War*_*War 1 security password best-practices password-policy
问题
我经常与我的首席技术官进行辩论,通常是这样开始的……
CTO: My password expired, that should never happen.
Me : It's a security risk to never expire passwords.
CTO: It's a security risk to force passwords to be reset because users have bad habits.
Me : Yes but the security is in the user not the system, enforcing password expiry ensures the system is secure in the event of an unknown breach of the userbase.
这就提出了一个有趣的问题,我们俩主要不是系统管理员,而是我们需要为此应用策略的职位,但对于正确答案应该是什么并没有真正达成一致。
我的立场
如果您强制所有用户在 X 时间内更改密码,其中 X 是通过确定用于保护密码的算法强度以及(使用暴力)将原始值恢复为原始值的估计时间来计算的,则系统会更安全。原始密码。
CTO 的地位
强迫用户始终更改密码的行为会导致模式/****123 随着时间的推移“喜欢”模式或用户写下密码,这意味着用户的“坏习惯”对系统的风险比数据更大以某种更技术性的方式(例如通过暴力破解)受到损害。
所以我想知道
有什么方法可以证明无论天气如何,我们都应该根据一些行业最佳实践强制执行密码重置策略吗?
或者
难道我们中的一个人就完全错了吗?
小智 5
你的 CTO 更正确,但这是一个更复杂的问题。NIST ( https://csrc.nist.gov/ ) 可能是“行业最佳实践”参考。
当谈到密码长度时,最好的方法是密码长度,而不是复杂性或频繁更改。( https://nakedsecurity.sophos.com/2016/08/18/nists-new-password-rules-what-you-need-to-know/ ) 他们建议短语或句子而不是单个单词。
您描述了在存储密码之前对密码进行哈希处理,这在逻辑上是比纯文本更好的选择。问题在于多 GPU 系统每秒可以计算和检查数十到数百个哈希值。
下面的链接讨论了这些变化。我建议在对密码进行哈希处理之前特别注意对其进行加盐处理。
https://nakedsecurity.sophos.com/2016/08/18/nists-new-password-rules-what-you-need-to-know/
https://www.passwordping.com/surprising-new-password-guidelines-nist/
| 归档时间: |
|
| 查看次数: |
2240 次 |
| 最近记录: |