我的任务是制定公司安全政策。作为这项工作的一部分,我想定义什么是合理而安全的密码(长度、字符等)、密码更改频率、密码历史长度等。
显然,我需要在安全性和实用性之间取得平衡。
人们通常认为什么样的密码策略是好的?
答案1
维基百科对这个话题
常见的密码做法密码策略通常包括有关正确密码管理的建议,例如:
- 绝不共享计算机帐户
- 不要对多个账户使用相同的密码
- 永远不要告诉任何人密码,包括自称来自客户服务或安全部门的人
- 永远不要写下密码
- 切勿通过电话、电子邮件或即时消息传递密码
- 在离开计算机之前请务必注销
- 每当怀疑密码可能被泄露时,立即更改密码
- 操作系统密码和应用程序密码不同
- 密码应由字母数字组成
- 让密码完全随机但容易记住
建议来自代尔夫特理工大学:
可接受密码的特征
- 密码至少包含八个字符,并且
- 它至少包含一个大写字母,并且
- 它至少包含一个小写字母,并且
- 它至少包含一个数字或其他字符,例如!@#$%^&(){}[]<>...,并且
- 它不是一个熟悉的语言或行话中的术语,并且
- 它不与随附的帐户名称、个人特征或来自某人家庭/社交圈的信息相同或衍生自该名称,并且
- 很容易记住,例如通过一个关键句子,并且
- 可以流畅地输入。
保护密码的最佳做法
- 避免在工作和私人生活中使用相同的密码;
- 将所有密码视为敏感信息,不要与同事、家人或其他熟人的帐户共享;
- 无论正常情况下还是休假或生病时,不要向同事、老板或其他熟人透露密码;
- 不要在公共场合、通过电话或在未加密的通信中提及任何密码;
- 切勿将密码记在可随意访问的地方;
- 不要给出任何有关记忆密码的助记词的提示;
- 切勿在调查问卷或安全表格中提供有关密码的信息;
- 如果怀疑被滥用,则向安全组织报告并立即更改所有涉及的密码;
- 如果有人想知道密码,请让他参考此政策。
答案2
随着键盘记录器和网络钓鱼攻击的激增,您的组织可能需要考虑使用“强”密码的替代方案。请参阅Bruce Schneier 的博客关于论文强大的网络密码能起到什么作用吗?
我强烈建议使用双重身份验证。在足球、SecureID 和尤比克,实施第二个身份验证因素非常容易,而且相对便宜。
答案3
答案4
您需要选择一个“合理”的频率来决定密码更改的频率。更改得太快,人们就会堕落成<old_password>+<number>(或类似情况);更改得太慢,密码被泄露的风险就会增加。也许值得研究一下是否有规则可以设置来防止这种情况。
同样,您需要制定一条规则,规定密码不能重复使用多次(可能 10 次),以便人们不会在他们的帐户的两个(或三个)密码之间随意切换。
密码至少包含字母数字,且至少有一个大写字母。为了稍微提高安全性,还必须至少包含一个非字母数字字符。