有没有人有资源可以为我的用户确定合理的密码策略?我个人倾向于提高密码的复杂性,并允许他们减少更改密码的频率,作为一种妥协。看来我的普通用户对混合使用一些数字和特殊字符的容忍度比 5 年前或 10 年前更高。
我正在寻找可用于支持我提议的政策变更的经验法则和/或资源。或者甚至是来自更有经验的人的轶事信息。
(我远非安全专家,所以如果这个问题太模糊,让我们将问题缩小到仅适用于内部 Windows 网络密码,尽管我对人们在 VPN 和网络服务策略方面所做的事情很感兴趣)
答案1
在当今随机暴力密码攻击盛行的世界里,我倾向于同意以下说法:写下来的好密码比记住容易猜到的密码更好
答案2
以下是密码强度的良好比较:
答案3
考虑用户愿意接受什么是正确的做法。如果你强制设置必须经常更改的复杂密码,你会发现你的便签纸消耗量会急剧上升。
答案4
我更倾向于使用较长的密码(实际上,这意味着要记住多个单词组成的短语),而不是将单词和数字混合在一起。如果你强迫人们添加数字,他们更有可能做一些简单的事情,比如用 1 替换 i 等,这并不能为你带来太多的安全性。