ACM通信
密码策略正在失去控制
很久以前我就明白了一个道理:一个人的低效就是另一个人的底线。这个简单的观察解释了我们在世界范围内面临的许多大问题。不过,我不想讨论这些棘手的政治话题,而是想以这个观察结果为出发点,讨论困扰我们所有人的问题:密码策略。
- 密码规则:最少8个字符
- 必须包含至少一个大写字母
- 必须包含至少1个小写字母
- 必须包含至少1个数字
- 必须包含至少1个特殊字符
- 不能包含连续字符(abc或cba)
- 不能包含重复字符(aa, bb等)
- 同一字符不能包含两次以上
- 输入的密码不能与最近10次使用的密码相同
- 24小时内不可更改
- My_P@$$w0rd(因为重复字符而失败)
- USg0v8(因为太短而失败)
- $tuPidP@55(因为重复字符而失败)
- 77pasS@77(失败,因为同一个字符超过两次)
评论
匿名
这是完全正确的,而且矛盾的是,我确信密码规则越严格,被黑客攻击的风险就越大。奇怪而奇妙的规则极大地增加了你把密码写在某个地方的必要性,当然,因为每个网站都有一些不同的相关规则,通常密码旁边会有一个有用的指示。
我拒绝写下我的密码,结果是很多网站,包括我的一个信用卡网站,迫使我每次都要求重置密码。每次我需要做一些网上账户时,那家公司可能都能听到我沮丧的尖叫。
匿名
Keepass (http://keepass.info/)将为您生成此密码,但非重复元素将其标记为不太安全。
规则是:ulds[ulds]{4} -解释在:http://keepass.info/help/base/pwgenerator.html#pattern
匿名
好吧,就像CAPTHA是完全电脑可读的。但理智的人是看不懂的。所以这条评论可能永远不会被发布:)
匿名
有趣的是,特定密码策略中的所有措施实际上使密码变得更弱而不是更强,因为它们提供了一系列所有密码都要遵守的规则,减少了密码破解者的搜索空间。哦,快乐。
匿名
谢谢Jason,有趣而真实的评论。
就像你说的:一个人的低效率是另一个人的底线。
这里我们有终端用户的安全性与易用性的冲突;还要与服务台的生产力相比较。
引入一项技术并将最终用户流程设置到位,那么组织就有可能实现it安全性制定的安全需求,同时避免用户忘记密码的麻烦——这是复杂密码策略的真正成本。
根据您组织的需求,您可以找到适合您的不同商业软件包。我们已经开发了FastPass解决方案,它帮助大型组织中的50多万用户获得高级的密码策略,而不会成为用户和服务台的负担。
问候
芬恩詹森
FastPassCorp.com
匿名
如此严格的密码策略会导致密码难以记忆,用户只能简单地把它写下来,放在键盘附近。在这一点上,所有的安全优势都失去了。
匿名
我在密码策略中实施的唯一限制是最小字符数(不少于12)。这就是您需要做的所有事情,以确保更强的密码,同时让用户更容易记住它们。认为句子。
匿名
如果政策不允许重复,它会减少可能的组合数量
根据众所周知的公式n!/(n-k)!重复组合的数量(和pwd的顺序关系)是n^k
N -可用的不同字符的数目
用于密码的字符数
但这可能是为了简化密码强度和策略检查的妥协,并防止像aaaaaaaa这样的密码:)
所以这部分只是懒惰的开发者/管理员vs懒惰的用户。
匿名
优秀的文章。不过,我有一个疑问:如果你是负责设置密码策略的人,你会设置哪些规则?
匿名
我认为,与其拥有如此疯狂的复杂性,或许安全专业人士更应该对设置重试限制/定时锁定、限制他们的web服务以及其他减少自动攻击威胁的措施感兴趣,而不是如此努力地设计“聪明的”复杂性需求……如果你担心的是其他人,那么人类知道查看你的键盘下面,你的桌子里,你的显示器后面或任何你可能保存了你写下的复杂密码的地方。
对于用户数据库可能被直接破坏的说法,也许你需要在一开始就更好地保护它。
密码应该适度复杂,但不要达到您所描述的这个网站的程度。这太疯狂了。
不管怎样,谢谢你写这篇文章!- j