密碼最佳實踐是眾所周知的,但它們真的是最好的嗎?在過去的幾十年中,大多數公司已經實施了他們認為是基本密碼標準的內容。這些通常包括:
1、確保由數字,字母(大寫和小寫)字元以及特殊符號和類似字元組成的複雜密碼
2、強制使用者定期更改密碼
3、要求使用者先前未使用的新密碼
4、這些準則已被廣泛接受,因此我們看到支付卡行業資料安全標準(pci dss)中的要求規定密碼應每90天更換一次。
但是,像所有成熟的技術政策一樣,重要的是不時退縮,並評估該政策在不斷變化的環境中是否有意義。這正是美國國家標準與技術研究院(nist)為密碼準則所做的。我們應該忘記幾十年來我們已經習以為常的最佳實踐,並將新常態應用於密碼管理實踐。讓我們來看看一些常用的密碼安全實踐,並與nist的更新建議進行比較。
情結不一定強
我們似乎永遠不得不選擇包含數字字元,大小寫字母和特殊字元變體的密碼,以使密碼複雜化。但是,nist已經宣告這不會導致更強的密碼,並且這種做法應該被替代為對密碼選擇更加動態的支援。 nist建議組織通過檢查選擇的密碼來防止已知洩露的洩露資料和已知的弱密碼,從而支援使用者選擇更好的密碼。很難說這個練習是不可能的,因為網際網路上有大量違反的資料。諸如hashcat和類似的密碼測試工具等工具的可用性使得密碼選擇的質量檢查相當容易。
越長越好,並允許剪下和貼上
我們都遇到過例子,你的密碼長度不能超過8或10個字元。這可以在全球一些較大的組織中看到,毫無疑問,因為遺留系統的限制。nist對密碼長度的建議很明確。它表明應該允許至少64個字元的密碼。此外,應確保使用者可以貼上到密碼資料輸入欄位中,鼓勵和支援使用密碼管理器。奇怪的是,一些**目前阻止使用者將他們的密碼貼上到表單字段中,從而破壞了密碼管理器的自動使用。
密碼提示
恢復忘記密碼的流行趨勢是允許使用者重置密碼,如果他們成功回答提示問題,如他們的第一輛汽車或他們最喜歡的老師的問題。提示問題的質量通常可能會令人滿意。不良的水平加上現在在社交**上分享的所有個人資料削弱了密碼提示的使用。nist建議我們停止使用提示問題作為幫助使用者恢復帳戶訪問的手段。
定期更改
除了nist的建議之外,國內知名黑客安全組織東方聯盟研究人員也曾表示:不建議常改密碼,即在黑客擁有您不知情的情況下獲得資訊的情況下,定期更改您的密碼。反對這種做法的論點在於選擇密碼序列或模式的人性特徵,以減輕記憶密碼的工作量。因此,使用者傾向於在當前密碼末尾新增數字或其他增量字元,並在每次被迫更改密碼時增加該字元數。這使得密碼較弱,東方聯盟不推薦這種做法。
執行密碼測試
如果您不能在使用者生成或更改其密碼時執行內嵌密碼檢查,請務必提供非常規密碼強度檢查。執行hashcat等工具並識別弱密碼,並為使用者更改所有弱密碼。停止強制定期更改密碼,當使用者懷疑自己的密碼不再是秘密時,應該更改密碼。在正常情況下,密碼不應再經常更改。
不可不知!設定什麼密碼才不易被黑客破解
密碼最佳實踐是眾所周知的,但它們真的是最好的嗎?在過去的幾十年中,大多數公司已經實施了他們認為是基本密碼標準的內容。這些通常包括 確保由數字,字母 大寫和小寫 字元以及特殊符號和類似字元組成的複雜密碼 強制使用者定期更改密碼 要求使用者先前未使用的新密碼 這些準則已被廣泛接受,因此我們看到支付卡行業...
不可不知的健康知識
健康最重要 晚上9 11點為免疫系統 淋巴 排毒時間,此段時間應安靜或聽 晚間11 凌晨1點,肝的排毒,需在熟睡中進行。凌晨1 3點,膽的排毒,亦同。凌晨3 5點,肺的排毒。此即為何咳嗽的人在這段時間咳得最劇烈,因排毒動作已走到肺 不應用止咳藥,以免抑制廢積物的排除。凌晨5 7點,大腸的排毒,應上廁...
不可不知的sudo命令
在linux運維工作中,每個人都應該各司其職。比如說運維經理掌握了root使用者,普通的運維人員一般人手乙個普通登入使用者。root使用者不簡單啊,建立使用者,日常重啟伺服器工作,以及一些其他的日常工作都是root使用者來完成的!很厲害吧!雖然運維經理是乙個super man,但是人家畢竟是經理嘛!...