明智的密码策略

Jon*_*ins 10 security password-management password-generation

我的任务是制定公司的安全政策。作为其中的一部分,我想定义什么是合理但安全的密码(长度、字符等),它们应该多久更改一次,密码历史的长度等等。

显然,我需要平衡安全性和实用性。

人们通常认为什么是好的密码策略?

Ivo*_*pse 5

维基百科对这个主题有一个很好的总结

常见密码实践 密码策略通常包括有关正确密码管理的建议,例如:

  • 从不共享计算机帐户
  • 永远不要对多个帐户使用相同的密码
  • 从不告诉任何人密码,包括声称来自客户服务或安全部门的人
  • 从不写密码
  • 从不通过电话、电子邮件或即时消息传递密码
  • 在离开计算机无人看管之前小心地注销
  • 在怀疑密码已被泄露时更改密码
  • 操作系统密码和应用程​​序密码不同
  • 密码应该是字母数字
  • 使密码完全随机但易于您记住

来自代尔夫特理工大学的建议:

可接受密码的特征

  • 密码至少包含八个字符,并且
  • 它包含至少一个大写字母,并且
  • 它包含至少一个小写字母,并且
  • 它至少包含一个数字或其他字符,例如!@#$%^&(){}[]<>... ,以及
  • 它不是一个熟悉的语言或行话中的术语,并且
  • 它与随附的帐户名称、个人特征或来自一个人的家庭/社交圈的信息不相同或不来自其衍生,并且
  • 很容易记住,例如通过一个关键的句子,以及
  • 它可以流畅地输入。

保护密码的最佳实践

  • 避免在工作和私人生活中使用相同的密码;
  • 将所有密码视为敏感信息,不要与同事、家人或其他熟人的账户共享;
  • 不要向同事、老板或其他熟人透露密码,无论是在正常情况下,还是在请假或生病的情况下;
  • 不要在公开场合、通过电话或未加密的通信中提及任何密码;
  • 切勿在可自由访问的位置记下密码;
  • 不要提供任何有关用于记住密码的助记符的提示;
  • 切勿在问卷或安全表格中提供有关密码的信息;
  • 如果怀疑滥用,则向安全组织报告并立即更改所有涉及的密码;
  • 如果有人想知道密码,请让他参考此政策。