密码策略:随机生成密码/让用户选择密码

Question

我目前正在考虑一个新的密码政策。最初我希望用户选择一个X位长的密码，其中包含数字，特殊字符，小写和大写，.但后来我在一家朋友公司做了一些审计。在那里他们有这样的政策。我从他们的Active Directory中提取密码散列，让john使用损坏的规则破解密码。当我选择使用一个为公司及其员工量身定做的单词列表时，许多密码都被破解了。他们都使用有效的密码根据政策，但使用一个名字，出生年份和随机的特殊字符在最后不是那么安全。

现在，我正在考虑向每个用户发出一个他无法更改的随机密码。密码只有10位长，但与我认为安全得多的人没有任何关系。你觉得这是个很好的解决方案还是我遗漏了什么？

更新:双因素认证通常是一个很好的解决方案，但不会对我们有效。我们是一家小公司，实施双因素认证需要相对较高的初始成本。

Answer 1

最佳密码策略:强、管理和保持安全。

强

• 长(12个或更多字符)
• 需要完整字符集(上、下、数、符号)
• 没有完整的词
• 没有任何个人信息，如果基于一个词

托管

• 保存在安全的位置，以防需要查找
• 变化规律
• 和上一次不一样
• 在完全随机密码(疯狂的力量)或需要物理安全访问的非网络数据库中进行散列。

安全

• 恢复发生在亲自或完全安全的通道上。
• 在更改密码之前对密码进行检查(自动的或按计划进行的)
• 没有用户知道其他用户的密码(如果发现他们知道并且没有很好的理由，强制更改密码)
• 选项的2要素身份验证，以使其更安全

这些提示对于密码安全来说是最好的，并且经常在企业级别上被使用。

关于2因子及其存在的问题：

当然，用于2因素身份验证的选项通常会被抛出为“为什么不直接使用2元素身份验证”。其实这是有原因的:你可能应该去处理敏感数据的账户。哦，等等，是的，还有一些陷阱：

对于其他人来说，这增加了一个物理层的身份验证，这需要花费金钱、时间和设置，以及运行或雇用一个服务来生成，并保持身份验证保持同步。有了网络和场外位置的可能，这可能会遇到一些问题，如果处理不当，随着时间的推移，总是需要维护。更糟糕的是，丢失keygen是一个常见的问题，因此需要在现场分发备份，如果在出差中2因素导致了一个巨大的问题，如果丢失。然后对他们进行如何使用密码的培训，并强迫他们仍然拥有安全的密码。这需要很长时间才能开始运行(取决于公司的规模，这实际上可能导致整个it大修)，并且需要专门用于维护它的培训和员工。

TL，DR:

实施安全密码，并与公司讨论密码政策和维护。然后提供2因子的选项(如果需要，可以在某些地方强制执行)。此外，还要检查密码(无论是手动的还是通过算法)，以确认密码不容易破解或包含可识别的个人信息。这些最佳做法足以保证许多公司的安全。然而，永远不要忘记，密码只是网络安全的一部分。

至于提供随机密码..。一开始这很好，但最终需要旋转，如果是这样的话，你应该让他们选择，这样他们就可以更容易记住了。如果他们记不起，他们会继续无法登录，信息系统的负载会因为忘记密码而增加，然后把它自己写在便条上，然后丢失它们就会成为攻击的载体，或者把它们保存在个人电子邮件中，密码很弱，所有的东西都很糟糕等等。最好是指导他们如何创建一个安全、长、强和容易记住的密码，如下所示：

R4nD0ms7@Pl312eM0/312是一个随机的主食去除器。祝你一见钟情地认出它，或者破解它。但是等一下你已经记住基地了！

Answer 2

表面上看，这似乎更安全--但我担心，你可能会遇到这样的问题:人们在帖子上写下随机密码，然后在他们的电脑旁边的墙上打它。你可以建议人们使用密码管理器，但在一天结束时，90%的人只会做他们想做的事情。

根据您的交付方法，它也可能变得不那么安全。如果你给他们发电子邮件，他们的密码，那显然是一个问题，因为它是浮动在周围的纯文本。

公司里的每个人都会恨你。根据我的经验，人们讨厌自动生成的密码。这并不是真正的安全问题，但可能值得考虑。

总之-我不确定这是一个黑白的答案。密码本身可能会更安全，但还有其他我提到的问题要考虑。

Answer 3

随机不能工作，如果存在单一身份验证的问题，请移到2因子。这样，如果有人能够传递哈希，你仍然有次要的保护。长密码、过于复杂的密码以及频繁更改密码，只会导致用户将密码保存在他们可以使用的每台设备上，而B)则会导致用户将密码写下来。

保持密码策略的一些用户可以记住，并培训他们更好地使用密码，但2因素是你的安全赌注。

请记住，如果用户正在获取用户哈希，他们已经在一个已被破坏的系统上，因此，只有在每次下线后，您还在刷新每个用户配置文件的每个系统时，随机密码才能正常工作。当用户必须为每一次登录构建配置文件时，这都会惹恼他们。如果您不这样做，即使在随机使用的情况下，攻击者仍然有一个窗口可以获得访问权限。

2-获胜的因素。

-Chase