以下示例密码策略考虑了 2020 年对加密系统进行各种攻击的性能和能力的最先进的状态。 如果可能,我将尝试更新它(当事实证明它已经太弱)。
IT 系统中的静态密码应:
- 长度不少于12个字符;
- 包含以下四个类别中至少三个类别的字符:
- 大字符A到Z
- 字符小从a到z
- 数字0到9
- 特殊字符(例如 !,.$^)
- 与 1,000 个最流行的密码不同
- 不包括登录的单词、公司名称、应用名称、电子邮件地址、姓名、用户名;
- 使用加密或PBKDF2等功能以安全形式存储;
有关密码策略以及正确、安全地实施身份验证过程的大量有用信息,可以在材料 OWASP – 身份验证备忘单中找到
在大多数情况下,您不知道您的密码是如何存储在网站上的。 您的管理员可能没有实施任何保护数据的机制。 这就是为什么你必须保护他们的安全。 为了保护自己免受从网站泄露密码的情况,以及攻击者在您拥有帐户的另一个门户上使用该密码的情况,您应该在每个页面上使用不同的密码。 鉴于我们目前旋转的门户网站众多,以及上述政策中引用的口号的复杂性,记住它们都是非常值得纪念的。 在这里,密码管理器来帮助我们。 你记得一个复杂的密码,其余的会处理它。 一个安全和推荐的密码管理器是KeePass。
使用密码管理器具有许多附加优势,例如:
- 自动生成复杂、安全的密码
- 自动备份
- 在多个设备上访问您的密码(例如通过 gdrive)
- 设备之间同步数据的能力;
- 自动数据加密
- 自动填写网站上的表格;
为了进一步加强我们数据的安全性,最好尽可能进行双重身份验证。 多年来,这项服务一直可在Facebook、Gmail等服务上提供,最近,由于法律要求,银行也加入了这一群体。 另一个真实性因素,例如以短信代码的形式进入您的手机,显著提高了您的帐户的安全性水平。
密码无处不在。 随着在线攻击趋势的不断增多,提高数据的安全性是值得改进的。 引入密码策略是做到这一点的好方法。
