我有一个坏习惯,就是很少更改域中的管理员密码。我使用的密码都很好,但我希望在这方面保持一致。
您认为什么频率比较合适?每 6 个月一次可以吗?
答案1
让我们做一个快速计算(暂时忘记最佳实践):
假设攻击者入侵您的系统需要六个月的时间。我们还假设密码是从 62 个字符中随机选择的。
场景 1:您在整整六个月内使用 9 个字符的密码。
场景 2:前三个月使用一个 9 个字符的密码,后三个月使用不同的 9 个字符的密码。
场景 3:您在整整六个月内使用一个 10 个字符的密码。
在场景 1,如果暴力攻击者能在这段时间内进行 62^9 次尝试,那么他就能 100% 确定地入侵你的帐户。
在场景 2,如果他在一半的时间(三个月)内只能尝试 (62^9)/2 次,他就能以 50% 的把握破解账户。在后半段时间里,他又会以 50% 的把握获得一次机会。因此从统计学上讲,他能以 75% 的把握破解账户。
在场景 3,那么他在整整六个月内将有 62^9 次尝试。但可能性有 62^10。因此,他只有 1/62 的确定性才能破解账户,也就是大约 1.6%。
因此,如果我们排除所有其他因素(如密码被盗和其他类型的攻击),建议选择较长的密码,而不是使用较短(或更简单)的密码,即使它们更改得更频繁。特别是因为场景 3,只需要记住 10 个字符,而在场景 2,共有18个字符。
答案2
我们主要使用 Windows,每个管理员都有自己的域管理员帐户,我们只是互相信任,相信对方会使用强密码,并会时不时地更改密码。我相信每个人都有强密码,因为我们使用同侪压力来确保密码很长,并且包含数字和/或字符,但我们更改密码的频率不够高。\
补充:到目前为止,大多数人可能都听说过这个,但以防万一。加密和安全专家 Bruce Schneier 说你应该设置强密码并把它们写下来。
答案3
尽管从理论上来说,经常更改密码会更好,但随着密码有效期的缩短,将密码写在便签上的因素会呈指数级增长。
如果这仅供私人使用,为什么不使用公钥认证并为您的密钥环提供一个好的 PW?
答案4
无论您设置的密码有多复杂,每 30 到 42 天更改一次密码始终是一个好习惯。6 个月的密码太旧了。应该始终实施良好的密码策略以确保安全 :-)