pam_cracklib 模块能够查阅用户的密码“历史记录”,并不允许他们重复使用旧密码。重复使用旧密码有什么安全风险?如果这项工作有用,应该将多少密码保留为历史记录?
答案1
这是为了防止用户每次强制更改密码时都要重复两三个密码。这是一种风险,因为这个最喜欢的用户的密码可能已经被坏人知道了。
答案2
更改密码的全部目的就是帮助“坏人”不断猜测。如果系统在不知不觉中已被入侵,这尤其有用,因为它将阻止入侵者轻易重新获得访问权限。
历史记录中要保留多少个密码实际上取决于您要求更改密码的频率。我曾遇到过企业系统在历史记录中存储 3 到 5 个密码的情况。我个人认为这还不够。
我记得 Windows 2000 曾经存储 24 个密码。我记得这一点,当时我在大学 IT 部门工作,我们发现一个用户会用尽他的密码重置历史记录,以便他能保留他喜欢的密码。
这是我们当时制定的建议政策,它似乎可以解决这个问题:
- 强制密码历史记录记住 5 个密码
- 密码最长使用期限为 90 天
- 密码最短使用期限 1 天
- 密码最小长度 7 个字符
- 密码必须符合复杂性要求
希望有帮助!