当回答“为什么?”时,很难与“您必须更改密码”争论。是“因为我们能够盲猜”。它会自动奖励那些选择难猜密码的人,并告诉您的用户哪些密码较弱。如果他们选择“password1”,密码将在他们登录一次之前过期。如果用户选择 16 个字符、随机、大小写混合的字母数字密码,您永远猜不到——其他人也猜不到。让他们保存很长时间,他们甚至可以记住它。
以下是与 SANS 日记的不同之处:
密码规则:每 25 年更改一次
有一个实际的好处。如果有人知道您的密码,而他们只想阅读您的电子邮件并且不被发现,他们可以永远这样做,除非您最终更改了登录密码。因此,定期更改密码对防止有人闯入并带走您的商品没有多大帮助,但它确实让您有机会摆脱可能访问您帐户的任何跟踪者或窥探者。是的,这很好。但是,仅凭这一好处是否值得麻烦并提到强制用户每 90 天更改一次密码的缺点,我对此表示怀疑。
这是一种权衡。需要频繁更改密码确实会导致密码质量下降。甚至有人对此进行了研究。
话虽如此,我发现防止用户共享密码的唯一可靠方法是要求定期更改密码。我的经验表明,90 天似乎是可用性和安全性之间的一个不错的折衷。如果你走得更久,人们就会开始依赖共享密码——很快你就会得到“November09”、“December09”。
强制更改密码最糟糕的事情并不是您实际上是在促使人们更改他们的密码。这是因为它通常很少或没有警告,并且他们会立即遇到需要立即处理的问题,因此与其给某人时间思考一个好的密码,不如说是一个不太安全的密码但更容易记住,或者更安全,但它只是被写下来,从而否定了安全优势。
| 归档时间: |
|
| 查看次数: |
7402 次 |
| 最近记录: |