最近美国科学研究室与国家标准技术研究院NIST(非监管机构)发布了密码安全准则,这些标准可能与我们通常认为的提高密码安全性的做法不同,下面我们开始与您分享。
Part 1:密码长度
NIST准则指出,建议使用短语密码,因为它们比复杂的密码更安全。如,“ ThisIsNotAGoodPasswordExample”比“ B @ dex @ mp1E”更难**!NIST建议我们使用长度大于或等于15个字符或更长的字符,它不用进行复杂的大写或特殊字符,仅用短语类就十分高效。
Part 2:密码过期
长期以来员工对密码过期感到无语,现在员工可以松一口气了。 研究表明,频繁更改密码不会提高企业的安全性。NIST不建议使用密码过期的策略,而是建议在必要时去做更改密码操作。
Part 3:密码攻击
NIST建议将员工密码与常用或以前被盗用的密码进行比对,这是为了防止员工使用易受攻击的密码。
Part 4:密码提示
NIST不鼓励使用密码提示,这些提示使恶意用户获取密码更加容易。如我们在线共享的大量信息:“您最喜欢的颜色是什么?”“您老家地址是哪里?”等之类的问题的答案不难回答。
除了这些准则之外,NIST还建议了其他几种在企业中易于实施的实践。