目前,我们几乎已经建立了在 Windows AD 域上要求输入复杂密码的标准。但几个月前,当这幅 XKCD 漫画出现在 Coding Horror 上时(我想是的),它引起了我的注意:
是否有人像这样更改过密码策略,即要求使用较长的短语,而不是使用非字母字符的较短短语?如果是这样,您是否遇到过第三方审计问题?我们的制药客户经常对我们进行审计,我不确定他们是否会接受这一点。
但对我来说这很有意义 - 特别是当人们发现密码被写下来,因为他们无法记住。
答案1
是的。如果您有联邦客户和其他类型的审计员,那么您将遇到 PCI 审计和联邦审计的问题。
尽管从技术角度来看,一个长度为 32 个字符且容易记住的密码可能更安全,但审计人员并不关心——他们只是制定了要求一定密码复杂性要求的政策,如果你偏离了要求,他们就会对你进行处罚。
例如,我公司的审计员明确要求使用标准的现成 Active Directory (2008R2) 密码复杂性要求。这些密码复杂性要求包括大写字母、特殊字符等。
编辑:因此,在密码复杂性发生范式转变之前,鼓励您的用户使用良好的密码管理程序,如 KeePass 或 LastPass 等。
答案2
正确书写的句子传递了 Windows AD 密码复杂度设置。“我爱我的狗巴尼。”有三种字符类型,这是 Windows 想要的(至少)。它显然满足长度要求。因此,“密码短语”可以轻松遵守 AD 密码策略。
从技术上来说,您无法强制使用密码短语,因此这实际上是您必须向用户倡导的一项文化变革。向他们发送信息电子邮件,教育他们如何使用密码短语而不是密码,然后告诉他们您将把最小值增加到 10,但他们可以使用密码短语让生活更轻松……仅作为示例。
这场辩论并不新鲜2004 年,我被杰森·福森SANS 的出色密码破解分析电子表格。