Re: [閒聊] 密碼管理原則

看板NetSecurity (資安資訊安全)作者SlimeEditor (菜瓜布)時間4年前 (2020/03/02 09:53)推噓1(1推 0噓 6→)

留言7則, 3人參與討論串2/2 (看更多)

※ 引述《CMJ0121 (不要偷 Q)》之銘言： : 這是某 Youtube 頻道[0]講到關於資安 (密碼) 部分的常識 : 頻道不是我創的廣告不是我賺的所以不想看的人可以直接看文字結論 :) : 常見的密碼錯誤 : - 不同網站使用相同的帳號密碼 : - 密碼實體儲存 (e.g. 便利貼) 這可以參考一級玩家[1] 的劇情 : - 太短、太簡單的密碼 : - 個人化的密碼 (e.g. 寵物名稱、生日、...etc) : - 分享密碼 <--- 這真的會發生嗎? : - 沒有特別字符 : - 不可能記得住的密碼 : - 讓瀏覽器記住密碼 : - 使用不可靠的密碼產生器 : - 從不更改密碼 <--- 現在主流建議不用常常改 : - 不使用雙重認證 : - 使用預設密碼上面的密碼原則有些其實是互相衝突的例如, 不同網站使用不同的帳號密碼, 不要實體儲存, 不要讓瀏覽器記住密碼這時沒有個人化密碼基本上是不可能記得住使用頻率超過一週的網站帳密的在組織使用者方面密碼管理的難處在於要考慮到使用者的年紀系統數量反而不重要畢竟是單個組織的系統使用single sign on可以大幅減少帳密數量年紀很重要因為這影響到公司整體的資訊化程度和同仁密碼管理的精細度但即使是年紀輕的公司可能也不要太樂觀認為大家都記得自己的所有密碼 NIST近期新版的密碼原則指引就洞察這點密碼管理原則的建議寬鬆得出乎意料, 例如: 1. 密碼最小長度 8碼 (裝置產生的話是6碼) 2. 不要複雜性原則 3. 不要密碼有效期限這三個原則就和上面的密碼原則多少有些衝突密碼管理原則在目前每個人的網路帳號數量越來越多的狀況下以使用者而言就是可以的話開啟雙因子驗證沒有的話確保登入時可以收到登入資訊 (像Netflix 有新地點新裝置嘗試登入時通知) 以上都沒有的網站就弄個只記得一次的密碼要用時使用忘記密碼重置以組織而言雙因子認證要$ 沒有$的單位可以參考技服GCB的建議透過AD設定密碼的限制但老實說這些限制頂多就是對使用者的束縛實際上攻擊者還是可以在這些密碼限制下透過沒有雙因子認證的網站(如OWA) 有效猜測及取得使用者的密碼 : --- : 我後來設定的密碼會使用超過 10 的字大概是 2~3 的單詞 : 可能的話會替換掉中間的字詞像是 0 -> O 或者其他字詞 : 另外有的選擇的話不要使用線上密碼產生器、碼強度驗證之類的服務 : 對於相對壞心眼的人來說使用密碼產生器等於道這個 IP/瀏覽器的密碼 : 同理使用密碼強度驗證... (以下略) : [0]: https://www.youtube.com/watch?v=EaRCfmEV0DE