配置强管理员密码策略

时间:2010-06-11 14:36:14

标签: passwords password-protection

只是想知道是否有更多的通用密码策略,例如“最小密码期限”,“密码必须符合复杂性要求”等等。我想为管理员创建更强大的密码策略。有没有办法增加密码要求的复杂性?

另一件事是,有没有办法阻止用户做这样的事情:

旧密码:password1(过期...) 新密码:password2(过期...) 等

我们发现很多用户只是在密码的末尾添加了一个新号码。

提前致谢,

马特

4 个答案:

答案 0 :(得分:2)

  

我们发现很多用户都是   在末尾添加一个新号码   他们的密码。

这是一个众所周知的密码复杂性问题,特别是老化要求 - 它们通常会降低安全性,因为人们会记下密码,因为他们无法记住密码。如果您的用户正在执行此操作,则表明您过快地使密码过期。

另请参阅:Password complexity strategies - any evidence for them?

答案 1 :(得分:0)

密码强度和可用性这些天经常不一致。如果您是前瞻性思维组织的一员,我发现的最佳技术是鼓励用户使用既解决问题又能解决问题的应用程序,例如Password ManagersKeePassPassword Safe是两个这样的应用程序,但还有很多其他应用程序。这是新政策:

  • 鼓励用户创建他们拥有并保持的1个强密码,这是其本地/私人加密数据库的密码。
  • 要求他们使用built in functionality生成随机强密码。
  • 鼓励他们只使用密码管理器中的复制/粘贴功能到您的应用程序

这种方法有几个优点/缺点;但是相信我,如果用户不必处理密码所要求的所有不友好的废话,他们可能实际上会停止缩短你的政策。

答案 2 :(得分:0)

  

只是想知道是否还有更多   超出通用的密码策略   诸如“最小密码年龄”之类的,   “密码必须符合复杂性   要求“,等我想   为...创建更强的密码策略   管理员。有办法吗?   增加密码的复杂性   要求?

最短和最长密码年龄,密码历史记录(最小年龄段),一次性密码,使用加密硬件(如令牌或智能卡)的基于加密的方法,......许多安全选项。

如果您只想让密码本身更复杂,...只需确定您的目标是什么(例如,想避免进入彩虹表,想要进行攻击需要至少X小时/天/周/月并基于此选择您的复杂性要求。

如果你说密码必须包含字母,数字,符号,至少16个字符,并且没有任何单词(包括leeted words),你可能相当安全,除了你的管理员有这个把密码写下来并把它放在键盘下面。

  

另一件事,是否有办法   防止用户做类似的事情   这样:

     

旧密码:password1(过期...)   新密码:password2(过期...)   等

     

我们发现很多用户都是   在末尾添加一个新号码   他们的密码。

这个很容易。通常将最小密码使用时间与以明文形式保留N个历史(但绝对不是当前密码)密码相结合,以防止人们快速重新使用密码。只需确定不同的新密码必须如何,并从每个历史密码中查看新密码的edit distance

答案 3 :(得分:0)

正如Sponsz上校所指出的,有一些研究数据表明,这些政策通常会使事情变得更糟。

我建议尝试使用一些免费工具,例如无状态密码生成器(例如Getpass),因为它们默认会生成高度复杂(对于现代标准)的密码。此外,与云密码管理器不同,它们不存储密码或任何其他客户端数据。它们是免费和开源的。