我有需要密碼原則的 Windows 網域。現在還沒有一個。有人對弱密碼和密碼強度高到只需寫下來的使用者之間的良好平衡有回饋嗎?
由於沒有人擁有過期密碼,我認為我可以透過從使用者帳戶中刪除「密碼永不過期」屬性來逐步引入使用者。這樣我(和服務台)就不會受到問題/密碼重置的困擾。任何反饋?
答案1
美國國家標準與技術研究院 (NIST) 有一些有關電腦安全主題的優秀出版物。它們是很好的資源...您正在尋找的出版物是 NIST 特別出版物 800-53。 (相信我,它並不像聽起來那麼糟)
IMO 密碼策略應該是這樣的:
- 8 個字符
- 以下 3 種:大寫、小寫、數字、特殊字符
- 不能重複使用最後 12 個密碼
- 密碼有效期限 30-90 天
答案2
請記住,您的策略越嚴格,需要解鎖帳戶或重設密碼的使用者呼叫您的次數就越多。您的策略限制越少,您的組織面臨的風險就越大。
預設情況下,您無法定義如何複雜的網域密碼策略是(至少到 2003 年為止)。改變規則的方法和手段有很多,但據我了解,這非常複雜,而且不是為了假裝的。換句話說,您無法決定您的使用者密碼為 3 個大寫字母、2 個特殊字母、2 個數字等。
這是當您使能夠這密碼必須滿足複雜性要求預設域群組原則中的設定:
密碼必須滿足複雜性要求。
此安全性設定確定密碼是否必須符合複雜性要求。如果啟用此策略,密碼必須符合以下最低要求:
不包含使用者的帳戶名稱或使用者全名中超過兩個連續字元的部分長度至少為六個字符
包含以下四個類別中三個類別的字元:
英文大寫字元(A 到 Z)
英文小寫字元(a> 到 z)
10 基數(0 到 > 9)
非字母字元(例如,!、$、#、%)
更改或建立密碼時會強制執行複雜性要求。
你什麼能然而設定的是:
- 最小密碼長度
- 最短密碼期限
- 密碼最長使用期限
- 密碼歷史記錄
- 帳戶鎖定閾值(無效登入嘗試)
- 帳號鎖定時長
在我們所有的網域中,我們使用複雜性、最少 8 個字元、最短期限 14 天、最長期限 90 天、14 個密碼歷史記錄、5 次無效登入嘗試、30 分鐘鎖定時間
答案3
duffbeer703 的連結很好。某些密碼限制和最低要求存在一些技術原因。如果您不在完全同質的環境中,您尤其需要探索這些限制。
無論如何,8 個字符,四個字符中的三個組規則是相當標準的。我個人所做的就是訓練我的用戶創建密碼短語而不是密碼。這使得密碼的設定變得更加容易,而且他們不需要花費太多時間來嘗試弄清楚如何滿足所有這些字元要求。密碼如“天氣晴朗。Yippee!”很容易想出並記住。
但是,如果人們在編寫密碼短語時使用正確的英語語法,從而在一定程度上限制了可能組合的總數,那麼這種方法就會存在問題。也就是說,始終以大寫字母開頭並以句點結尾的密碼不會僅僅因為它包含大寫字母和句點而變得更強,它會更弱,因為我們可以提前猜到這一點。
在我看來,其他標準 Windows 網域規則都很好,只是我只需要每季更改一次密碼。就我個人而言,我並不認同密碼過期的概念。如果帳戶被盜,即使三十天也是永恆的。不管怎樣,當人們必須更改密碼時,他們會變得非常憤怒。
由於即使是安全專家也無法在與密碼相關的任何問題上達成良好的中間立場,因此我認為大多數極端建議都是愚蠢的,除非您特別處於高度安全的情況下。我認為最重要的,也是我讓用戶實際簽署的,是類似於以下內容的聲明:「永遠不要與任何人共享您的密碼。我不關心他們是誰或為什麼他們需要訪問您的電腦當您度假時,您的密碼安全是您的責任。據我所知,最嚴重的帳戶濫用行為來自於人們共享密碼。所有其他 133t 黑客的東西對於普通的老業務來說幾乎不是什麼問題。
答案4
Nist 出版物還可以,您的網域密碼策略並不像教育用戶不共享密碼那麼重要。只要密碼沒有貼在他們的鍵盤上並且他們不共享它,那麼永不過期的密碼本質上並沒有什麼問題。基本上,您設定的任何參數都可以,需要考慮的最重要的兩件事是:
帳戶鎖定閾值(無效登入嘗試) 帳戶鎖定時長
這限制了人們暴力破解你的安全的能力。我通常建議閾值為 5,持續時間為 2 小時,但這當然取決於具體情況。正如博登指出的那樣,即使是安全專家也無法就什麼是安全密碼策略達成一致。事實上我會實施伺服器和網域隔離在我擔心我的密碼政策之前。那時我會給你我的密碼——你仍然無法進入我的資源。