建议组织建立强密码的创建、维护和存储标准。目前,组织在实施密码策略时应审查两种方法。第一个是遵循美国国家标准与技术研究院(NIST)密码建议提供的所有准则,如特别出版物(SP)800-63B第5.1.1.2节中列出的。如果组织由于预算或技术限制而无法遵循NIST SP 800-63B,在努力实现NIST标准时建议采取以下措施。
创建
-
实施复杂性规则:
-
允许的最小密码长度为14个字符。
-
强制密码包含大写和小写字母、数字0到9以及非字母数字字符。
-
不允许使用重复或连续的字符(例如“aaaaaa”、“abc123”)。
-
不允许使用特定于上下文的单词,包括用户名及其派生词。
为了计算密码的熵(强度),将字符集计算为密码长度的幂。
普通键盘上有26个大写字母、26个小写字母、10个数字和33个ASCII可打印符号。计算机每秒可以猜测超过10亿个密码。
|
人物 |
8个字符 |
9个字符 |
10个字符 |
11个字符 |
12个字符 |
|
全部 |
70天 |
18年 |
1,707年 |
169,547年 |
15,091,334年 |
|
仅小写 |
208秒 |
90分钟 |
39小时 |
42天 |
3年 |
维护
-
实施与密码结合使用的双因素或多因素身份验证:
-
您拥有的东西(例如用于接收短信的手机、物理钥匙等);
-
您的身份(例如指纹等生物识别信息);或者
-
您所在的某个地方(例如GeoIP)。
-
密码策略应强制执行:
-
密码最长期限为30至90天;
-
密码最短使用期限与密码历史记录相结合,以限制密码重复使用。如果没有最短密码期限,强制执行密码历史记录是无效的。
-
接受所有Unicode字符和空格。
-
对员工进行密码最佳实践教育。
贮存
-
不要使用可逆加密来存储密码。假设最终会泄露,密码应存储为加盐的单向密钥派生函数。
原文始发于微信公众号(河南等级保护测评):网络安全入门–组织密码最佳实践
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论