Han*_*ood 4 security password-management windows-domain
我最近进行了一次安全狂欢,使用密码管理器来确保我使用的每项服务都有不同的复杂密码。然而,这个系统有一个漏洞:域登录。如果不先登录操作系统,我就无法启动密码管理器。因为我的域密码被提交到内存中,所以它比我拥有的任何其他密码都简单得多。
由于皮炎,我不想依赖指纹扫描仪。
Windows 7 和 8 支持哪些选项来安全登录域帐户?
绝不能将指纹扫描视为密码的替代品。它可以用作附加因素,但绝不能单独使用,因为它永远无法更改。
最好但最简单的安排是创建一个你能记住的模式。一种允许随时间变化但仍然让您难忘的。
事实上,记住字母、数字和符号的模式并不难,你可以使用很多模式。正是图案本身让它令人难忘。单词也是如此,但我们当然习惯于识别有意义的单词。
所以一个模式,如:
mhall~ouat<14?05
“玛丽有只小羊羔~从前<2014?五月” - 明白了吗?
您可以简单地玩一些符号或简单的数字。如果你真的很偏执,你可能不想使用像底座一样明显的东西,因为一个非常好的彩虹桌可能能够把它捡起来。
该示例是包含字母、数字和符号的 15 个字符。它可以用一两个大写字母稍微改进,但实际上,上/下/数字/符号的可能性比它们在每个密码中的实际使用更重要。
即使针对当前的威胁,这样的密码也确实非常强大。剩下的最大威胁是肩部冲浪或更深奥的线索之一,例如声音分析(您的打字)。
如果您想通过使用附加因素(例如 YubiKey 或智能卡),您可以更进一步,但实际上您应该将这些用作附加因素,而不是直接替代。如果你想保持最大的安全性。
就我个人而言,我也使用工具来记住大多数密码,我喜欢真正随机生成的 Windows 密码。尽管如此,它只是一个密码,因此在几次练习后并不难记住。
但是,您还应该注意,如果您只依赖 Windows 登录密码,那么如果有人拿到您的 PC,您仍然会暴露所有数据。为了真正的安全,您需要 UEFI BIOS、TPM 芯片、安全的 BIOS 设置和全盘加密。只有通过这些,您才能合理预期攻击者在获得 PC 后无法获得您的信息。
接下来,您还应该为 Windows 添加额外的保护。至少是 Microsoft EMET,最好是应用程序白名单工具(例如内置于 AVAST AV)。应用程序白名单仅允许特定应用程序运行,并且几乎可以肯定是当前针对零日攻击的最佳防御。使用 EMET 来强化 Windows 和一个良好的 AV/反恶意软件工具(例如 AVAST)以及其他概述的措施,删除所有不需要的软件并通过剩余的补丁保持最新,您将是一个安全的人可能是现在。
更新:我意识到我还没有完全回答给出的问题,即登录域有哪些选项可用。
为此有很多工具,Windows 支持可替换的登录功能,以前称为 GINA,不确定现在是否仍然如此。本机支持使用智能卡登录,并且有许多 3rd 方工具来补充(或替换)域上的标准 ID/密码登录,例如一次性密码生成器(例如 RSA 令牌)等。您还可以调整 Windows 域的密码要求以强制使用更强的密码。我建议在这种情况下提供简单的指导,我似乎记得看到许多信息图表解释了我上面提到的密码选择类型。