示例密码策略

以下示例密码策略考虑了 2020 年对加密系统进行各种攻击的性能和能力的最先进的状态。 如果可能,我将尝试更新它(当事实证明它已经太弱)。

密码策略
密码策略

IT 系统中的静态密码应:

  • 长度不少于12个字符;
  • 包含以下四个类别中至少三个类别的字符:
    • 大字符A到Z
    • 字符小从a到z
    • 数字0到9
    • 特殊字符(例如 !,.$^)
  • 与 1,000 个最流行的密码不同
  • 不包括登录的单词、公司名称、应用名称、电子邮件地址、姓名、用户名;
  • 使用加密或PBKDF2等功能以安全形式存储;

有关密码策略以及正确、安全地实施身份验证过程的大量有用信息,可以在材料 OWASP – 身份验证备忘单中找到

在大多数情况下,您不知道您的密码是如何存储在网站上的。 您的管理员可能没有实施任何保护数据的机制。 这就是为什么你必须保护他们的安全。 为了保护自己免受从网站泄露密码的情况,以及攻击者在您拥有帐户的另一个门户上使用该密码的情况,您应该在每个页面上使用不同的密码。 鉴于我们目前旋转的门户网站众多,以及上述政策中引用的口号的复杂性,记住它们都是非常值得纪念的。 在这里,密码管理器来帮助我们。 你记得一个复杂的密码,其余的会处理它。 一个安全和推荐的密码管理器是KeePass。

使用密码管理器具有许多附加优势,例如:

  • 自动生成复杂、安全的密码
  • 自动备份
  • 在多个设备上访问您的密码(例如通过 gdrive)
  • 设备之间同步数据的能力;
  • 自动数据加密
  • 自动填写网站上的表格;

为了进一步加强我们数据的安全性,最好尽可能进行双重身份验证。 多年来,这项服务一直可在Facebook、Gmail等服务上提供,最近,由于法律要求,银行也加入了这一群体。 另一个真实性因素,例如以短信代码的形式进入您的手机,显著提高了您的帐户的安全性水平。

密码无处不在。 随着在线攻击趋势的不断增多,提高数据的安全性是值得改进的。 引入密码策略是做到这一点的好方法。

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Bookmark the permalink.

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注