【TechTarget中国原创】问:我们企业的用户好像经常创建弱密码。当我们想要采用强大的密码系统(要求数字、符号和字母混合使用)的时候,我们的服务台总是被忘记密码的请求淹没,用户开始把密码留在监视器上或者放在键盘下面。在员工可以记住的弱密码和黑客可能找到的强大密码之间有令人满意的平衡方法吗?
答:企业密码管理策略不应该受到服务台呼叫量的驱动,而是应该受到业务风险的驱动。认为可能受到攻击的企业对他的关心程度如何呢?基于目前的复杂程度和封闭的价值,需要多少天用自动的方式攻击一个账户呢?用户改动他们密码的频率应该是多少呢?所有这些问题的答案都要给予企业的风险状态和安全策略。
这就是说,还要考虑和显示器上的便签纸相关的风险。有没有定期执行预排,确定机密数据(比如密码)没有留在桌子上。有没有安全意识项目可以教育员工一些社会工程威胁的课程?
只有公司可以回答密码的复杂程度应该是怎么样的这样的问题,而且第一步是确定有密码管理策略的文档。信息安全组应该快速的制定一份。我上面问到的问题应该是确定策略内容的很好的开始。但是一般来说,密码策略应该至少包括以下关键控制:
- 最小的密码长度
- 特别字符。例如大小写、数字或者特殊字符
- 变更密码的时间表
- 在账户被系统锁定前可以输入劣质密码的次数。
- 用户可以再次使用一个密码的反复次数,这样可以避免用户在两个密码中变换。