【TechTarget中国原创】问:在最近的公司安全会议上,有个话题是密码和密码更新。风险管理组提出一种观点是不要让终端用户定期更改密码。他们说系统帐户和系统管理员层应该继续这么作,但是一般用户不能。我觉得他们的观点有些奇怪,因为共享密码的用户总是问题。还有,随着我们采用单点登录,我认为这是在目前的安全意识环境中的不寻常的进步。风险管理的争议是如果一个密码足够强大,就没有定期更改的理由。
答:我也看到了这种趋势,以及对密码思考的“新”方式。我们都被带入了这样一个怪圈“密码最少要八个字符,必须每30天更改一次”。根据我作为一个顾问的经验,如果用户经过了六到十二个月的培训(这很重要),安全依然很强大。我们都知道编写(并对其好处进行否定)没有任何个人意义的复杂密码是人类的天性,特别是当他们必须要经常更改的时候。我崇尚对安全和便利的权衡,因为如果不这样,只有黑客可以胜利。记住这是理想的情况。如果你怀疑因为有人共享密码、通过明文文本邮件传送,并在没有保护的硬盘上存储而导致密码很容易受到攻击,那么这些密码就需要经常更改。