通常密码多长比较好？

Question 1

密码长度其实并不那么重要；只要超过一定阈值，复杂性才是最重要的。你说你需要高安全性，所以我会支持使用类似 RSA fob 的东西与密码结合的建议。

至于多久更改一次，这确实取决于情况。强制更改密码是针对尚未使用的密码泄露的一种保护措施。更改太频繁只会惹恼用户（并增加他们将密码写下来的风险），更改不够频繁则会失去这种保护。有人可能会说，这样做的好处值得怀疑。

更有效的抵御暴力破解的方法是某种形式的账户锁定。连续 3 次输入错误密码后锁定账户 30 秒，即可阻止暴力破解攻击。

请告诉我们有关系统的更多信息。它是内部的还是外部的？数据有多敏感？这些因素将决定任何建议是否过度（或不足）。

Answer

密码长度其实并不那么重要；只要超过一定阈值，复杂性才是最重要的。你说你需要高安全性，所以我会支持使用类似 RSA fob 的东西与密码结合的建议。

至于多久更改一次，这确实取决于情况。强制更改密码是针对尚未使用的密码泄露的一种保护措施。更改太频繁只会惹恼用户（并增加他们将密码写下来的风险），更改不够频繁则会失去这种保护。有人可能会说，这样做的好处值得怀疑。

更有效的抵御暴力破解的方法是某种形式的账户锁定。连续 3 次输入错误密码后锁定账户 30 秒，即可阻止暴力破解攻击。

请告诉我们有关系统的更多信息。它是内部的还是外部的？数据有多敏感？这些因素将决定任何建议是否过度（或不足）。

Question 2

看密码过期策略进行良好的讨论。

我的观点是，在大多数情况下，强制更改密码更像是“安全闹剧”，而不是真正的安全。尤其是频率超过 90 天时。

Answer

看密码过期策略进行良好的讨论。

我的观点是，在大多数情况下，强制更改密码更像是“安全闹剧”，而不是真正的安全。尤其是频率超过 90 天时。

Question 3

根据我的经验，你要求用户更改密码的次数越多，密码被写在某物上并隐藏在键盘下面的可能性就越大，除非他们的工作实际上是保守秘密密码，否则他们还有其他事情要考虑，而不是每周或每月记住一个新密码。

根据经验法则，我会说每隔一个月就应该这样做。

Answer

根据我的经验，你要求用户更改密码的次数越多，密码被写在某物上并隐藏在键盘下面的可能性就越大，除非他们的工作实际上是保守秘密密码，否则他们还有其他事情要考虑，而不是每周或每月记住一个新密码。

根据经验法则，我会说每隔一个月就应该这样做。

Question 4

为了从密码更改中获得真正的安全优势，您需要更改密码的频率高于密码被破解的频率。这在现实世界中当然是不切实际的，因此您需要根据自己的风险评估得出一个任意数字。请记住，您强迫人们更改密码的频率越高，这些密码就越有可能变得越弱、越容易被预测。毕竟，他们需要记住密码，没有人愿意经常学习新的复杂密码。可以制定一项政策来否定这种人为因素，但您所做的只是惹恼您的用户，他们会开始写下这些密码，这当然违背了目的。

Answer

为了从密码更改中获得真正的安全优势，您需要更改密码的频率高于密码被破解的频率。这在现实世界中当然是不切实际的，因此您需要根据自己的风险评估得出一个任意数字。请记住，您强迫人们更改密码的频率越高，这些密码就越有可能变得越弱、越容易被预测。毕竟，他们需要记住密码，没有人愿意经常学习新的复杂密码。可以制定一项政策来否定这种人为因素，但您所做的只是惹恼您的用户，他们会开始写下这些密码，这当然违背了目的。

通常密码多长比较好？

答案1

答案2

答案3

答案4

相关内容