配置强管理员密码策略

Question

只是想知道除了“最短密码期限”、“密码必须满足复杂性要求”等通用策略之外是否还有更多密码策略。我想为管理员创建更强大的密码策略。有没有办法增加密码要求的复杂性？

另一件事，有没有办法阻止用户做这样的事情：

旧密码：password1（过期...） 新密码：password2（过期...） 等等。

我们发现很多用户只是在密码末尾添加一个新数字。

预先感谢，

马特

Answer 1

我们发现很多用户只是
在末尾添加一个新数字
他们的密码。

这是密码复杂性的一个众所周知的问题，尤其是老化要求 - 它们通常会降低安全性，因为人们会在记不住密码时写下密码。如果您的用户这样做，则很好地表明您的密码过期得太快了。

另请参阅：密码复杂性策略 - 有证据吗？

Answer 2

如今，密码强度和可用性常常不一致。如果您是具有前瞻性思维的组织的一员，我发现的最佳技术是鼓励用户使用既能解决您的问题又能解决他们的问题的应用程序，例如 密码管理器。 KeePass 和 密码保险箱就是两个这样的应用程序，但还有许多其他应用程序。新政策如下：

• 鼓励用户创建 1 个他们拥有并维护的强密码，这是其本地/私有加密数据库的密码。
• 要求他们使用内置功能来生成随机的强密码。
• 鼓励他们简单地使用密码管理器到您的应用程序的复制/粘贴功能。

这种方法有几个优点/缺点；但请相信我，当用户不必处理当今密码所需的所有不友好的废话时，他们会更高兴，并且他们实际上可能会停止缩短您的策略。

Answer 3

只是想知道是否还有更多
超越通用的密码策略
例如“密码最短期限”，
“密码必须满足复杂性
要求”等。我想
创建更强大的密码策略
管理员。有没有办法
增加密码的复杂性
要求？

最短和最长密码期限、密码历史记录（与最短期限一致）、一次性密码本、使用令牌或智能卡等加密硬件的基于加密的方法，......许多安全选项。

如果您只是想让密码本身更复杂，...只需决定您的目标是什么（例如，想要避免出现在彩虹表中，想要进行攻击至少需要 X 小时/天/周/月）并选择基于此您的复杂性要求。

如果您规定密码必须包含字母、数字、符号，至少 16 个字符，并且其中不包含任何单词（包括 leeted 单词），那么您可能相当安全，除非您的管理员已经编写了密码下来并将其放在键盘下方。

还有一件事，有没有办法
阻止用户做类似的事情
这个：

旧密码：password1（过期...）
新密码：password2（过期...）
等等

我们发现很多用户只是
在末尾添加一个新数字
他们的密码。

这个很容易。通常将最短密码期限与以明文形式保留 N 个历史密码（但绝对不是当前密码）相结合，以防止人们快速重复使用密码。只需确定新密码的差异程度，然后检查每个新密码的编辑距离历史密码。

Answer 4

正如 Sponsz 上校指出的那样，一些研究数据表明这些政策通常会让事情变得更糟。

我建议尝试一些免费工具，例如无状态密码生成器（例如 Getpass），因为它们生成高度复杂的（对于现代标准）默认密码。此外，与云密码管理器不同，它们不存储密码或任何其他客户端数据。它们是免费且开源的。