明智的密码政策

9

我的任务是制定公司安全策略。在此过程中，我想定义什么是明智但安全的密码（长度，字符等），应多久更改一次密码，密码历史记录的长度等等。

显然，我需要在安全性和实用性之间取得平衡。

人们通常认为什么是好的密码策略？

security password-management password-generation

— 乔恩·霍普金斯
source

5

维基百科对此主题有很好的总结

常用密码实践密码策略通常包括有关正确密码管理的建议，例如：

从不共享计算机帐户
切勿为多个帐户使用相同的密码
永远不要将密码告诉任何人，包括声称来自客户服务或安全部门的人
永远不要写下密码
从不通过电话，电子邮件或即时消息传递密码
在离开计算机前请小心退出
怀疑有可能更改密码
操作系统密码和应用程序密码不同
密码应为字母数字
使密码完全随机，但容易记住

代尔夫特理工大学的建议：

可接受密码的特征

密码至少包含八个字符，并且
它至少包含一个大写字母，并且
它至少包含一个小写字母，并且
它至少包含一个数字或另一个字符，例如！@＃$％^＆（）{} [] <> ...，以及
它不是熟悉的语言或专业术语，并且
它与随附的帐户名，个人特征或家庭/社交圈的信息不同，或与之无关，并且
它很容易记住，例如通过关键句，以及
可以流畅输入。

保护密码的最佳做法

避免在工作和私人生活中使用相同的密码；
将所有密码视为敏感信息，请勿与同事，家人或其他熟人共享；
在正常情况下或在请假或生病的情况下，请勿向同事，老板或其他熟人透露密码；
不要在公开场合，电话或未加密的通信中提及任何密码；
切勿在可自由访问的位置记下密码；
不要提供有关用于记住密码的助记符的任何提示；
永远不要在问卷或安全表格中提供有关密码的信息；
如果怀疑滥用，请向安全组织报告并立即更改所有涉及的密码；
如果有人想知道密码，请参考此政策。

— 伊沃·弗利普斯（Ivo Flipse）
source

3

随着键盘记录程序和网络钓鱼攻击的激增，您的组织可能希望考虑使用“强”密码的替代方法。请参阅Bruce Schneier的博客，该文章涉及“强Web密码能实现任何功能吗？”。

我强烈建议使用两因素身份验证。在足球，SecureID和Yubikey之间，实现第二种身份验证非常容易且相对便宜。

— 心律失常
source

2

我喜欢Passwordsafe来跟踪密码。

我的建议：

鼓励使用短语而不是单词。由3-4个单词组成的废话短语比8个乱码更容易记住。
设置合理的最大使用寿命。3至6个月。
不要依靠1337说话来保护密码。破解之类的蛮力字典攻击者进行字母->数字更改已近20年了。但确实需要字母，数字，大小写和标点符号。
不要依靠非英语单词来保证安全。任何傻瓜都可以将多个词典加载到程序中。他是否会说语言都没关系。

— pgs
source

+1代表密码安全。我实际上并不知道大多数密码，而且密码都是不同的，即使是所有随机网络商店也是如此。

— RBerteig

很好地提醒您，简单的数字/字母替换并不是很好的防御措施。我认为字典破解完全适合人们也只需添加数字吗？

— 乔恩·霍普金斯

@暴龙：如果可以自动化，你可以打赌有人尝试过。字典攻击很慢，但是很容易并行化。想象一下僵尸网络攻击密码。

— 页

我认为这里的一个好问题是：密码管理器应该成为公司安全策略的一部分吗？是否应该允许普通用户（可能不是来自IT部门的用户）在其工作站中具有密码管理器？

— Isxek

我个人对此没有问题。我可以在我管理的任何计算机上重置密码，而其他计算机不是我的问题。当然，单点登录和适当管理的权限比多个密码和密码管理器更好。

— 页

2

对于个人物品，我使用

对于重要的事情；GMail，Web主机，在线银行-另一种16位随机生成的（A-Za-z0-9），存储在DropBox 的KeePass数据库中，使用复杂但容易记住的密码加密。也许有点太过热情，但这并没有太多麻烦。
对于不太重要的普通事情-论坛，与金钱无关的帐户等，我使用一组更简单的密码。

— 汤姆
source

1

您需要为更改频率选择一个“合理的”频率。太快了，人们会退化为<old_password>+<number>（或类似的东西），所以太慢了，您会增加密码被泄露的风险。可能值得研究是否可以设置规则来防止这种情况发生。

同样，您需要有一条规则，规定密码不能多次更改（也许是10个）重复使用，这样人们才可以在帐户的两个（或三个）密码之间交换。

使密码至少由字母数字和至少一个大写字母组成。为了使其更加安全，还必须至少包含一个非字母数字字符。

— 克里斯·弗
source

1

您可能拥有类似SuperGenPass之类的密码生成器。因此他们的密码可能很弱，但是生成的字符串却非常强。但这对于网站登录来说会更多。

其他选项是：

使用1337以密码说话。
使用带有标点符号的阶段，例如，这是一个非常长的密码！
加入两个[Th1，是v3ry v3ry l0ng p4ssw0rd！]

— 史提芬
source

SuperGenPass并不是这样，所以您可以拥有一个弱的主密码，只是您只需要记住一个强密码即可。这是一个重要的区别。

— itsadok

没有理由认为元音交换数字将提供任何保护。

— 克里斯·伯吉斯

1

在星期五，我不得不在客户站点更改密码。他们制定的规则是荒谬的。它们都是标准的，必须具有大写，标点符号，最小长度等。

第一个字符不能为标点符号。
没有字典单词。
同一字符不能使用两次。

问题是它们是如此复杂，几乎找不到它，特别是因为错误消息没有告诉您它们还有其他要求。

我打电话给服务台，他们说，只使用一个像Pa5word＃这样的密码（不是真实的密码），然后继续增加数字即可。

我发现这些系统完全疯狂，因为它们使您无法使用密码短语，例如“ thisismypasswordforjanurary”非常容易记住并且非常安全，但是大多数系统都不允许使用这些类型的密码短语。

因此，我将投票建议使用最小长度上限，例如15至20个字符，这意味着人们不仅可以使用文字而且不需要33t样式的密码。

无论您选择什么，我都将确保您记录下这些限制是什么，为什么存在这些限制以及一些示例，以帮助用户生成安全的限制。

— 布鲁斯·麦克劳德
source

这在军事系统上很常见，您必须每月更改一次密码，并且不能重复使用最近的12个密码。结果是人们只将数字或日期放在简单密码的末尾

— Martin Beckett

1

这里的大多数答案都直接提出政策建议。哪个确实回答了问题，所以很好。但是我认为您首先要问自己：保护的信息有多重要？

例如，国防部用于保护机密信息的密码策略可能与您将用于一次性电子邮件帐户的策略完全不同。

— 马克范伦特
source

1

简洁版本：

我的管理员部分说12-16个字符的密码，包括大小写字母和数字。还应该有一个不在任何词典中的随机文本部分。应该足以防止基于网络的暴力攻击。

作为用户，我喜欢容易记住的密码，即使密码可能很长（16个字符及以上）。记住后，我可以输入足够快的速度。也许不仅仅是执行策略，您还应该找到巧妙的方法来教会用户选择安全且易于记忆的密码，而不仅仅是随机的字符。

— 菜乌贼
source