不知道去哪里问这个问题。我的老板让我弄清楚通常多久更改一次密码?我们现在正在开发一个对安全性要求很高的系统。
EDIT:
我的意思是我们强制用户更改密码前多少天。
密码长度并不是那么重要;如果它高于某个阈值,则复杂性是最重要的。你说你需要高安全性,所以我会推荐使用像 RSA fob 这样的东西和密码。
至于多久更换一次,这真的取决于。强制更改密码是一种针对尚未使用的已泄露密码的保护级别。改变太频繁,你只会惹恼用户(并增加他们在某处写下它的风险),改变不够频繁,你就会失去这种保护。可以说这是可疑的好处。
更有效地对抗暴力破解尝试的是某种形式的帐户锁定。在连续 3 次输入错误密码后锁定帐户甚至 30 秒将阻止暴力攻击死在其轨道上。
告诉我们更多有关该系统的信息。它是内部的还是外部的?数据有多敏感?这些因素将决定任何建议是否过度(或不足)。
| 归档时间: |
|
| 查看次数: |
235 次 |
| 最近记录: |