明智的密码策略

Question

我的任务是制定公司的安全政策。作为其中的一部分，我想定义什么是合理但安全的密码（长度、字符等），它们应该多久更改一次，密码历史的长度等等。

显然，我需要平衡安全性和实用性。

人们通常认为什么是好的密码策略？

Answer 1

维基百科对这个主题有一个很好的总结

常见密码实践 密码策略通常包括有关正确密码管理的建议，例如：

• 从不共享计算机帐户
• 永远不要对多个帐户使用相同的密码
• 从不告诉任何人密码，包括声称来自客户服务或安全部门的人
• 从不写密码
• 从不通过电话、电子邮件或即时消息传递密码
• 在离开计算机无人看管之前小心地注销
• 在怀疑密码已被泄露时更改密码
• 操作系统密码和应用程​​序密码不同
• 密码应该是字母数字
• 使密码完全随机但易于您记住

来自代尔夫特理工大学的建议：

可接受密码的特征

• 密码至少包含八个字符，并且
• 它包含至少一个大写字母，并且
• 它包含至少一个小写字母，并且
• 它至少包含一个数字或其他字符，例如!@#$%^&(){}[]<>... ，以及
• 它不是一个熟悉的语言或行话中的术语，并且
• 它与随附的帐户名称、个人特征或来自一个人的家庭/社交圈的信息不相同或不来自其衍生，并且
• 很容易记住，例如通过一个关键的句子，以及
• 它可以流畅地输入。

保护密码的最佳实践

• 避免在工作和私人生活中使用相同的密码；
• 将所有密码视为敏感信息，不要与同事、家人或其他熟人的账户共享；
• 不要向同事、老板或其他熟人透露密码，无论是在正常情况下，还是在请假或生病的情况下；
• 不要在公开场合、通过电话或未加密的通信中提及任何密码；
• 切勿在可自由访问的位置记下密码；
• 不要提供任何有关用于记住密码的助记符的提示；
• 切勿在问卷或安全表格中提供有关密码的信息；
• 如果怀疑滥用，则向安全组织报告并立即更改所有涉及的密码；
• 如果有人想知道密码，请让他参考此政策。