用户密码使用期限/复杂度策略

有没有人有任何资源为我的用户确定合理的密码策略？我个人的想法是提高密码的复杂性，并允许他们较少地更改密码，这是一种折衷。与5或10年前相比，我的普通用户似乎对某些数字和特殊字符的混合具有更高的容忍度。

我正在寻找经验法则和/或资源，以用于支持我提出的策略更改。甚至还有经验丰富的人的轶事信息。

（我距离安全专家还很远，因此，如果只是要模糊处理，让我们缩小问题范围，仅适用于内部Windows网络密码，尽管我会对人们在VPN和Web方面的工作感兴趣服务政策）

在当今的随机蛮力密码攻击世界中，我倾向于同意以下说法：写下一个好的密码要比容易猜到的记忆密码好

这是密码强度的比较：

http://www.lockdown.co.uk/?pg=combi

通过考虑用户愿意使用的内容，您在做正确的事情。如果强制使用必须经常更改的高度复杂的密码，则会发现便利贴的使用量将激增。

普渡大学CERIAS的Gene Spafford对这个话题做出了明智的贡献。这是部分报价：

那么“每月更改密码”的格言是从哪里来的呢？在人们不使用网络而使用大型机的时代，最大的不受控制的认证问题就是破解。但是，资源是有限的。尽我所能，一些国防部承包商对使用大型机运行所有可能的密码需要花费多长时间进行了一些后台计算，结果是几个月。因此，他们（某种程度上合理地）将密码更改期设置为1个月，以此来打败系统的破解尝试。然后将其包含在政策中，该政策已发布，并在过去几年中被其他人广泛接受。随着时间的流逝，审计师开始寻找并最终将其构建为他们期望的“最佳实践”。

尽管如此，任何合理的分析表明，每月更改密码对提高安全性几乎没有影响甚至没有影响！
这是基于30年前在DoD环境中使用非网络大型机的经验而得出的“最佳实践”，几乎无法与当今的系统相提并论，尤其是在学术界！

我更赞成使用更长的密码（实际上，这意味着您要记住多词短语），而不是混入单词和数字。如果您强迫人们加数字，那么他们更有可能做一些简单的事情，例如将i替换为1等，这不会给您带来太大的安全性。

http://www.iusmentis.com/security/passphrasefaq/

关于密码策略的材料很多。我建议看看

• 有关密码策略的维基百科文章
• SANS 密码策略文档。
• NIST sp800-118标题为企业密码管理指南的草案

现在，必须说一些有关密码完整性的问题。事实是难以记起的密码被写下来。对于必须经常更改的密码也是如此。最重要的是，这取决于您要保护的内容和用户群。

该策略应反映用户使用计算机的目的，用户在计算机上处​​理敏感信息的程度。如果仅是为了包含用户的首选项，则在不需要采取其他一切措施来抵制攻击的情况下，您实际上并不需要此功能。如果情况相反，我宁愿让用户抱怨要记住的复杂密码。

我一直都在思考着大约20多个复杂的密码，并且我已经开始使用键盘上的模式来创建它们以记住它们。因为我只需要知道起点和制作哪种样式，它就变得更容易。每个人都讨厌更改密码，但是这种技术使我可以轻松地更改密码并记住它们，因此安全性至少对我来说是严格的。我什至可以在一张纸上记下一个字母，仍然记得要制作什么样的图案，而且我真的记不太清了。如果这对任何人都有用..我不知道。

写下一个复杂的密码而不混淆它对我来说似乎是错误的。如果有人尝试物理侵入计算机，则可以确保他们会寻找一些故事。

我相信，当我在一家医疗机构工作时，我们的一些要求来自HIPAA。我没有看过SOX法规（我想我现在在保险界一直坚持），但是他们可能有一些类似的语言作为此类事情的基础。

除此之外，如果您是较大的IT组织（较大公司的子部门）的成员，则该公司可能具有可以遵守的规则。

最重要的是，无论实施什么策略，它都应得到高级管理人员的祝福，最好是写在安全或IT策略中，所有员工都必须了解/遵守该策略。它不需要严格（每180天更改一次密码，字母和数字的组合），但这应该是公司政策，因此每个人都对要求非常清楚。

得到了一些好的建议，所以我将添加以下内容：

只要您能够确保您可以免于保单...我有一个很好的记忆力，所以我个人更希望能够使用一个18字符的密码，这个密码在6个月或更长时间内非常复杂。简单的一个，我每月必须更换一次。

请记住，仅使用小写和大写字母和空格的16个字符的密码给出53 ^ 16组合或3.876 * 10 ^ 27，而使用小写和大写字母，数字和符号的10个字符的密码仅给出95 ^ 10或5.987 * 10 ^ 19。