卡内基梅隆大学：密码管理指南

目的

适用于

本指南适用于至少拥有一个大学系统或应用程序的用户名和密码的所有学生、教职员工，无论是该系统或应用程序的最终用户还是系统管理员。

定义

指导方针

以下是创建强密码的一般建议：

o长度至少为 8 个字符

o包含大写和小写字母字符（例如 AZ、az）

o至少有一个数字字符（例如 0-9）

o至少有一个特殊字符（例如~!@#$%^&*()_-+=）

强密码不应：

o拼出可以在标准词典中找到的单词或一系列单词

o拼写在开头和结尾添加数字的单词

o基于任何个人信息，例如用户 ID、姓氏、宠物、生日等。

以下是维护强密码的几个建议：

密码不应与任何人共享，包括任何学生、教职员工。在某人需要访问另一个人的受保护资源的情况下，应探索授权选项的授权。例如，Microsoft Exchange 日历将允许用户将其日历的控制权委托给其他用户，而无需共享任何密码。鼓励这种类型的解决方案。即使出于计算机维修的目的，也不应共享密码。这样做的另一种方法是为维修人员创建一个具有适当访问级别的新账户。

o出现泄露迹象时更改密码

如果怀疑有人盗用了账户，请立即更改密码。请务必从通常不使用的计算机（例如大学集群计算机）更改密码。重置密码后，请通过[email protected]向当地部门管理员和/或信息安全办公室报告该事件。

o考虑使用密码短语而不是密码

密码短语是由一系列单词组成的密码，其中插入了数字和/或符号字符。密码短语可以是歌曲中的歌词或最喜欢的名言。密码短语通常具有额外的好处，例如更长且更容易记住。例如，密码短语“My passw0rd is $uper str0ng！” 长度为 28 个字符，包括字母、数字和特殊字符。它也相对容易记住。重要的是要注意此示例中数字和符号字符的位置，因为它们会阻止在标准字典中找到多个单词。使用空格也使密码更难猜。

o不要写下密码或以不安全的方式存储它

作为一般规则，应该避免写下密码。在需要写下密码的情况下，该密码应存储在安全位置，并在不再需要时妥善销毁。不建议使用密码管理器来存储密码，除非密码管理器利用强加密并要求在使用前进行身份验证。

o避免重复使用密码

更改账户密码时，应避免重复使用以前的密码。如果用户账户先前已被盗用，无论是有意还是无意，重复使用密码可能会导致该用户账户再次被盗用。同样，如果出于某种原因共享了密码，则重复使用该密码可能会导致未经授权的人访问账户。

o避免为多个账户使用相同的密码 

虽然为多个账户使用相同的密码更容易记住密码，但它也可能产生连锁效应，允许攻击者未经授权访问多个系统。这在处理更敏感的账户时尤其重要，例如 Andrew 账户或网上银行账户。这些密码应不同于用于即时通讯、网络邮件和其他基于网络的账户的密码。

o不要使用自动登录功能

使用自动登录功能抵消了使用密码的大部分价值。如果恶意用户能够对配置了自动登录的系统进行物理访问，他或她将能够控制系统并访问潜在的敏感信息。

以下是负责提供和支持用户账户的个人的指南：

o强制使用强密码

许多系统和应用程序包括防止用户设置不符合特定标准的密码的功能。应该利用诸如此类的功能来确保只设置强密码。

o要求更改初始密码或“首次”密码

强制用户更改其初始密码有助于确保只有该用户知道他或她的密码。根据用于创建密码并将其分发给用户的过程，这种做法还可以帮助降低初始密码在传输给用户期间被猜测或拦截的风险。本指南也适用于必须手动重置密码的情况。

o强制初始或“首次”密码过期

在某些情况下，用户可能会获得一个新账户，但在一段时间内无法访问该账户。如前所述，初始密码被猜测或拦截的风险更高，具体取决于用于创建和分发密码的过程。强制初始密码在一段时间（例如 72 小时）后过期有助于降低这种风险。这也可能表明该账户不是必需的。

