一次性密码(one-time password),客户证书(client certificate),智能卡(smart card),生物识别(biometrics)等技术为帐号安全添加了新的层次。双重身份认证(two-factor authentication)则进一步增强了系统的安全性。越是关键的系统,越应该具有更多的安全认证层次。
然而,传统的密码仍然是用户认证的主要方式。而且,尽管系统具有多层次的安全认证方式,它们都还是依赖于用户名和密码组合。在建立一个密码策略时,企业应该强调以下这三个关键要素:
1)理解什么是密码策略
密码策略是一组安全规则,通过鼓励用户设置可靠,安全的密码,并且正确地保存,并利用它们,从而提高计算机的安全性。通常情况下,密码策略应该作为企业正式条例的一部分,并且是企业安全意识培训的内容之一。
虽然大多数用户了解简单密码所带来的安全风险,但是当用户必须花费时间去试图创建一个满足一系列标准的密码时,或者不得不去记住一个无比复杂的密码时,用户往往是会非常抗拒的。这就要求企业制定合理的安全条例,以及做好相关的培训,帮助用户理解强密码策略的必要性。
2)强密码策略的制定
定义“密码历史”(passwordhistory)策略: 记忆用户以前使用过的若干个密码。通过此策略的设置,用户在当前密码过期时就不能够重复使用以前相同的密码,以避免密码重用。
定义“密码最长使用期限”(Maximum password age)策略:密码在限定的期限内到期,通常情况下设置为30至90天。通过此策略的设置,如果攻击者破解了一个密码,他只能在密码过期之前的一段时间内访问帐号,从而尽量减少损失。
定义“密码最短使用期限”(Minimum password age)策略:密码一旦被设置便不能被随意改变,直到使用时间已经超过一定天数。此策略设置应与“密码历史”策略协同工作。 “密码最短使用期限”策略限制用户在短时间内反复地更改他们的密码,以达到绕过“密码历史”策略的设置,然后重复使用他们原来的密码。用户必须等待指定长的时间,一般是数天,才被允许更改他们的旧密码。
定义“最小密码长度”(Minimum password length)策略:密码必须至少包含指定数目的字符。长密码 -- 七个或更多字符 -- 通常比短密码更复杂。通过此策略的设置,用户必须创建具有一定长度的密码,从而减少被破解的几率。
定义“密码复杂性”(Password complexity)策略:此策略设置检查所有新密码以确保它们符合基本的强密码(Strong Password)要求。一般来说,强密码要求含有:大写字母,小写字母,特殊字符,数字等;但不应该含有:用户名,用户姓名,常见单词等。
3)定义合理的帐户锁定(Account Lockout)策略
帐户锁定策略不应该被随意使用。帐户锁定策略可以提高阻止未授权访问攻击的概率,但同时也可能锁定合法的授权用户。一旦合法用户的锁定达到一定的几率,企业同样会遭受不必要的损失。
如果决定使用帐户锁定策略,“帐户锁定阈值”(Account lockout threshold)策略应当设置为足够大的数字,从而合法授权用户不会因为错误地输入几次密码而被锁定帐户。
本文转自d1net(原创)