我有一个需要密码策略的 Windows 域。目前还没有。有人能提供关于弱密码和用户密码太强以至于只能写下来之间的良好平衡的反馈吗?
由于没有人拥有过期密码,因此我认为我可以通过从用户帐户中删除“密码永不过期”属性来逐步让用户使用。这样,我(以及帮助台)就不会被问题/密码重置所困扰。有什么反馈吗?
答案1
美国国家标准与技术研究院 (NIST) 有一些关于计算机安全主题的优秀出版物。它们是很好的资源……您正在寻找的出版物是 NIST 特别出版物 800-53。(相信我,它没有听起来那么糟糕)
我认为密码策略应该是这样的:
- 8 个字符
- 以下 3 个字符:大写字母、小写字母、数字、特殊字符
- 不重复使用最近 12 个密码
- 30-90 天的密码有效期
答案2
请记住,您的政策越严格,需要解锁帐户或重置密码的用户致电您的次数就越多。您的政策越宽松,您的组织面临的风险就越大。
默认情况下,您无法定义如何复杂的域密码策略是(至少到 2003 年为止)。有多种方法和手段可以更改规则,但据我所知,它非常复杂,不适合胆小的人。换句话说,您无法决定您希望用户的密码是 3 个大写字母、2 个特殊字母、2 个数字等。
以下是您使能够这密码必须符合复杂性要求默认域组策略中的设置:
密码必须符合复杂性要求。
此安全设置确定密码是否必须满足复杂性要求。 如果启用此策略,则密码必须满足以下最低要求:
不包含用户的账户名或用户全名中超过两个连续字符的部分 长度至少为六个字符
包含以下四个类别中的三个类别的字符:
英文大写字符(A 至 Z)
英文小写字符(a> 到 z)
十进制数字(0 至 > 9)
非字母字符(例如 !、$、#、%)
当更改或创建密码时,必须强制执行复杂性要求。
你能但是设置是:
- 最小密码长度
- 密码最短使用期限
- 密码最长使用期限
- 密码历史
- 账户锁定阈值(无效登录尝试)
- 账户锁定时长
在所有域名中,我们都使用了复杂性,最低 8 个字符,最低使用期限为 14 天,最长使用期限为 90 天,14 个密码历史记录,5 次无效登录尝试,30 分钟锁定时长
答案3
duffbeer703 的链接很好。某些密码限制和最低要求有一些技术原因。如果您所处的环境不完全同质,则尤其需要探索这些限制。
无论如何,8 个字符、3 个或 4 个字符组规则非常标准。我个人的做法是训练我的用户创建密码短语而不是密码。这使得想出密码变得容易得多,他们不必花太多时间试图弄清楚如何满足所有这些字符要求。像“阳光明媚。Yippee!”这样的密码很容易想出和记住。
这种方法存在一个问题,但是如果人们在编写密码时使用正确的英语语法,从而在一定程度上限制可能的组合总数。也就是说,一个总是以大写字母开头并以句号结尾的密码并不会因为包含大写字母和句号而变得更强,而是因为我们可以提前猜出这一点,所以它变得更弱。
在我看来,其他标准 Windows 域规则都很好,只是我只要求每季度更改一次密码。我个人不认同密码过期的概念。如果帐户被盗用,即使是三十天也是很长的时间。无论如何,当人们不得不更改密码时,他们会非常愤怒。
由于安全专家无法就任何与密码相关的问题达成良好的折中立场,我认为除非您处于高度安全的情况下,否则大多数极端的建议都是愚蠢的。我认为最重要的,也是我让用户真正签署的,是类似这样的声明:“永远不要与任何人分享您的密码。我不在乎他们是谁,也不在乎他们为什么要在您度假时进入您的计算机。密码的安全是您的责任。”据我所知,最大的帐户滥用来自人们共享密码。所有其他 133t 黑客行为在普通老企业中几乎不是什么问题。
答案4
Nist 出版物没问题,您的域密码策略并不像教育用户不要共享密码那么重要。只要密码没有贴在键盘上并且他们不共享它,永不过期的密码本质上没有什么问题。基本上您设置的任何参数都可以,需要考虑的两件最重要的事情是:
账户锁定阈值(无效登录尝试次数) 账户锁定时长
这限制了人们暴力破解您的安全系统的能力。我通常建议阈值为 5,持续时间为 2 小时,但这当然取决于具体情况。正如 Boden 指出的那样,即使是安全专家也无法就什么是安全密码策略达成一致。事实上,我会实施服务器和域隔离之前我担心我的密码策略。到那时,我会给你我的密码——你仍然无法访问我的资源。