我们正在尝试制定一项政策,规定我们域中的 Windows 密码的密码强度要求。我倾向于最低 10 个字符,包含特殊字符和大写字母。我们的政策是,在多次猜错后帐户将被锁定,因此结合最低长度和复杂性要求,这在当今环境中是否足够?可以/应该采取哪些其他密码措施?
(我知道以前也问过类似的问题,但过去一两年里密码安全的状况发生了很大变化。)
答案1
这可能是一幅漫画,但它提出了一个非常好的观点。特殊字符和大小写混合对某些人来说可能很难记住。较长的密码可能非常容易记住,而且更安全。只是一个想法,要牢记。
答案2
密码安全和密码管理是需要警惕的危险。
一些常见的安全策略包括但不限于:
- 最小字符长度(有人认为是 6,有人认为是 8)
- 区分大小写
- 数值
- 特殊字符 ()'"/?`~!@#$%^&*-=+ 和空格字符
- 密码过期
- 密码历史区分(即密码不能与x个历史密码相似)
一些人认为,做到上述就足够了,但其他人则认为这还不够。
其他人则认为密码的复杂性应该足以保证密码的安全,但更复杂的密码的问题在于用户更难记住,这意味着他们会把密码写下来或使用以前密码的变体;这两种都是需要考虑的风险。
更不用说有些人认为字母替换就足够了;例如,hackers在密码中使用而不是4@ck3r5。如果有人使用带有替换算法的通用密码数据库,这并不像人们想象的那么有帮助。
一个有趣的方法是让用户使用密码短语而不是密码。区别是什么?密码短语更容易记住,并且本质上考虑到了您对密码复杂性的所有要求。例如:与密码短语I'm the 1st king of England!一样复杂,甚至更复杂,adf983l3.2-aa!#s0前者更容易记住。
注意:采用密码策略并不是保护系统免受入侵者侵害的终极目标。它只是您需要采取的众多其他对策之一,您应该始终权衡您的安全策略与系统和用户的能力。您可以全力以赴地使用世界上最新、最好、最安全的系统来确保安全,但如果您的用户仍然将密码写在便签上并将其粘贴在显示器的一侧,那么您将面临更大的问题。