我是一家约有 500 名员工的小公司的新任初级 IT 经理,当前的密码策略规定密码在 30 天内过期,密码历史记录为 5 条。
正如你所理解的,这导致人们使用像 January16 这样的密码,将密码贴在屏幕上的便签上等等......这些政策都是常见的。
据我所知,理想的密码长度是 10 个字符,包含大写字母、小写字母、数字和符号。
因为我推测这里有人是安全审计员,也有其他人在这些问题上更有经验,所以我问你这个问题。
下次审计员来的时候,我可以向他们展示什么,以便他们允许我们将密码过期策略更改为 1 年?
我首先想到的就是向他们提供有关长而复杂的密码强度的数据,以及来自暴力密码检索应用程序的数据,以了解使用最先进的硬件可以实现多少 p/s,以及每天运行一次的脚本,以显示 AD 中是否有任何新帐户被创建作为安全措施,以防有人设法闯入网络并创建自己的帐户。
任何帮助都将非常感激。
答案1
我要做的第一件事就是找出谁真正制定了安全政策。拿到这些信息后,坐下来和他们谈谈。问问安全政策的目标是什么,希望从中得到什么,以及当前的政策如何实现这一目标。其中最重要的部分是,你听他们的回答。
可能有更安全的方法来实现您的目标。首先,字符数越多,就越能满足大写/小写/数字/特殊字符的要求。 https://xkcd.com/936/和https://www.explainxkcd.com/wiki/index.php/936:_Password_Strength应该是足够的底漆。
更安全的是使用 2FA 代替直接密码。
如上所述,频繁更改密码会导致忘记或输入错误密码的情况增加。这将导致与密码相关的帮助台呼叫次数增加,或书面或可预测密码的次数增加。
这次对话最重要的部分是理解目标,理解当前政策如何实现这些目标,以及如何发挥作用和你的队友(记住,大家都是一家公司...),避免发生冲突或侮辱。