8-18个字符的密码怎么设置,8至20个字符密码怎么设置

首页 > 实用技巧 > 作者:YD1662023-12-30 21:59:42

8-18个字符的密码怎么设置,8至20个字符密码怎么设置(1)

当用户注册某平台账户时,平台对密码设置都会有所要求,如“密码长度需大于8个字符,且要包含数字和英文字母”等。为了保障账户安全,企业和平台都鼓励用户设置长且复杂的密码,并定期更新。

有机构统计,在当前环境下,用户大概需要设置多达100个密码,包括一些离线密码。但实际上,用户最多只会记住5个,且还是采取了一些便捷形式创建的密码,然后在各平台之间重复使用。比如,用户会用数字和特殊字符替换字母,“password”变成“P4??WØrd”(还是很容易破解的)。

那么,在提高密码安全性的同时,企业如何制定强大且友好的密码策略呢?

1、停止不必要的复杂密码组合规则

不再强制设置任何过于复杂的组合规则,如要求设置包含大小写字符、至少一个数字和一个特殊字符。在一定程度上,这样的规则很少会提高密码设置的强度,只会让用户设置的更加可预测,并给自己想出个“双重打击”的密码——既弱又难以记忆。

2、切换到密码短语

与其使用短而难记的密码,不如采用密码短语。密码短语更长,更复杂,但容易记住。如,它可能是一个完整的句子,其中包含大写字母、特殊字符和表情符号。虽然不是很复杂,但自动化工具仍需要时间才能破解。

以往设置密码的要求是,最小长度为8个字符,由大小写字母、符号和数字组成,但根据Hive Systems在4月运行的测试得出,自动密码破解工具可以在几分钟内猜出这样的密码,特别是当它使用MD5哈希函数进行保护。相反,仅包含大小写字母但长度为18个字符的简单密码则需要更长的时间才能破解。

8-18个字符的密码怎么设置,8至20个字符密码怎么设置(2)

数据来源:Hive Systems

3、密码设置最小长度为12个字符

长度是密码强度的关键因素。将密码设置在最小12字符,最多64个字符,且包括多个空格(在一切相等的情况下,密码越长越好)。

4、启用各种字符

当用户设置密码时,应该可自由选择所有可打印的ASCII和UNICODE字符,包括表情符号。同时,空格也应可以选择使用,因为其是密码短语的自然组成部分,通常被推荐作为传统密码的替代方案。

5、限制密码重复使用

当下,用户普遍认识到,在不同的平台账户之间不要重复使用密码,因为一个账户的泄露很容易导致其他账户也受损。

但习惯还是很难改变,有数据显示,在受采访的人群中,有一半人表示在他们的企业/或个人账户中平均重复使用5个密码。

6、不要为密码设置“使用日期”

除非用户要求或有泄露证据,不建议要求用户定期更改密码。理由是用户没有多少耐心来不断思考新的、强大的密码。因此,定期更改密码可能弊大于利。

但是必须强调的是,对于保密行业和企业的重要业务,其本身就是不法分子觊觎的目标,组织单位仍然要强制员工定期更改密码。

7、放弃提示和基于知识的认证

密码提示和基于知识的验证问题已经过时。尽管可以帮助用户找回密码,但同时对攻击者也具有很大价值。如,类似“你第一只宠物的名字”这样的问题,只要通过一点调查和社会工程学就可以轻松猜到。

8、列出常用密码黑名单

与其依赖以往使用的组成规则,不如将新密码与“黑名单”中最常用或曾被泄露的密码进行比对,并将匹配尝试评估为不可接受。

2019年,微软扫描了其用户账户,将用户名和密码与一个包含超过30亿组泄露凭据的数据库进行比对,发现有4400万位用户的密码有泄露风险后,强制用户重置密码。

9、为密码管理器和工具提供支持

允许“复制和粘贴”功能、浏览器密码工具和外部密码管理器来处理创建和保存用户密码的麻烦。

用户还应可以选择临时查看整个屏蔽密码或密码的最后一个键入字符,这样可提高凭据输入的可用性,特别是在使用更长的密码,口令和密码管理器的情况下。

10、为初始密码设置短期限

当新员工建立账户时,系统生成的初始密码或激活码应是安全的、随机生成的、长度至少为6个字符,且可能包含字母和数字。

确保该密码在短时间内过期,且不能成为长期密码。

11、发送密码更改的信息

当用户更改密码时,应要求他们首先输入旧密码,并在可能的情况下启用双因素身份验证(2FA)。完成后,给用户发送更改通知。

12、小心密码恢复过程

恢复过程不仅不应显示当前密码,而且同样适用于有关帐户是否实际存在的信息。换句话说,不要向攻击者提供任何(不必要)的信息!

13、使用验证码和其他反自动化控制

使用反自动化控制来减轻泄露的凭据测试、暴力破解和账户锁定攻击。这些控制包括阻止最常见的泄露密码、软锁定、速率限制、验证码、不断增加的尝试延迟、IP 地址限制或基于风险的限制,例如位置、首次登录设备、最近尝试解锁账户等。

14、不要仅依赖密码

无论密码有多么强大和独特,它仍然是一道隔离攻击者和用户敏感数据之间的单一屏障。在瞄准安全账户时,也应将额外的身份验证层视为绝对必要。这也是为什么企业应该尽可能使用双因素(2FA)或多因素身份验证(MFA)的原因。

然而,并非所有双因素(2FA)身份验证都是同等安全的,如短信验证码,其实也容易受到威胁。更安全的替代方案包括使用专用硬件设备和基于软件的一次性密码(OTP)生成器,例如安装在移动设备上的安全应用程序。


参考自:

https://www.welivesecurity.com/2023/05/04/creating-strong-user-friendly-passwords-tips-business-password-policy/

8-18个字符的密码怎么设置,8至20个字符密码怎么设置(3)

相关阅读

更多内容,持续关注哦~

栏目热文

文档排行

本站推荐

Copyright © 2018 - 2021 www.yd166.com., All Rights Reserved.