美国科学研究室与国家标准技术研究院NIST会经常发布密码安全准则，我们可以参考这些标准来提高密码安全性。其中有些标准可能与我们通常认为的提高密码安全性的做法不同，比如NIST准则指出，建议使用短语密码，因为它们比复杂的密码更安全。

终端用户密码是整个安全协议中最弱的部分，大多数用户倾向于在工作帐户和个人帐户之间重用密码。

他们还可能选择相对较弱的密码，虽然这些密码可以满足公司密码策略的要求，但很容易被猜测或强行使用，而且公司的用户也可能无意中使用了违反密码的公司帐户密码。

NIST拥有一个网络安全框架，可帮助组织解决其环境中常见的网络安全漏洞，包括弱密码，重复使用的密码和违反密码规则的密码。这篇文章将仔细介绍了NIST密码准则，并了解如何有效审核密码策略以确保它们符合NIST推荐的标准。

NIST密码准则和最佳做法

在标题为“存储的秘密验证者”的一章中介绍了有关密码的特定指南，NIST在密码管理方面有一些建议：

1.密码长度不少于8个字符；

2.ASCII字符可以和空格一起使用；

3.如果服务提供商随机选择密码，则密码长度必须至少为6个字符；

4.应将密码与已知的常用密码，预期密码或已泄露的密码进行比较。

什么类型的密码是常用的、预期的或被破坏的？

1.以前违反密码规则的密码；

2.字典单词；

3.连续或重复的字符；

4.与上下文相关的单词(包括用户名、企业名称等)。

NIST还推荐了以下其他密码安全机制，包括：

1.限速登录尝试失败；

2.不强制用户在任意天数后更改密码；

3.如果有证据表明帐户密码被泄漏(即密码被泄漏)，则强制更改密码；

4.应该向用户提供有关特定密码策略要求的指南。

审核Active Directory密码策略

如今，大多数企业组织都使用Microsoft Active Directory作为其集中式身份源和访问管理解决方案。许多策略使用组策略提供的内置Active Directory密码策略，作为组策略帐户策略的一部分，内置的密码策略提供了为Active Directory环境创建密码策略的基本功能。

下面是配置有默认密码策略设置的默认域策略的示例，包括：

1.密码最长使用期限；

2.最短密码期限；

3.最小密码长度。

密码必须符合复杂性要求

默认的域策略密码策略

正如你在“密码策略”属性中看到的那样，没有内置的方法可以检测到违反的密码或上传用于自定义字典目的的密码列表文件。根据NIST建议的密码准则，此策略不符合NIST标准。

如果你有许多不同的密码策略，并且可能有许多不同的密码设置和配置，该怎么办？你如何有效地审核Active Directory密码策略，以查看它们如何符合NIST标准和其他标准的建议？

使用Specops Password Auditor工具对标NIST标准

如果你拥有一个可提供所有Active Directory密码策略可见性的工具以及这些策略如何符合领先的行业标准，情况会怎样？Specops Password Auditor是一个强大的工具，不仅使你可以快速查看Active Directory环境中的危险密码。它还使你可以根据顶级网络安全标准快速审核现有密码策略，以确保符合这些策略。

如你所见，Specops Password Auditor工具使你可以快速查看组织的Active Directory环境中的危险密码。比如：

• 空白密码

• 违反密码设置的密码

• 相同的密码

• 管理员帐号

• 过期的管理员帐户

• 非必须密码

• 永久密码

• 密码过期

• 密码过期

• 密码策略

• 密码策略用法

• 密码政策合规

Specops密码审核员

Specops Password Auditor的“密码策略合规性”报告将现有Active Directory密码策略中的设置与以下标准进行比较：

• MS研究

• MS TechNet

• NCSC

• NIST

• PCI

• SANS管理员

• SANS用户

你可以快速查看你现有的密码策略是否满足各种网络安全标准建议的要求，当执行审核以使安全策略与不同的网络安全框架（如NIST）保持一致时，它可以抵消IT或安全管理员的巨大负担。如你所见，cloud.local策略就不符合NIST。

Specops Password Auditor密码策略合规性报告

如果你点击NIST下的“红框”查看特定的域密码策略，你会看到为什么该策略不符合特定的标准。我们看到最小长度和字典设置都失败了。

将你的密码政策与NIST标准进行比较

使用Specops Password Auditor和Specops密码策略

通过Specops Password Auditor，你可以很好地查看Active Directory密码策略与行业标准网络安全标准的对比。使用Specops密码策略，你可以轻松实现Active Directory密码策略的更高级组合，包括自定义词典文件和查看违背密码保护的功能。

总结

使用推荐的网络安全最佳实践(如NIST)来维护Active Directory环境的可见性和合规性，是增强环境安全性的好方法。NIST是著名的行业标准网络安全框架，可为密码安全提供更好的指导。

当今，大多数企业都在环境中使用Active Directory密码策略。根据NIST标准对密码策略进行审核有助于查看现有策略中可能需要重新访问的所有方面。

Specops Password Auditor使密码安全审核过程非常容易，它会自动提取环境中现有密码策略的所有设置，并将其与行业标准的网络安全框架（例如NIST）进行比较。Specops密码策略可以轻松实现NIST建议和其他如自定义字典和较弱的密码保护。

参考及来源：https://thehackernews.com/2021/01/creating-strong-password-policy-with.html