密碼過期規則會降低系統的安全性嗎?
問題
我經常和我的 CTO 進行辯論,通常會這樣開始……
CTO: My password expired, that should never happen. Me : It's a security risk to never expire passwords. CTO: It's a security risk to force passwords to be reset because users have bad habits. Me : Yes but the security is in the user not the system, enforcing password expiry ensures the system is secure in the event of an unknown breach of the userbase.這提出了一個有趣的問題,即我們倆主要不是系統管理員,而是我們需要為此應用策略的職位並沒有真正同意正確答案應該是什麼。
我的地位
如果您強制所有使用者在 X 時間內更改密碼,系統會更安全原始密碼。
CTO的地位
強迫使用者一直更改密碼的行為會導致模式/****123“喜歡”模式隨著時間的推移或使用者寫下密碼,這意味著使用者的“壞習慣”對系統的風險比對數據的風險更大以某種更技術性的方式受到損害(例如通過暴力破解)。
所以我想知道
有什麼方法可以證明無論天氣如何,我們是否應該根據一些行業最佳實踐強制執行密碼重置策略?
或者
我們中的一個人是不是完全錯了?
您的 CTO 更正確,但這是一個更複雜的問題。NIST ( https://csrc.nist.gov/ ) 可能是“行業最佳實踐”參考。
說到密碼長度,而不是複雜性或頻繁更改,才是正確的選擇。(https://nakedsecurity.sophos.com/2016/08/18/nists-new-password-rules-what-you-need-to-know/)他們建議使用片語或句子而不是單個單詞。
您在儲存密碼之前描述散列密碼,這在邏輯上比純文字更好。問題在於多 GPU 系統每秒可以計算和檢查數十到數百個雜湊值。
下面的連結討論了這些變化。我建議在對密碼進行雜湊處理之前特別注意對密碼進行加鹽處理。
https://nakedsecurity.sophos.com/2016/08/18/nists-new-password-rules-what-you-need-to-know/
https://www.passwordping.com/surprising-new-password-guidelines-nist/