o不要将受限数据用于初始或“首次”密码

数据分类指南在其数据分类方案中定义了受限数据。受限数据包括但不限于社会保险号、姓名、出生日期等。此类数据不应全部或部分用于制定初始密码。有关更全面的数据类型列表，请参见附录 A。

o在重置密码之前始终验证用户的身份

在重置密码之前，应始终验证用户的身份。如果请求是当面提出的，带照片的身份证明就足够了。如果通过电话提出请求，则验证身份要困难得多。这样做的一种方法是请求与用户进行视频会议（例如 Skype），以将个人与其照片 ID 相匹配。然而，这可能是一个繁琐的过程。另一种选择是让该人的经理致电并确认请求。出于显而易见的原因，这不适用于学生的请求。如果可用，提示用户一系列自定义问题的自助密码重置解决方案是解决密码重置问题的有效方法。

o永远不要询问用户的密码

如上所述，不应以任何理由共享个人用户账户密码。与本指南的一个自然关联是永远不要向其他人询问他们的密码。再一次，权限委派是询问用户密码的一种替代方法。一些应用程序包括允许管理员模拟另一个用户的功能，而无需输入该用户的密码，同时仍将操作绑定到管理员的用户账户。这也是一个可接受的替代方案。在计算机维修情况下，要求用户在其系统上创建一个临时账户是一种替代方法。

以下是针对负责系统和应用程序的设计和实施的个人的几项附加指南：

o更改默认账户密码

默认账户通常是恶意用户未经授权访问的来源。如果可能，应完全禁用它们。如果无法禁用该账户，则应在安装和配置系统或应用程序时立即更改默认密码。

o对系统级和共享服务账户密码实施严格控制

共享服务账户通常提供对系统的更高级别的访问权限。系统级账户（例如 root 和管理员）提供对系统的完全控制。这使得这些类型的账户极易受到恶意活动的影响。因此，应该实施更冗长和复杂的密码。系统级和共享服务账户通常对系统或应用程序的运行至关重要。因此，这些密码通常由多个管理员知道。任何知道密码的人改变工作职责或终止雇佣关系时，都应更改密码。还应尽可能限制 root 和 Administrator 等账户的使用。

o不要为多个管理员账户使用相同的密码

对多个账户使用相同的密码可以简化系统和应用程序的管理。但是，这种做法也可能产生连锁效应，使攻击者能够通过破坏单个账户密码而闯入多个系统。

o不允许以纯文本形式传输密码

以纯文本形式传输的密码很容易被有恶意的人截获。FTP、HTTP、SMTP 和 Telnet 等协议都以纯文本形式传输数据（包括密码）。安全的替代方案包括通过加密隧道（例如 IPSec、SSH 或 SSL）传输密码，使用单向哈希或实施基于票据的身份验证方案，例如 Kerberos。

o不要以容易撤销的形式存储密码

不应使用弱加密或散列算法存储或传输密码。例如，DES 加密算法和 MD-4 散列算法都存在已知的安全漏洞，可能允许对受保护的数据进行解密。3DES 或 AES 等加密算法和 SHA-1 或 SHA-256 等散列算法是前面提到的算法的更强替代方案。

o实施密码更改或重置的自动通知

更改或重置密码时，应自动向该用户账户的所有者发送一封电子邮件。这为用户提供了更改或重置成功的确认，并且还提醒用户他或她的密码是否在不知情的情况下更改或重置。

以下是系统或服务账户的附加指南 - 那些不是为人类使用而设计的：

o在可能的情况下，服务账户应该是随机生成的，长（>= 15 个字符），并遵循与上述强密码相同的复杂性要求。

oMicrosoft Active Directory 中具有服务主体名称 (SPN) 的服务账户应随机生成，长（>= 28 个字符），并遵循上述强密码的相同复杂性要求。较长的长度减轻了弱加密密码。

原文始发于微信公众号（祺印说信安）：卡内基梅隆大学：密码管理指南