不知道在哪里问这个问题。我的老板让我弄清楚通常多久更改一次密码?我们现在正在开发一个对安全性要求很高的系统。
EDIT:
我的意思是我们强制用户更改密码需要多少天。
答案1
密码长度其实并不那么重要;只要超过一定阈值,复杂性才是最重要的。你说你需要高安全性,所以我会支持使用类似 RSA fob 的东西与密码结合的建议。
至于多久更改一次,这确实取决于情况。强制更改密码是针对尚未使用的密码泄露的一种保护措施。更改太频繁只会惹恼用户(并增加他们将密码写下来的风险),更改不够频繁则会失去这种保护。有人可能会说,这样做的好处值得怀疑。
更有效的抵御暴力破解的方法是某种形式的账户锁定。连续 3 次输入错误密码后锁定账户 30 秒,即可阻止暴力破解攻击。
请告诉我们有关系统的更多信息。它是内部的还是外部的?数据有多敏感?这些因素将决定任何建议是否过度(或不足)。
答案2
看密码过期策略进行良好的讨论。
我的观点是,在大多数情况下,强制更改密码更像是“安全闹剧”,而不是真正的安全。尤其是频率超过 90 天时。
答案3
根据我的经验,你要求用户更改密码的次数越多,密码被写在某物上并隐藏在键盘下面的可能性就越大,除非他们的工作实际上是保守秘密密码,否则他们还有其他事情要考虑,而不是每周或每月记住一个新密码。
根据经验法则,我会说每隔一个月就应该这样做。
答案4
为了从密码更改中获得真正的安全优势,您需要更改密码的频率高于密码被破解的频率。这在现实世界中当然是不切实际的,因此您需要根据自己的风险评估得出一个任意数字。请记住,您强迫人们更改密码的频率越高,这些密码就越有可能变得越弱、越容易被预测。毕竟,他们需要记住密码,没有人愿意经常学习新的复杂密码。可以制定一项政策来否定这种人为因素,但您所做的只是惹恼您的用户,他们会开始写下这些密码,这当然违背了目的。